الجيش السوري الإلكتروني يعود ويشن هجمات واسعة ضد الناشطين السوريين

بهاء نصر- رحماني الشامي

لفترة من الوقت كانت الأمور هادئة على الجبهة الإلكترونية ولم نسمع شيء عن الجيش السوري الإلكتروني منذ مدة طويلة، مما أدى لإعتقاد البعض أنهم قد أوقفوا أنشطتهم أو على الأقل لم يشنّوا أي هجمات رقميّة ذات أهميّة مؤخراً. وكان يبدو بأن ساحة المعركة تحولت إلى المواجهة العسكريّة بالكامل. ولكن كما تظهر سلسلة من الهجمات المكتشفة حديثاً، فإن الحرب الإلكترونية لا تزال قائمة لم تتوقّف.

الأسبوع الماضي، تلقى ناشط سوري مقيم في بلد أوروبي رسالة WhatsApp تطلب منه تثبيت نسخة مدفوعة من تطبيق Telegram على جهاز الكمبيوتر الخاص به، وهو تطبيق للمحادثة معروف وشائع استخدامه بين السوريين. لحسن الحظ، شك الناشط بالأمر وأرسل الرسالة مع الرابط المرفق إلينا لتحليلها.

كشفت نتائج التحليل عن حقيقة غير سارة: الجيش السوري الإلكتروني (SEA)، المعروف منذ بداية الثورة السورية بهجماته الإلكترونية ضد النشطاء والصحفيين السوريين كذلك الأمر بقرصنة بعض المواقع العالمية، ما زال نشطاً ويقوم بهجمات رقمية معقّدة ضد المجتمع المدني السوري والمدافعين عن حقوق الإنسان داخل وخارج سوريا.

يستخدم الجيش السوري الإلكتروني الهندسة الاجتماعية لخداع ألاشخاص المستهدفين لتثبيت أحد ملفات البرامج الخبيثة التي قاموا ببرمجتها. من المعروف بأن الجيش السوري الإلكتروني نشط منذ نهاية عام 2011 على الاقل، وقد كشفت الإحصائيات الأخيرة بانه منذ عام 2014 حتى يومنا هذا قاموا بتطوير أكثر من 55 برنامج خبيث لأجهزة الكمبيوتر التي تستخدم نظام تشغيل ويندوز و29 تطبيق خبيث للهواتف التي تستخدم نظام أندرويد إضافة إلى 9 مواقع ومخدّمات مختلفة لنشر هذه البرامج الخبيثة. كما استخدموا العديد من المنصّات لنشر الروابط أو إرسال الرسائل لخداع الاشخاص وحثّهم على تثبيت البرامج الخبيثة عبر Facebook، رسائل WhatsApp، Skype، وTelegram.

http://telegram.strangled[.]net/wp-content/uploads/2017/telegramupdate_2017.apk

نطاق الهجوم واسع جداً، حيث تم استخدام العديد من البرامج والتطبيقات الشائعة لنشر نسخ متلاعب بها تتضمن ملفات خبيثة. تضم هذه التطبيقات على سبيل المثال لا الحصر، لأجهزة الكمبيوتر: ترقية مزعومة لـTelegram for Windows، ومتصفح زائف من Google Chrome، وVLC media Player، وتفعيل مزعوم لنظام التشغيل ويندوز، Microsoft office، وWord، وغيرها من البرمجيات المعروفة الشائع إستخدامها.

كما تضمنت الملفات الخبيثة لنظام أندرويد إصدارات خبيثة من تطبيقات: Chat Secure،Chat Secure Lite، Chat Secure Pro، Chat Privacy، Telegram، WhatsApp، VIP Chat، تحديثات Microsoft Office، تفعيل Word، تحديث نظام التشغيل، تسريع الإنترنت، وتطبيقات دردشة أخرى مختلفة.

وشملت معظم الملفات الخبيثة ما يسمى بأدوات الوصول عن بعد Remote Access Tools (RAT) مثل njRAT وDarkKomet وAndroid RAT وغيرها. هذه البرمجيّات الضارة، بمجرد تثبيتها على الجهاز، تسيطر بشكل كامل على الهاتف المحمول أو الكمبيوتر المستهدف، ويمكن للمهاجم تثبيت المزيد من البرامج الخبيثة والحصول على أي ملف أو معلومات شخصية من أجهزة الضحية. ومعظم هذه البرامج الخبيثة تم برمجتها مسبقاً لتجميع سجل الدردشات للتطبيقات الأكثر استخداماً مثل WhatsApp وViber وTelegram وSkype تلقائياً وتحميلها إلى مخدّمات الجيش السوري الإلكتروني. وبهذه الطريقة يمكنهم بسهولة اكتشاف شبكات كاملة من النشطاء ومعرفة هم على صلة بمن، ونوع النشاطات التي يقومون بها مع أماكن تواجدهم بدقّة.

جميع الخوادم المرتبطة بهذه التطبيقات الخبيثة تتصل بعناوين IP سوريّة، مما يعني أن الهجمات قد نشأت من مخدمات داخل سوريا.

أفضل طريقة للحماية ضد هجمات الهندسة الاجتماعية هذه، هي:

  • تحديث نظام التشغيل دائماً
  • تنصيب مضاد للفيروسات والتأكّد من تحديث قاعدة البيانات بشكل دوري.
  • تثبيت البرامج حصرياً من المواقع الرسمية أو من متجر Google Play على Android أو متجر App Store لأجهزة iPhones.
  • عدم النقر مطلقا على أي رابط يرسله إليك شخص ما ويدعوك لتحميل تطبيق أو برنامج.

إذا قمتم بالفعل بتثبيت أحد هذه التطبيقات المذكورة على هاتفكم المحمول أو أحد هذه البرامج على جهاز الكمبيوتر الخاص بكم، فإننا ننصحكم بشدّة بإعادة تهيئة الكمبيوتر Format وإعادة تثبيت نسخة حديثة من نظام التشغيل وتنصيب مضاد للفيروسات. اما في يتعلق بالهاتف المحمول يتوجب عليكم القيام بإعادة ضبط المصنع وتثبيت فقط التطبيقات التي تحتاجونها من المتجر الرسمي.

المصدر: أمان زون.

عن عملنا

أخبار وتنبيهات رقمية

موارد المساعدة الذاتية

الدعم الرقمي

التدريب والعيادات

المساعدة الطارئة