قام فريق البحث والتحليل العالمي لدى شركة كاسيرسكي لاب بنشر نتائج أبحاثه الخاصة بشأن هجمات شنتها برمجية خبيثة اسمها OlympicDestroyer، مقدماً دليلاً تقنياً على وجود راية زائفة متطورة وضعتها الجهة المنفذة للهجمات داخل دودة من أجل ضرب الأنظمة المختصة بالإيقاع بالتهديدات.
واحتلت الدودة OlympicDestroyer، التي يعني اسمها “مُخرِّبة الألعاب الأولمبية”، عناوين رئيسية في وسائل الإعلام خلال بطولة الألعاب الأولمبية الشتوية التي أقيمت في مدينة بيونغ تشانغ، التي شهدت وقوع هجمات إلكترونية أدت إلى إحداث شلل مؤقت في أنظمة تقنية المعلومات قبيل حفل الأفتتاح الرسمي للبطولة التي أقيمت في فبراير الماضي، ما أدى إلى إغلاق شاشات العرض وتعطيل شبكة الإنترنت اللاسلكية وإغلاق موقع الألعاب الأولمبية، فلم يتمكن الزوار من طباعة تذاكر حضور الألعاب والمباريات.
ووجدت كاسبرسكي لاب أيضاً أن العديد من المرافق في منتجعات التزلج التي أستضافت البطولة في كوريا الجنوبية عانت تخريباً جرّاء هذه الدودة، حيث شمل التخريب أعطالاً في عمل بوابات التزلج ومصاعد التزلج فيها، وأتضحت قدرة هذه البرمجية الخبيثة على التخريب، بالرغم من أن التأثير الفعلي للهجمات كان محدوداً.
ومع ذلك ، فإن الأهتمام الحقيقي الذي أبداه قطاع الأمن الإلكتروني بهذه الحادثة، لم يكن في الضرر الفعلي أو المحتمل، ولكن في منشأ هذه البرمجية الخبيثة، ولعل أية برمجية خبيثة متطورة أخرى لم تحظَ من قبل بهذا الكم من فرضيات الإسناد التي وضعت لبرمجية OlympicDestroyer الخبيثة، التي تمكنت فرق البحث العاملة في جميع أنحاء العالم من ربطها بمخربين في روسيا والصين وكوريا الشمالية في غضون بضعة أيام من اكتشافها، وذلك إستناداً إلى عدد من السمات التي كانت تنسب سابقاً إلى جهات تجسسية وتخريبية يزعم أنها تتخذ من هذه الدول مقراً أو تعمل لصالح حكوماتها.
كذلك حاول الباحثون في كاسبرسكي لاب التعرف على المجموعة التخريبية الكامنة وراء هذه البرمجية الخبيثة، ليعثروا في مرحلة ما من أبحاثهم، على شيء بدا كدليل دامغ يربط بين البرمجية الخبيثة إلى مجموعة لازاروس Lazarus سيئة الصيت والتي تحظى بدعم من حكومة كوريا الشمالية.
وإستند هذا الأستنتاج إلى أثر فريد تركه المهاجمون، فثمّة مزيج من صفات معينة تتسم بها بيئة تطوير الشيفرة البرمجية وتكون مخزنة في ملفاتها، يمكن أعتباره بمثابة بصمة فريدة، تحدد بوضوح في بعض الحالات الجهة المطورة للبرمجية الخبيثة ومشروعاتها وأهدافها.
وقد أعطت البصمة في العينة التي تم تحليلها على أيدي خبراء كاسبرسكي لاب، تطابقًا بنسبة 100 في المئة مع مكونات البرمجيات الخبيثة المعروفة سابقاً لدى عصابة لازاروس، كما أنها لم تتداخل على الإطلاق مع أي ملف آخر نظيف أو خبيث معروف حتى الآن لدى كاسبرسكي لاب.
وبالنظر إلى أوجه شبه أخرى في التكتيكات والأساليب والإجراءات المتبعة لدى عصابة لازاروس، أستطاع الباحثون تحقيق إستنتاج أولي مفاده أن OlympicDestroyer كانت عملية تخريبية أخرى أنجزتها هذه العصابة.
ومع ذلك، فإن أختلاف الدوافع ووجود تناقضات أخرى مع التكتيكات والأساليب والإجراءات المتبعة في لازاروس، التي أكتشفت خلال تحقيقات كاسبرسكي لاب في موقع المنشأة المخترقة في كوريا الجنوبية، جعل الباحثين يعيدون النظر في هذا العمل التخريبي النادر.
وبعد إلقاء نظرة فاحصة أخرى على الأدلة وإجراء عملية تحقق يدوي من كل صفة، أكتشف الباحثون أن مجموعة الصفات لم تتطابق مع الشيفرة البرمجية، إذ تم تزييفها لتتناسب تماماً مع بصمة عصابة لازاروس.
ونتيجة لذلك، خلص الباحثون إلى أن بصمة الصفات كانت عبارة عن راية زائفة متطورة للغاية، تم وضعها عمداً داخل البرمجية الخبيثة من أجل إيهام الجهات المختصة بالإيقاع بأخطار التهديدات بأنهم عثروا على دليل دامغ، ما يتسبب في تضليلهم وإخراجهم عن مسار الإسناد الدقيق.
وقال ڤيتالي كاملوك، رئيس فريق الأبحاث لمنطقة آسيا المحيط الهادئ في كاسبرسكي لاب: “إن الدليل الذي تمكن فريق البحث من العثور عليه لم يتم استخدامه سابقاً في الإسناد على حد علمنا”.
مشيراً إلى أن المهاجمين قرروا أستخدامه بالرغم من ذلك وتوقعوا أن أحدهم سيجده، وأضاف: “أعتمد المخربون على حقيقة أن هذا التزوير يصعب إثباته، فالأمر يبدو وكأن مجرماً قد سرق الحمض النووي لشخص آخر وتركه في مسرح الجريمة ليضلل المحققين، لكننا أكتشفنا وأثبتنا أن الحمض النووي الموجود في مسرح الجريمة قد وضع هناك عن قصد، وهذا يوضح مدى أستعداد المهاجمين لبذل جهود كبيرة كي يظلوا مجهولين لأطول فترة ممكنة، ولقد قلنا دوماً إن الإسناد في الفضاء الإلكتروني أمر صعب للغاية، حيث يمكن تزييف الكثير من الأشياء، وما برمجية OlympicDestroyer الخبيثة إلاّ توضيح دقيق لهذا”.
وتابع كاملوك قائلًا: “يدلنا ما حدث على أهمية أخذ الإسناد على محمل الجد، وبالنظر إلى مدى التسييس الحاصل في الفضاء الإلكتروني في الآونة الأخيرة، نجد أن الإسناد الخاطئ قد يؤدي إلى عواقب وخيمة، وقد يبدأ الفاعلون في محاولة التلاعب برأي المجتمع الأمني من أجل التأثير على الأجندات السياسية في مناطق التوترات”.
ولا يزال الإسناد الدقيق لبرمجية OlympicDestroyer الخبيثة سؤالاً مفتوحاً، لأنه مثال فريد على رفع راية زائفة متطورة للغاية، ومع ذلك، فقد وجد باحثو كاسبرسكي لاب أن المهاجمين أستخدموا خدمة حماية الخصوصية NordVPN ومقدم خدمة أستضافة يدعى MonoVM، كلاهما يقبل التعامل بالبيتكوين، وقد وجد أن هذه السمات إلى جانب بعض التكتيكات والأساليب والإجراءات المكتشفة تستخدم من قبل مجموعة صوفاسي Sofacy التخريبية الناطقة بالروسية.
