الحادثة#1: وسطاء الظل (The Shadow Brokers)

تمهيد

الحرب الباردة بين الدول الكبرى مستمرة. لكنها في عصر الديجتال بدات تاخذ منحا اخر وذلك من خلال الحروب السيبرانية….تتميز الحروب السيبرانية بسهولة تنفيذها والتضليل فيها ومرونتها عل الصعيد اللوجستي حيث يمكن نقل الاسلحة السيبرانية وتنفيذها خلال لحظات ونقلها بين القارات خلال لمح البصر. الضرر الناجم عنها قد يؤدي لخسائر بمليارات الدولارات و يهدد ارواح العديد من البشر. انها السمة المميزة لحروب هذا العصر… عصر الديجيتال وحروبه السيبرانية

في هذه الحلقة سنتناول الاختراق الاكبر والذي تم به استهداف اعظم قوة امن سيبراني في العالم وهي وكالة الامن القومي الامريكية ان اس ايه (NSA)

من المعروف ان وكالة الامن القومي الامريكية (NSA) تمتلك قدرات فائقة في مجال الامن السيبراني وتنفيذ الهجمات المتعلقة. ومسؤولة عن هجمات سيبرانية كبيرة كما حدث في اختراق ستكس نت الذي استهدف المفاعل النووي الايراني , والمالوير التجسسي فلايم Flame. الوحدة داخل ان اس ايه NSA المسؤولة عن تخطيط وتنفيذ هذه الهجمات السيبرانية ,وتمتلك قدرات سيبرانية هجومية تسمى تاو TAO (Tailored Access Control). الاسم الاصطلاحي لتاو في مجمتمع الامن السيبراني العالمي هو Equation Group.

الظهور و التسريب الاول

في ١٣ اب من عام ٢٠١٦ ارسلت مجموعة اختراق اطلقت علئ نفسها اسم “وسطاء الظل” The Shadow Brokers. اول رسالة عبر منصة تويتر تعلن عن نفسها وما بجعبتها من اسلحة سيبرانية تم تسريبها من وكالة الامن القومية الامريكية Equation Group. على ما يبدو ان اسم وسطاء الظل ماخوذ من اسم شخصية من لعبة فيديو تسمى Mass Effec. اعلنت مجموعة وسطاء الظل The Shadow Brokers عن نفسها على موقع تويتر من خلال حساب وهمي @shadowbrokerss واعلنت عن تسريب بعض ما لديها مما نجحت من الحصول عليه من اسلحة سيبرانية لوكالة الامن القومي الامريكية عل موقع جيتهاب واعلنت عن عرض باقي اهم الادوات والاسلحة السيبرانية في المزاد. وجائت التغريدة عل النحو التالي بلغة انجليزية ركيكية لتوحي ان المخترق اجنبي.

“الى الحكومات المهتمة بتمويل الحروب السيبرانية او للذين يستفيدون منها. كم المبلغ الذي ستدفعوه للحصول عل اسلحة العدو السيبرانية؟؟؟ تمكنا من الاستيلاء عل اسلحة سيبرانية تخص المسؤولين عن هجمات ستكس نت دوكو و فلايم. هذه >المجموعة المتعارف عليها باسم Equation Group

. .

تابعنا تحركات [[Equation Group]]

اخترقنا [[Equation Group]]

وجدنا اسلحت [[Equation Group]]

انظر للصور المرفقة

سنمنحكم بعض هذه الاسلجة مجانا

ارايتم….يمكنكم الان اختراق العديد العديد من الاشياء

لكن هذا ليس كل شيء. اهم الاسلحة وادوات الاختراق سنعرضها في المزاد العلني…انتظرونا

احتوت الادوات المسربة مجانا عل برامج اختراق اكسبلويت(exploits) يمكنها الدخول ل سيسكو و فورتينت فير وول Firewalls. تم عرض بقية الادوات والاسلحة السيبرانية التي تعتبر الاهم في المزاد العلني وبسعر مليون من العملة المشفرة بيتكوين والذي يعادل في حينه نصف مليار دولار امريكي.

حتى اللحظة, هوية المتسبب بتسريب غير معروفة وغامضة، لكن النظرية الاقوى والاكثر ترجيحا هو أن المتسبب يتبع لجهة استخباراتية روسية. وما يدعم هذه النظرية هو ان الهدف منه كان التشهير بمنظمة الامن القومي الامريكية [[NSA]] والنيل من سمعتها .حيث ان الهدف ليس ماديا فبالنهاية تم تسريب جميع الادوات والاسلحة السيبرانية مجانا عبر الانترنت. و بحكم التوتر بين البلدين في ٢٠١٦ عقب اتهام الحكومة الامريكية لروسيا بالتاثير على الانتخابات الامريكية ومحاولة اختراق [[DNC]] اللجنة الوطنية الديمقراطية الامريكية حيث جاء تسريب وسطاء الظل The Shadow Brokers عقب هذا الاتهام بعدة اشهر من عام ٢٠١٦. وهو ايضا ما يرجحه ادوارد سنودن من خلال تغريداته على تويتر من منفاه في روسيا. تشير معظم التكهنات ان وسطاء الظل تمنكنوا من الحصول على الاسلحة من خلال اختراق احد الخوادم التابعة ل ان اس ايه البنية التحتية NSA staging server يستخدم لغايات الاختراق السيبراني.

ويظهر ايضا على السطح ارتباط التسريب بنظرية ان المسرب من داخل الوكالة. عبر الموظف المستقدم من شركة بوز الين هامياتون هارولد مارتين. حيث تم القبض عليه في بيته في ٢٠١٦ بعد اسبوعين من تسريب وسطاء الظل وتم اكتشاف بحوزته ٥٠ تيرابايت من معلومات الوكالة المسربة. لكن لم يثبت حتى اللحظة ضلوع مارتين في تسيرب هذة المعلومات لمجموعة وسطاء الظل. كما تبين بالتحقيقات ان هناك بعض التصرفات المريبة قام بها السيد مارتين, مثل تواصله مع شركة كاسبرسكي الروسية قبل ساعات من تسريب وسطاء في الظل، وايضا بعض الحقائق المثبته كتعلمه اللغة الروسية وايضا استخدامه لتوزيعة لينكس المشفرة Tails تيلز في التواصل والدخول للانترنت. في النهاية صدر الحكم على مارتين في عام ٢٠١٩ وحكم عليه بالسجن ٩ سنوات مع التاكيد انه لم تثبت علاقته وادانته المباشرة بوسطاء الظل.

تجدر الاشارة, ان مجموعة من الادوات والاسلحة المسربة والتي سنتكلم عنها في التسريبات التالية, كانت قد استخدمت من قبل مجموعات اختراق صينية قبل تسريب وسطاء الظل بفترة زمنية, مما يعني ان هذه الاسلحة ربما تم سرقتها من قبل اطراف اخرى قبل وسطاء الظل او تم تطوير جزء من بالتوازي مع اكويجن جروب Equation Group:

• دبل بولسار (DoublePulsar) المخدل التجسسي Windows Backdoor تم اكتشاف انه كان قد استخدم من قبل مجموعة الاختراق التابعة للحكومة الصينية APT3 في شهر مارس ٢٠١٦, وذلك يعني قبل تسريب وسطاء الظل وفقا لتقرير لشركة سيمانتك. اكثر التكهنات ان المجموعة الصينية كانت قد رصدت محاولات Equation Group وحللت سريان الشبكة او انها قد طورت هذا الاختراق بشكل منفصل
• بالاضافة خلصت ابحاث عدة جهات الى ان تسريب وسطاء الظل اول ما حدث في عام ٢٠١٣. يستدل ذلك من خلال سجلات الوقت metadata المرتبطة بتلك الملفات المسربة بعد تنفيذ التشريح الجنائي digital forensics. وفقا لتقرير لشركة شيكبوينت ان نفس الاسلحة السيرانية كانت قد استخدمت قبل تسريب وسطاء الظل من خلال مجموعة الهاكر صينية APT31 (Zirconium)
• كما تبين من خلال تقرير لمايكروسفت ان مجموعة الهاكر الصينية كانت قد استخدمت السلاح المسرب EpMe(local privilege escalation) منذ ٢٠١٤ على اقل تقدير. هذه الثغرة التي تم ضبطها و عالجتها مايكروسفت عام ٢٠١٧ المتعلقة بالثغرة رقم CVE2017-005

لنتحدث الان عن السريب و الظهور الثاني

خدعة ام حلوى (Trick or Treat)

في ٣١ اكتوبر ٢٠١٦ كان التسريب الثاني لوسطاء الظل اخذ عنوان TrickOrTreat وهئا المصطلح عادة ما يستحدم في اعياد الهلوين في امريكا. تضمن هذا التسريب مئات IPs و عناوين انظمة موزعة على ٤٩ دولة تستخدم كبنية تحتية ل ان اس ايه لاختراق الدول كخوادم ستاجينغ سي ٢ او قامت الوكالة باختراقها.

قبل عدة اسابيع من هذا التسريب اجرى نائب الريس الامريكي وقتها جو بايدن حوارا مع قناة ان بي سي في برنامج ميت ذا بريس ورد على سؤال الصحفي حول الاجراءات التي ستتخذها الحكومة الامرزيكية للرد على محالات روسيا في الاختراق:

سنقوم بالرد ولدينا القدرة على فعل ذلك… سوف يعلم عنها (يقصد بوتين) في الوقت والظرف المناسب وسيكون له الاثر الاكبر

جاء رد وسطاء الظل في الرسالة التالية:

لدينا اليوم حلوى لذيذة للامرينيسكي، لكن لدينا سؤال: لماذا الجد القذر يهدد بحرب سيبرانية ضد روسيا؟

اظهر هذا التسريب مجموعة من السيرفرات و عنواين ال اي بي (IP) والتي تم اختراقها من قبل اكويجن جروب بالاضافة للاشارة لاسماء بعض ادوات الاختراق والتي لم يتم تسريبها بعد:

NSA staging servers

التسريب الثالث BLACK FRIDAY / CYBER MONDAY SALE” third Leak

التسريب الثالث تم بعيد انتخاب دونالد ترامب رئيسا للولايات المتحدة بالعنوان بلاك فرايداي كما هو مبين بشهر يناير ٢٠١٧ جاء التسريب الثالث وكانت رسالة وسطاء الظل على النحو التالي بعدما فقدو الامل بجمع المبلغ المراد حيث تم تحصيل فقط ٩٠٠ دولار

حاولنا العرض بالمزاد لكن لم نجد مشترين حاولنا جمع التبرعات ولم نجد مهتمين

لذلك سنذهب للبيع عن طريق داركنت…..نراكم هناك

احتوى هذا التسريب على صور سكرين شوت ل ما يقارب ٦٠ ملف تتضمن كل منها عل ترتيب الفايلات لادوات الاختراق.

التسريب الرابع “Don’t Forget Your Base”

في ٨ ابريل ٢٠١٧. حساب على موقع ميديوم ارسل وسطاء الظل كلمة السر للملفات المشفرة التي تم تسريبها في ٢٠١٦ والتي تحجتوي على ادوات الاختراق التابعة لل ان اس ايه. وتجدر الاشارة الى ان هذا التسريب جاء بعد قصف الولايات المتحدة على سوريا والتي ايضا تحتوي على قواعد لروسيا

احتوى الملف المشفر على ادوات بامكانها اختراق بيئة انظمة يونيسكس ولينكس وبض الخمات التي تعمل من خلاله

وجاد نص البوست والذي يحتوي على لسالة للرئيس ترامب:

وسطاء الظل انتخبوك وسطاء الظل دعموك وسطاء الظل يفقدون الثقة بك سيد ترامب انت تترك قاعدتك الانتخابية والتاس الذين انتخبوك

حذر المخترقون من محاولة عمل تحليل وتشريح الكتروني للانظمة المخترقة حيث ان المالوير تتضمن خاصية روتكت التي تتيح الاختباء ضمن نظام التشغيل ومع امكانية حذف نفسها بشكل اوتوماتيكي.

التسريب الخامس “Lost in Translation”

التسريب الخامس والاخير في ١٤ ابريل ٢٠١٧ هذا التسيريب الاخير كان الاكبر اثرا حيث احتوى على الاسلحة السيبرانية الاخطر حيث احتوى على اسلحة اتيرنال بلو و داندرسبريتز فريمورك Eternalblue, Danderspritz, DoublePulsar . حيث اصبحت بين العامة وباستطاعة اي شخص استعمالها

مايكروسفت كانت قد اصدرت تحديث لمعالجة ثغرة اتيرنال بلو قبل التسريب بعدة اشهر! مما يعني ان اغلب الظن ان NSA قد ابلغت مايكروسفت بالثغرة لتفادي اي تسريب محتمل من وسطاء الظل.

نظرة سريعة على المعلومات و الاكسبلويتس المسربة

احتوى التسريب على ادوات اختراق وزيرو دايز وون داي 0day and 1day تختص انظمة ويندز عل خدمة SMB من خلال هذا الاختراق يتيح للهاكر الدخول للانظمة وتنفيذ الاوامر عن بعد. اتيرنال بلو تسمح باختراق اجهزة الويندوز بواسطة SMB service تتيح للمخترق Remote COmmand Execution RCE وهذا النوع من الاختراقات يعطي الهاكر تحكم كامل عن بعد بالاجهزة المخترقة.ايتيرنالبلو أتاح اختراق الملايين من الاجهزة حول العالم.

ايضا احتوى التسريب عل اداة الدخول التجسسي backdoor المسمىImplant DoublePulsar وهو يعتبر اداة متطورة جدا وشديدة التضليل تعمل في الذاكرة RAM ولا يمكن اكتشفاها من خلال برمجيات الحماية. استخدمت اداة بولسار لاحقا مع اتيرنال بلو بتنفيذ هجمات الفدية وانا كراي Wannacry غلى نطاق واسع حول العالم.

كذلك تضمن التسريب منظومة الاختراق فزبانش Fuzzbunch التي كتبت بلغة بايثون وتشابه لحد بعيد الاداة الشهيرة ميتاسبلويت المكتوبة بلغة روبي. تم تسريب منظومة داندر سريتز المتخصصة في بوست اكسبلويت Post-exploit C2 framework والتي مصممة بحيث تكون مخفية ولا يمكن الكشف عنها من قبل انظمة المراقبة في الشبكة والسيرفرات.

اكسبلويت EpMe Exploit, يتيح الارتقاء بالصلاحية من مستخدم عادي الى صلاحيات ادمن. تم اكتشاف لاحقا ان هذا الاكسبلويت كان بالفعل مستخدم من قبل مجموعة اختراق صينية وذلك قبل 3 سنوات من تسريب وسطاء الظل.

شمل التسريب ايضا عدة ادوات تختص باختراق انظمة لينكس ويونيكس والخدمات المفعلة عليها كبعض انظمة الايميل. احتوى ايضا على ادوات اختراق اخرى مثلا نظام فويب افايا VOIP Avaya واوتلوك ويب اكسس Express Outlook، اختراق لبروتوكول كيربوروس واختراق للويب سيرفر اي اي اس IIS

من اكثر اجزاء التسريب اثارة كان ملاحظات ان اس ايه ما كان يتعلق باختراقاتها لعدة بنوك في الشرق الاوسط ومزود خدمة سويفت ايست نت. بدورها نفت سويفت وايست نت صحة التسريب واكدت ايست نت ان المعلومات قديمة منذ ٢٠١٣ وتم استبدال البنية التحتية من وقتها…طبعا الخبر تصدر معظم الصحف العالمية وبناءا على صحة الزيرو داي والادوات المسربة هناك قدر كبير من الصحة قد يكون في ما يتعلق بتسريب ايست نت.

التالي هو بعض من التسريب المتعلق بمعلومات ايست نت

تداعيات التسريب

في شهر مايو ٢٠١٧ وذلك بعد شهر من تسريب وسطاء الظل وقع هجوم الفدية الاكبر جائحة وانا كراي (wanna cry) ransomeware كانت النتيجة الاكبر ضررا من تسريبات وسطاء الظل. حيث تم استهداف مئات الاف من الاجهزة نظام ويندوز حول العالم مستغلا تسريب اتيرنال بلو. تم استهداف بالاخص انظمة المستشفيات والقطاع الصحي. وقع هذا الهجوم واصاب ما يقارب ١٥٠ دولة حول العالم وقدرت الخسائر الناجمة ب ٤ بيليون دولار.

مستشار الرئيس الامريكي للامن القومي ادلى بكلمة للتعليق على عجمات وانا كراي وتم الاشاة الى ان المتسبب هو كوريا الشمالية وبالدلائل المثبته.

تسبب ايضا هذا التسريب بالهجوم الالكتروني رانسم وير نت بيتيا (NotPetya) في شهر يونيو ٢٠١٧ والذي على ما يبدو انه حدث بدوافع سياسية يستهدف اوكرانيا حيث تم استغلال ثغرة ايتيرنال بلو بتطوير الرانسموير. تسبب هذا الهجوم بخسائر تزيد عن عشر مليارات دولار كما اكدت الحكومة الامريكية

الدروس المستفادة

اهم الدروس المستفادة من هذه الحادثة هو ان مجموعات الاختراق المدعومة من الدول تمتلك قدرات هائلة في تطوير وتنفيذ الهجمات السيبرانية والتجسسية حيث انها تمتلك ميزانيات ضخمة وبامكانها تطوير اسلحة سيبرانية وادوات قادرة على تجاوز انظمة الحماية المتطورة. انها حقا لضرورة ان تستثمر مؤسسات كل دولة في برنامجها الامني السيبراني وبرامج التدريب والتعليم فامن المعلومات بات اولوية ولم يعد رفاهية لكل دولة.

التحديث الدائم لاجهزة المؤسسات patch management يجب ان يكون على سلم اولويات كل شركة لتجنب القسم الاكبر من الاسلحة السيبرانية وسد الثغرات. حيث كان بالامكان التقليل من الضرر الناجم عن هجمات الرانسيم وير ,وتداركها بشكل كبير في حالة تحديث الانظمة بالتحديثات الامنية secuirty fixes

اهمية الاخذ بعين الاعتبار الخطر الداخلي insider threat actor والذي قد ينجم عن الموظفين او المستقدمين للشركات والمؤسسات الحكومية لا سيما ايضا في ظل سياسة العمل عن بعد او عن طريق امكانية نقل معلومات العمل الى المنزل لاي سبب كان. يجب وضع السياسات والضوابط الادارية والتقنية لتجنب تسريب اي معلومات سرية من جانب الموظفين. كما اسلفنا ان هارولد مارتين تمكن من نقل 50 تيرا بايت من مغلومات NSA الى اجهزته الشخصية وكذلك ايضا حدث مع ادوارد سنودن.

في نهاية هذه الحلقة أود أن اشكركم أيها الكرام على حسن استماعكم ونلقاكم في قصة و حادثة جديدة. لا تنسو متابعتنا على حساباتنا على السوشال ميديا في الاسفل و على موقعنا http://7awadeth.com. مع السلامة والى اللقاء…

References

• Darknet Diaries: 53- Shadow Brokers
• Unresolved podcast: The Shadow Brokers part 1 and part 2
• https://www.schneier.com/blog/archives/2017/05/who_are_the_sha.html
• https://en.wikipedia.org/wiki/The_Shadow_Brokers
• https://research.checkpoint.com/2021/the-story-of-jian/
• https://me-en.kaspersky.com/resource-center/threats/ransomware-wannacry
• https://www.csoonline.com/article/3204148/notpetya-and-shadow-brokers-july-vip-service-mystery-gift-dump-of-the-month-club.html
• https://danderspritz.com/
• https://www.nytimes.com/2017/04/15/us/shadow-brokers-nsa-hack-middle-east.html
• https://www.nopsec.com/blog/the-shadow-brokers-leaked-equation-groups-hacking-tools-a-lab-demo-analysis/
• https://www.politico.com/story/2016/10/biden-russia-hackers-message-229853
• https://en.wikipedia.org/wiki/Harold_T._Martin
• https://securityaffairs.co/wordpress/85075/malware/buckeye-doublepulsar.html

Music Credit

• Cyber Police - Cyberpunk Mix
• Biometric - SciFi
• Another Day - space
• Bensound - Once Again