قامت Microsoft بتفكيك الباب الخلفي المدمر لنظام Windows الذي تسميه جيجا ويبر. ما يبرز هو كيفية بنائها: ليست أداة واحدة بل ثلاثة برامج تدميرية قديمة مدمجة في برنامج واحد، ويتم تقديمها كأوامر يمكن للمشغل الاختيار من بينها.

كل منها عبارة عن طريقة مختلفة لكسر جهاز: مسح القرص بالكامل، أو الكتابة فوق محرك أقراص Windows، أو تشغيل “برامج فدية” مزيفة تقوم بتشويش الملفات باستخدام مفتاح لا يحفظه أبدًا.

نظرًا لأن هذه برامج ضارة وليست عيبًا واحدًا، فلا يوجد تصحيح يمكن ملاحقته؛ GigaWiper هو ما يقوم المهاجم بتشغيله بعد أن يكون بداخله بالفعل، مما يجعل الاكتشاف المبكر والنسخ الاحتياطي النظيف وغير المتصل بالإنترنت هو الدفاع الحقيقي.

تظهر نفس الملفات الضارة في تقرير ثانٍ تحت اسم آخر: بلورابت، تم وضع علامة على الباب الخلفي للدفاع الثنائي الشهر الماضي.

تسرد Microsoft أربعة تجزئات للباب الخلفي GigaWiper؛ يسرد Binary Defense نفس الأربعة لـ BLUERABBIT، ويتطابق كلا خوادم الأوامر. تربط Binary Defense، نقلاً عن مجموعة Threat Intelligence Group التابعة لشركة Google، البرامج الضارة بمجموعة محتملة مرتبطة بإيران تستهدف المنظمات الإسرائيلية. مايكروسوفت لا تذكر أي دولة.

ثلاث طرق لتدمير الآلة

GigaWiper مكتوب بلغة Go (وتسمى أيضًا Golang) ويعمل على نظام Windows. إنها تأخذ الأوامر كأوامر مرقمة، وثلاثة منها تدمر الآلة، كل منها بطريقة مختلفة:

  • ممسحة قرص خام تقوم بالكتابة فوق محرك الأقراص الفعلي وتمسح جدول الأقسام (خريطة كيفية تخطيط القرص) قبل إعادة التشغيل. لا يوجد حذف ملف تلو الآخر لعكسه؛ فهو يدمر محتويات القرص مباشرة.
  • برامج الفدية الزائفة المبنية على تعليمات برمجية قديمة تسمى كروسيو. فهو يقوم بتشفير الملفات، وإضافة امتداد .candy، وتغيير خلفية سطح المكتب إلى صورة تحذيرية مثيرة للقلق. لا توجد مذكرة فدية ولا مفتاح محفوظ، لذلك ليس هناك ما تدفعه ولا شيء لفك تشفيره. هذا هو الدمار الذي يرتدي زي برامج الفدية.
  • يستهدف الأخير محرك أقراص Windows، ويستبدله عدة مرات بأنماط بيانات مختلفة. تقول Microsoft إنها عبارة عن إعادة كتابة Go للممسحة التي تتتبعها FlockWiper.

لا شيء من هذا يترك طريقًا للوراء: لا يمكن فتح الملفات المشفرة لأن المفتاح قد اختفى، ولا يمكن إعادة بناء محركات الأقراص التي تم مسحها إلا من خلال نسخ احتياطية نظيفة. الهدف هو آلة ميتة، وليس دفع تعويضات.

إنه يتجسس أيضًا

الدمار هو نصفه فقط. يمكن لنفس الباب الخلفي مراقبة جهاز الكمبيوتر المصاب والتحكم فيه بهدوء. فهو يأخذ لقطات شاشة لكل شاشة، ويسجل الشاشة أثناء عمل شخص ما، ويمكنه فتح جلسة VNC مخفية تعمل على دفق الشاشة وتسمح للمهاجم بالكتابة وتحريك الماوس.

كما أنه يجمع تفاصيل النظام، ويدير البرامج والخدمات قيد التشغيل، ويحرر السجل، ويمكنه مسح سجلات أحداث Windows لتغطية مساراته. عثرت Microsoft على المزيد من الأوامر الخاملة في العينات التي فحصتها، بما في ذلك بذرة برنامج Keylogger ومساحات إضافية.

للبقاء بعيدًا عن الأنظار، يتظاهر GigaWiper بأنه OneDrive. يقوم بإنشاء مهمة مجدولة تسمى OneDrive Update والتي يتم تشغيلها كل دقيقة وتتتبع نفسها في مفتاح التسجيل ضمن HKCU\SOFTWARE\OneDrive\Environment. عندما يفتح قناة التحكم عن بعد الخاصة به، فإنه يختبئ خلف قاعدة جدار الحماية المسماة على اسم مكون Windows الحقيقي، Microsoft.Windows.CloudExperienceHost.

بالنسبة لحركة مرور الأوامر الخاصة بها، فإنها تتخطى طلبات الويب العادية وتعتمد على خدمات الأعمال الحقيقية بدلاً من ذلك: RabbitMQ لتنفيذ المهام، وRedis للنتائج، وMinIO للتسلل. ونظرًا لأن هذه أدوات مشروعة وليست قناة مخصصة للبرامج الضارة، فإن حركة المرور تبدو عادية على الشبكات التي تقوم بتشغيلها بالفعل.

من أين جاء GigaWiper

تقوم Microsoft بتتبع رمز برنامج الفدية المزيف الخاص بـ GigaWiper إلى Crucio وممسحة التمريرات المتعددة الخاصة به إلى FlockWiper، وتقدر أن المطور نفسه هو من قام ببناء الثلاثة. ولا يذكر اسم أي دولة. لكن Crucio ليس مجهولا. تم إدراج الكود الخاص به كبرنامج فدية مشتبه به في تقرير CISA الصادر في ديسمبر 2023 بشأن CyberAv3ngers، وهي مجموعة مرتبطة بالحرس الثوري الإسلامي الإيراني.

هذا هو نفس الطاقم، حسبما ذكرت THN، الذي اقتحم مواقع المياه والطاقة في جميع أنحاء الولايات المتحدة وإسرائيل والمملكة المتحدة وأيرلندا في عام 2023، وقام بتسجيل الدخول إلى وحدات التحكم الصناعية المكشوفة عبر الإنترنت. وفي إحدى الحالات، سيطروا على محطة تعزيز في هيئة المياه في بنسلفانيا. يحمل نموذج Crucio الذي تستشهد به Microsoft نفس بصمة الإصبع المدرجة في هذا الاستشارة.

عثرت Microsoft أيضًا على علامة متكررة، “GRAT”، في كل من مسارات تصحيح الأخطاء الخاصة بـ FlockWiper وأسماء الوظائف الخاصة بـ GigaWiper، مما أدى إلى ربط الأداتين معًا والتلميح إلى مكون آخر لم يظهر بعد. يختلف التوقيت حسب المصدر: تقوم Microsoft بتأريخ النشاط المدمر إلى أكتوبر 2025، بينما شاهد Binary Defense لأول مرة نفس الملفات مثل BLUERABBIT في مارس 2026.

جزء من موجة أكبر

وقد أثار نشاط المسح المرتبط بإيران ضد إسرائيل تحذيرات متكررة خلال عامي 2025 و2026. وقد تتبعت الوحدة 42 التابعة لشركة Palo Alto Networks موجة موازية، معظمها من مجموعة منفصلة، ​​Handala Hack، وفي مارس 2026، حذرت المديرية السيبرانية الوطنية الإسرائيلية من هجمات المسح الإيرانية على المنظمات المحلية.

إن التكتيك الذي يستخدمه GigaWiper قديم: فقد ظهر NotPetya في عام 2017 أيضًا كبرنامج فدية أثناء تدمير البيانات بهدوء. يشتري التنكر الوقت للمهاجم: تبدو الآلة المحطمة في البداية وكأنها حالة برنامج فدية قد يتعافى منها شخص ما، وليس الخسارة الكاملة التي هي عليه.

تقوم Microsoft بتأطير GigaWiper حيث يقوم المشغلون بدمج أدوات منفصلة في منصة واحدة مرنة. بالنسبة للمدافعين، فإن النتيجة ملموسة: عندما تتمكن غرسة واحدة من المراقبة أو السرقة أو التدمير، فإن الأداة لم تعد تكشف الهدف. لقد اعتدت على قراءة النوايا من البرامج الضارة التي عثرت عليها؛ وهنا يقرر عامل الهاتف بعد أن يكونوا بالداخل بالفعل.

يشير نظام أساسي واحد واسمان للبائعين وقواعد الأوامر الخاملة التي لا تزال موجودة في التعليمات البرمجية إلى أداة لا تزال قيد الإنشاء.

ما يجب على المدافعين القيام به

اكتشافه بسرعة يعود إلى بعض الإشارات المحددة:

  • مهمة مجدولة لتحديث OneDrive تتكرر كل دقيقة.
  • حركة مرور RabbitMQ أو Redis من أجهزة سطح المكتب العادية بدلاً من الخوادم.
  • العمليات التي تستخدم takeown وicacls للحصول على ملكية ملفات تمهيد Windows مثل bootmgr وntoskrnl.exe خارج نوافذ الصيانة.

من ناحية المنتج، توصي Microsoft بتشغيل الحماية من العبث حتى لا يتمكن المهاجمون من إيقاف تشغيل برنامج مكافحة الفيروسات الخاص بك، مما يؤدي إلى حظر خادمي الأوامر المعروفين (185.182.193)[.]21 و 212.8.248[.]104)، وتشغيل الكشف عن نقطة النهاية في وضع الحظر، وتمكين الحماية المقدمة من السحابة والمعالجة التلقائية. القائمة الكاملة لتجزئة الملفات وعناوين الخادم وأسماء الاكتشاف موجودة في تقرير Microsoft.

تواصلت Hacker News مع Microsoft وBinary Defense للتأكيد على أن GigaWiper وBLUERABBIT هما نفس البرنامج الضار، وللحصول على تفاصيل حول نطاق الضحية وإسناده، وسوف نقوم بتحديث هذه القصة بأي رد.

شاركها.
اترك تعليقاً