رصدت شركة إسيت (ESET) لأمن المعلومات هجومًا إلكترونيًا جديدًا يبدو أنه يستهدف أوكرانيا ومصمم لاستبدال ملفات نظام التشغيل ويندوز المهمة.

وقالت إسيت في تغريدة لها: “في 25 كانون الثاني/ يناير، اكتشف #ESETResearch هجومًا إلكترونيًا جديدًا في أوكرانيا حيث نشر المهاجمون أداة جديدة لمسح الملفات، أطلقنا عليها اسم #SwiftSlicer، وذلك باستخدام نهج مجموعة الدليل النشط (Active Directory Group Policy). وقد صُنعت أداة المسح #SwiftSlicer بلغة البرمجة Go. وإننا ننسب هذا الهجوم إلى #Sandworm”.

يُشار إلى أن نهج مجموعة الدليل النشط هو جزء مهم من التعليمات في بيئة الدليل النشط في نظام ويندوز التي يمكن لمسؤولي تقنية المعلومات تكوينها. ويحدد نهج مجموعة الدليل النشط السلوك والامتيازات للمستخدمين وأجهزة الحاسب.


كما يُشار إلى أن (Sandworm)، المعروفة أيضًا باسم الوحدة 74455 (Unit 74455)، هي مجموعة من القراصنة العسكريين الروس الذين يعملون لصالح المديرية الرئيسية لهيئة الأركان العامة للقوات المسلحة الروسية. وإليها أيضًا يُنسب عدد من الهجمات الأخرى في أوكرانيا، مثل: هجوم عام 2015 على شبكة الكهرباء.


وفي تغريدة أخرى قالت (ESET): “عند تنفيذها، فإن الأداة تحذف النسخ الاحتياطية وتستبدل بصورة متكررة الملفات الموجودة في الدليل %CSIDL_SYSTEM%\drivers، والدليل %CSIDL_SYSTEM_DRIVE%\Windows\NTDS، ومحركات الأقراص الأخرى غير التابعة للنظام ثم تعيد تشغيل الحاسوب”.

وتُعد لغة البرمجة (Go)، التي تشكل أساس الهجوم، ذات قيمة لدى جهات التهديد الفاعلة لتعدد استخداماتها، ثم إن عددًا من الشركات الكبرى تستخدمها لأسباب مشروعة، مثل: جوجل، وتويتر، وباي بال.


ووفقًا لفريق الاستجابة لطوارئ الحاسوب في أوكرانيا، فقد شنت (Sandworm) عددًا من الهجمات الأخرى في البلاد، ومن ذلك: خمس هجمات لمحو البيانات على وكالة الأنباء الوطنية الأوكرانية (Ukrinform).


وعُثر على أن سلسلة واحدة من أداة محو البيانات (CaddyWiper) التي استُخدمت في الهجوم على وكالة الأنباء الأوكرانية، في عدد من الهجمات على أوكرانيا، مما يشير إلى تورط مجموعة (Sandstorm).