النجاح الإخباري - قام فريق البحث والتحليل العالمي لدى شركة كاسبرسكي لاب بنشر نتائج أبحاثه الخاصة بشأن هجمات شنتها برمجية خبيثة اسمها OlympicDestroyer، مقدماً دليلاً تقنياً على وجود راية زائفة متطورة وضعتها الجهة المنفذة للهجمات داخل دودة من أجل ضرب الأنظمة المختصة بالإيقاع بالتهديدات.

واحتلت الدودة OlympicDestroyer، التي يعني اسمها “مُخرِّبة الألعاب الأولمبية”، عناوين رئيسية في وسائل الإعلام خلال بطولة الألعاب الأولمبية الشتوية التي أقيمت في مدينة بيونغ تشانغ، التي شهدت وقوع هجمات إلكترونية أدت إلى إحداث شلل مؤقت في أنظمة تقنية المعلومات قبيل حفل الافتتاح الرسمي للبطولة التي أقيمت في فبراير الماضي، ما أدى إلى إغلاق شاشات العرض وتعطيل شبكة الإنترنت اللاسلكية وإغلاق موقع الألعاب الأولمبية، فلم يتمكن الزوار من طباعة تذاكر حضور الألعاب والمباريات.

ووجدت كاسبرسكي لاب أيضاً أن العديد من المرافق في منتجعات التزلج التي استضافت البطولة في كوريا الجنوبية عانت تخريباً جرّاء هذه الدودة، حيث شمل التخريب أعطالاً في عمل بوابات التزلج ومصاعد التزلج فيها، واتضحت قدرة هذه البرمجية الخبيثة على التخريب، بالرغم من أن التأثير الفعلي للهجمات كان محدوداً.

ومع ذلك ، فإن الاهتمام الحقيقي الذي أبداه قطاع الأمن الإلكتروني بهذه الحادثة، لم يكن في الضرر الفعلي أو المحتمل، ولكن في منشأ هذه البرمجية الخبيثة، ولعل أية برمجية خبيثة متطورة أخرى لم تحظَ من قبل بهذا الكم من فرضيات الإسناد التي وضعت لبرمجية OlympicDestroyer الخبيثة، التي تمكنت فرق البحث العاملة في جميع أنحاء العالم من ربطها بمخربين في روسيا والصين وكوريا الشمالية في غضون بضعة أيام من اكتشافها، وذلك استناداً إلى عدد من السمات التي كانت تنسب سابقاً إلى جهات تجسسية وتخريبية يزعم أنها تتخذ من هذه الدول مقراً أو تعمل لصالح حكوماتها.

ومع ذلك، فإن اختلاف الدوافع ووجود تناقضات أخرى مع التكتيكات والأساليب والإجراءات المتبعة في لازاروس، التي اكتشفت خلال تحقيقات كاسبرسكي لاب في موقع المنشأة المخترقة في كوريا الجنوبية، جعل الباحثين يعيدون النظر في هذا العمل التخريبي النادر.

وبعد إلقاء نظرة فاحصة أخرى على الأدلة وإجراء عملية تحقق يدوي من كل صفة، اكتشف الباحثون أن مجموعة الصفات لم تتطابق مع الشيفرة البرمجية، إذ تم تزييفها لتتناسب تماماً مع بصمة عصابة لازاروس.

ونتيجة لذلك، خلص الباحثون إلى أن بصمة الصفات كانت عبارة عن راية زائفة متطورة للغاية، تم وضعها عمداً داخل البرمجية الخبيثة من أجل إيهام الجهات المختصة بالإيقاع بأخطار التهديدات بأنهم عثروا على دليل دامغ، ما يتسبب في تضليلهم وإخراجهم عن مسار الإسناد الدقيق.

ولا يزال الإسناد الدقيق لبرمجية OlympicDestroyer الخبيثة سؤالاً مفتوحاً، لأنه مثال فريد على رفع راية زائفة متطورة للغاية، ومع ذلك، فقد وجد باحثو كاسبرسكي لاب أن المهاجمين استخدموا خدمة حماية الخصوصية NordVPN ومقدم خدمة استضافة يدعى MonoVM، كلاهما يقبل التعامل بالبيتكوين، وقد وجد أن هذه السمات إلى جانب بعض التكتيكات والأساليب والإجراءات المكتشفة تستخدم من قبل مجموعة صوفاسي Sofacy التخريبية الناطقة بالروسية.