تم إبلاغ الباحث في مجال الأمان الإلكتروني، تشارلي إريكسن، عبر رسالة إلكترونية أن الحاوية التي كانت تستخدمها مجموعة TeamPCP قد أُزيلت مساء الأحد، ولم تعد متاحة للاستخدام. وأوضح إريكسن أن الأدوات لم تكن بمستوى الاعتمادية المتوقعة، لكن لفترة كانت قادرة على تدمير الأنظمة المصابة.
البرمجية الخبيثة CanisterWorm وطرق الانتشار
مثل برمجيات TeamPCP السابقة، تستهدف هذه البرمجية، التي أطلقت عليها اسم CanisterWorm، خطوط أنابيب CI/CD الخاصة بالتطوير السريع والتحديث للبرمجيات في المؤسسات. ويشير إريكسن إلى أن أي مطور أو نظام CI يستخدم هذا الحزمة ويحصل على رمز npm يمكن أن يكون سببًا في نشر العدوى بشكل غير مقصود، حيث تنتقل البرمجية إلى حزم أخرى ويقوم المستخدمون بتنصيبها، مما يعيد دورة الانتشار إذا كانت الرموز موجودة لديهم.
تحديثات البرمجية وهدفها المزدوج
مع مرور الأسبوع، قامت مجموعة TeamPCP بتحديث CanisterWorm لإضافة حمولة خبيثة جديدة، وهي برنامج مسح (Wiper) يستهدف الأجهزة الموجودة في إيران بشكل حصري. عند إصابة جهاز، يتحقق البرنامج من ما إذا كان الجهاز موجهًا للمنطقة الزمنية الإيرانية أو معدًا للاستخدام هناك. وفي حال تحقق أحد الشرطين، يتوقف البرنامج عن سرقة البيانات ويبدأ في تنفيذ برنامج مسح يُطلق عليه “Kamikaze” من قبل مطوري TeamPCP.
ويشير إريكسن إلى أن حتى الآن، لا توجد أدلة على أن البرمجية تسببت في أضرار فعلية للأجهزة الإيرانية، لكن هناك إمكانية واضحة لانتشار واسع إذا نجحت في الانتقال بشكل فعال.
أسلوب البرمجية وتوجيهها
يصف إريكسن استراتيجية “Kamikaze” بأنها بسيطة وقاسية، حيث تعتمد على ظروف محددة لتنفيذ أوامرها، كما يلي:
– في حالة استخدام Kubernetes مع إيران: يتم نشر DaemonSet يمسح جميع عقد الكلاستر.
– في حالة استخدام Kubernetes في أماكن أخرى: يُنشر DaemonSet يثبت backdoor الخاص بـCanisterWorm على كل عقدة.
– في حال عدم استخدام Kubernetes مع إيران: يتم تنفيذ أمر حذف كامل للنظام باستخدام “rm -rf / –no-preserve-root”.
– في حال عدم وجود Kubernetes وأماكن أخرى: تنتهي العملية دون تنفيذ أي شيء.
موقف المجموعة من استهداف إيران
اختيار مجموعة TeamPCP لاستهداف دولة حالياً في حالة حرب مع الولايات المتحدة يثير استغرابًا، خاصة وأن دوافعها عادةً مالية. فبدون وجود علاقة واضحة بالمكاسب المالية، يبدو أن تنفيذ أدوات الحذف مثل Kamikaze يتنافى مع نمط المجموعة المعتاد.
وأشار إريكسن إلى أن الدوافع قد تكون أيديولوجية أو محاولة لجذب الانتباه، حيث أن المجموعة كانت تظهر سابقًا كجهة مالية، ولكنها الآن تتجه نحو إظهار قدراتها ورفع مستوى التهديد، خاصة عبر استهداف أدوات الأمان والمشاريع مفتوحة المصدر، بما في ذلك Checkmarx.
الهجمات المستمرة وسلسلة الثغرات
تعود هجمات الفريق الأخيرة إلى استغلال ثغرة في سلسلة التوريد الخاصة بأداة Trivy، والتي كانت نتيجة لاختراق سابق لشركة Aqua Security في فبراير. وعلى الرغم من محاولة الشركة استبدال البيانات المسربة، إلا أن عملية استبدال الاعتمادات لم تكتمل بشكل كامل، مما سمح لمجموعة TeamPCP بالسيطرة على حساب GitHub الخاص بنشر أدوات الفحص الأمني. وتعمل Aqua Security حاليًا على إجراء تنظيف شامل للاعتمادات المسربة لمنع تكرار الاختراق.
المصدر: Biz & IT – Ars Technica
