مجموعة StrongPity تزرع تروجان تجسس في تطبيق الحكومة السورية الإلكترونية E-gov.sy

قامت مجموعة الاختراق StrongPity APT مؤخرًا بتوسيع أنشطة القرصنة الخاصة بها باستخدام برامج Android كتطبيق تروجان. حيث استهدفت المجموعة بوابة الحكومة الإلكترونية السورية لنشر نظام تروجان أندرويد.

بينما أكد الباحثون أنهم لاحظوا استخدام هذه المجموعة لتطبيقات Android الضارة كجزء من هجماتهم الإلكترونية لأول مرة من خلال تطبيق e-gov.sy.

ماهي مجموعة StrongPity APT للاختراق؟

الأهداف الأساسية لمجموعة StrongPity APT هي استهداف تركيا وسوريا ، ويُعتقد أن مجموعة StrongPity APT نشطة منذ عام 2012. أطلق الباحثون الأمنيون في Microsoft الاسم الرمزي على StrongPity باسم “Promethium”.

في العام الماضي ، تموز 2020 ، تم تحديد هذه المجموعة على أنها مرتبطة بالعديد من أنشطة التجسس التي أصابت أهدافها بتطبيقات ضارة ومزيفة ؛ حيث اعتمدت المجموعة على زرع تروجان في تطبيقات مفيدة ومشهورة.

التحليل التقني للاختراق

ادعى خبراء الأمن في شركة Trend Micro security أن المتسللين قاموا باختراق بوابة الحكومة الإلكترونية للحكومة السورية ثم قاموا باستبدال التطبيق الأصلي بتطبيق يحوي على تروجان.

أثناء التحقيق ، اكتشف الباحثون أن المخترقين استضافوا ملف APK ضارًا على عنوان URL التالي:

https://egov[.]sy/mobile/egov[.]apk

وهذا التطبيق الضار قادر على سرقة قوائم الاتصال والملفات بامتداد محدد من جهاز الضحية ، مثل:

  • مستندات Word
  • مستندات Excel
  • ملفات PDF
  • الصور
  • مفاتيح الأمان
  • الملفات المحفوظة باستخدام Dagesh Pro Word Processor (.DGS)

بمجرد أن يسرق المتسللون هذه البيانات من الجهاز المستهدف ، يرسلونها لاحقًا إلى الخادم الذي يديره المخترقون. ووفقًا لمحللي الأمان ، فقد اكتشفوا ست عينات خبيثة بنفس اسم التطبيق وأسماء الحزم:

اسم التطبيق: “بوابتي”

اسم الحزمة: “com.egov.app”

علاوة على ذلك ، فإن الإصدار الخبيث من التطبيق يطلب أذونات إضافية على الهاتف أكثر من تلك الأصلية ، وهنا هي:

  • عرض جهات الاتصال
  • قراءة وكتابة وحدة التخزين الخارجية
  • أبقِ الجهاز مستيقظًا
  • الوصول إلى معلومات تحديد الموقع الجغرافي
  • معلومات مشغل الاتصالات
  • معلومات شبكات Wi-Fi
  • البدء التلقائي بعد الإقلاع
StrongPity APT

إلى جانب هذه المهام ، يمكن للتطبيق الضار الذي زرعه المتسللون أيضًا أداء مهام طويلة الأمد في الخلفية ، ومنها إرسال طلبات وأوامر إلى المخدم المستضيف.

وهنا يغير البرنامج الضار سلوكه وفقًا لتعليمات الضبط بمساعدة ملف تكوين config file يتم إرساله داخل حمولة مشفرة.

ماهي الملفات التي يجمعها التطبيق من جهاز الضحية؟

فيما يلي قائمة بامتدادات الملفات المحددة مسبقًا والتي تم استكشافها وجمعها من قبل المخترقين عن أجهزة الضحية:

  • .asc
  • .dgs
  • .doc
  • .docx
  • .edf
  • .gpg
  • .jpeg
  • .jpg
  • .key
  • .m2r
  • .meo
  • .pdf
  • .pgp
  • .pir
  • .pkr
  • .pub
  • .rjv
  • .rms
  • .sem
  • .sit
  • .skr
  • .sys
  • .xls
  • .xlsx
  • .7z
  • .ppt
  • .pptx
  • .rar
  • .rtf
  • .sft
  • .tc
  • .txt

أكد باحثو الأمن السيبراني أن المتسللين يطبقون عدة طرق لتقديم تطبيقات ضارة لإصابة ضحاياهم. لهذا السبب أوصوا بشدة جميع المستخدمين بإيقاف تثبيت التطبيقات من ميزة “المصادر غير المعروفة” على أجهزة Android الخاصة بهم.

على الأغلب لم تستطع الجهة المطورة لتطبيق الحكومة الاللكترونية في سورية نشر التطبيق على متجر غوغل بسبب العقوبات, مما اضطرهم إلى نشره على موقع الحكومة الخاص, ولكن لم يتم تأمين المخدم كفاية لضمان عدم تعرضه لهكذا اختراقات.