فيروس Adylkuzz هو برنامج خبيث لتعدين العملات التشفيرية و بالأخص عملة ال Monero ، تم إكتشافه بصفة تعتبر متأخرة بعض الشيء من قبل شركة أمن المعلومات المشهورة Proofpoint بعدما كان فريق الحماية فيها يعمل على تحليل فيروس الفدية WannaCry اللذي تمت برمجته لكي يستغل ثغرة ال SMB الموجودة في نظام التشغيل ويندوز اللتي وقع تسريبها من قبل مجموعة The Shadow Brokers في 14 ابريل 2017 ، وذلك بعد أن تم تسريبها من Equation Group ، والتي لم يتم تحديد ماهيتها إلى حد الآن هل هي مجموعة من الهاكرز تابعين ل وكالة الأمن القومي الأمريكي NSA أم أن الإسم هو مجرد مدلول لمجموعة من أدوات الهاكرز .
فيروس Adylkuzz و حيثيات إكتشافه :
في هذا الأسبوع بينما كان أحد فريق الحماية في شركة أمن المعلومات Proofpoint و اللذي يدعى Kafeine يقوم ب تجربة على جهاز يعمل بنظام التشغيل ويندوز مصاب بثغرة SMB ، تتمثل في شن هجوم بإستعمال أدوات EternalBlue و DoublePulsar المسربة من مجموعة Equation Group ، لكي يحلل فيروس الفدية WannaCry ، إذ به يتفاجئ بحصول بطأ كبير في جهازه خاصة في بروتوكول TCP بعد إتصاله بالإنترنت لمدة 20 دقيقة ، و عند فحصه للحزمات Packets اللتي يتم تبادلها عبر الشبكة ، عثر على برمجية خبيثة تدعى Adylkuzz تقوم بإرسال عدد كبير من البيانات إلى سيرفر خارجي أو بالأحرى إلى بوتنت Botnet لتعدين العملة التشفيرية .
و كما أكد على ذلك زميله Nicolas Godier الخبير في أمن المعلومات بالقول :
” إذا أصيب جهازك بفيروس Adylkuzz فإنه سيصبح أكثر بطأ من العادة “.
كيف يعمل فيروس Adylkuzz ؟
يقوم فيروس Adylkuzz بإستغلال ثغرة SMB الموجودة في نظام التشغيل ويندوز و ينصب نفسه بصفة ساكنة للغاية ، ومن ثم يقوم بتعدين العملة التشفيرية ال Monero من خلال معالج الكمبيوتر عن طريق القيام بعمليات حساب ذات خوارزميات معقدة ، كما هو الحال في تعدين عملة البتكوين ، و من ثم يتصل ببوتنات خاص بالتعدين للقيام بعمليات تحويل العملة .
و لكن الأدهى من ذلك كله أن فيروس Adylkuzz يقوم في البداية و قبل كل شيء بغلق منفذ SMB كليا لضمان عدم إستغلاله من أي هاكرز آخر و ذلك بهدف منع الآخرين من إستعماله بغاية تعدين العملة أو أشياء أخرى مع اللذين برمجوا فيروس Adylkuzz 🙂
وهذا في الحقيقة أدى إلى تقلص إنتشار فيروس الفدية WannaCry !! .
و يجدر الإشارة هنا إلى أنه في تقرير تم نشره من طرف شركة Kaspersky في شهر أبريل الماضي ، ذكر فيه أن مجموعة تسمى Lazarus و المقربة جدا من النظام الكوري الشمالي ، والمتهمة حاليا في تطوير فيروس الفدية WannaCry ، هي اللتي كانت ولازالت تعدن و تنتج عملة ال Monero منذ وقت طويل و تستعملها في أغراض مشبوهة في سوق AlphaBay في الديب ويب .
إحصائيات حول فيروس Adylkuzz ؟
تم الكشف على أول نشاط لفيروس Adylkuzz في يوم 24 أبريل 2017 و هو بذلك سابق لفيروس WannaCry و من المحتمل حسب ما صرح به Robert Holmes مسؤول الحماية في تصريح لموقع AFP المختص في نشر المعلومات الهامة و المحايدة يوم أمس 17 -05- 2017 للعلن ، أن عدد الأجهزة المصابة يمكن أن يكون بمئات الآلاف و أن العدد اللذي تم كشفه إلى حد الآن قام بتعدين ملايين الدولارات ، في سابقة هي الأولى من نوعها في العالم من حيث قوة هذا الفيروس .
و في خضم هذا كله ، لا نملك سوى أن ننتظر ماذا ستؤول إليه الأوضاع خلال الأيام القادمة و ماهي حقيقة مجموعة Equation Group و The Shadow Brokers و فيروس WannaCry و فيروس Adylkuzz و الله أعلم ما اللذي سيأتي بعدهم من فيروسات ، في سابقة هي الأولى والأخطر من نوعها في العالم في المجال الرقمي .
ولمزيد المعلومات المتصلة بهذا الموضوع أنصحك بزيارة هذه الروابط :
- تصريح هيئة تنظيم الاتصالات بالامارات حول فيروس Wanna Cry .
- فيروس WANNACRY في السعودية يهاجم شركة الاتصالات STC .