[www.cyberkov.com](http://www.cyberkov.com/) info@cyberkov.com # التحقيق حول حملة تجسس الكتروني تستهدف النافذين والسياسيين المؤثرين في ليبيا ### TLP: White For public distribution للنشر العام صالحة ###### م 2016 // سبتمبر 18 هـ1437 / / ذي الحجة 17 ## مالحقة عقارب ليبيا # التحقيق حول حملة تجسس الكتروني تستهدف النافذين والسياسيين المؤثرين في ليبيا ### TLP: White For public distribution للنشر العام صالحة ----- #### رب يبي ا :تنويه قانوني ###### أساسي من شركة سايبركوف نحو األمتين ا لعربية الوثيقة لالستعمال والتوزيع العام من باب نشر الوعي العام كواجبتجهيز هذه تم نشر هذه الوثيقة او توزيعها دون اإلشارة إلى شركة سايبركوف .واإلسالمية ولتعم الفائدة على الجميع كما تجب اإلشارة أنه ي منع .كمرجع لهذه الوثيقة تم إعداد هذه الدراسة من قبل شركة سايبركوف لتقنية المعلومات ومقرها األساسي في عاصمة دولة الكويت. #### معلومات عن الوثيقة ###### لحقة عقارب ليبيا ما عنوان الوثيقة للنشر العام العميل لوللصدار اأ اإ النسخة 2016\سبتمبر\1 لعداداتاريخ ا 2016\سبتمبر\18 تاريخ آخر التعديل صالحة للنشر والتوزيع العام السرية PD-001 المرجع #### معلومات االتصال ###### لميلعا المكتب اإ لسماا media@cyberkov.com للكترونياالبريد ا +965 22445500 رقم الهاتف +1 (888) 433-3113 رقم الفاكس +965 22445500 المكتب رقم info@cyberkov.com لسئلة العامةلأ **حقوق العالمة التجارية** ويُمنع استعمالها او استغاللها دون إذن "هي عالمات تجارية مسجلة وموثقة في الواليات المتحدة األمريكية وروسيا الفدرالية سايبركوف " وشعار سايبركوف(Cyberkov) كما .تعود ملكية جميع العالمات التجارية األخرى المذكورة في هذه الوثيقة إلى أصحابها سواء أفراد أو منظمات وتخضع شروط استخدام عالمةخطي من شركة سايبركوف ، على خالف ذلك صراحة. ت نص الشركةسايبركوف التجارية لما هو معمول به في دولة الكويت ، ما لم |ايبيل براقع ةقحلما|ةقيثولا ناونع| |---|---| |ماعلا رشنلل|ليمعلا| |لولاأ رادصلاإ|ةخسنلا| |2016\ربمتبس\1|دادعلاا خيرات| |2016\ربمتبس\18|ليدعتلا رخآ خيرات| |ماعلا عيزوتلاو رشنلل ةحلاص|ةيرسلا| |PD-001|عجرملا| |يملعا لاإ بتكملا|مسلاا| |---|---| |media@cyberkov.com|ينورتكللاا ديربلا| |+965 22445500|فتاهلا مقر| |+1 (888) 433-3113|سكافلا مقر| |+965 22445500|بتكملا مقر| |info@cyberkov.com|ةماعلا ةلئسللأ| #### معلومات عن الوثيقة ###### لحقة عقارب ليبيا ما للنشر العام لوللصدار اأ اإ 2016\سبتمبر\1 لعداد 2016\سبتمبر\18 تاريخ آخر التعديل صالحة للنشر والتوزيع العام PD-001 #### معلومات االتصال ###### لميلعا المكتب اإ media@cyberkov.com للكتروني +965 22445500 +1 (888) 433-3113 +965 22445500 info@cyberkov.com ----- #### رب يبي ا فهرس المحتويات 1.................................................................................................................................................... معلومات عن الوثيقة 1....................................................................................................................................................... معلومات االتصال 3......................................................................................................................................نظرة عامة حول القصة والحدث 3........................................................................................................................................................يوم االستهداف 4.............................................................................................................التكتيكات والتقنيات واإلجراءات والخطط المستخدمة 6.....................................................................................................................................................تحليل الملف الخبيث 20.......................................................................................................................... صال مع مركز القيادة والتحكمتحليل االت 20...............................................................................................................................Sinkholeإعادة توجيه االتصال 23....................................................................................................................................مركز القيادة والتحكم الحقيقي 24.............................................................................................................................. متابعة ومراقبة مجموعة عقارب ليبيا 28................................................................................................................................ البنية التحتية لمجموعة عقارب ليبيا 32.................................................................................................................................................... ...مالحقة مستمرة 32..........................................................................................................توصيات أمنية لحماية أجهزة أندرويد من عقارب ليبيا 32.......................................................................................................................................... IoCsمؤشرات اإلختراق ........................................................................................................................................................ ................................................................................................التكتيكات والتقنيات واإلجراءات والخطط المستخدمة ................................................................................................................................ .......................................................................................................................... صال مع مركز القيادة والتحكم ...............................................................................................................................Sinkholeإعادة توجيه االتصال ................................................................................................................................مركز القيادة والتحكم الحقيقي .............................................................................................................................. متابعة ومراقبة مجموعة عقارب ليبيا ................................................................................................................................ البنية التحتية لمجموعة عقارب ليبيا .................................................................................................................................................... ... ................................................................................................توصيات أمنية لحماية أجهزة أندرويد من عقارب ليبيا ................................................................................................................................ IoCsمؤشرات اإلختراق - ----- #### رب يبي ا والحدث نظرة عامة حول القصة التي أدت الى سقوط نظام القذافي، وتعرف بنشوب حرب بين مجموعات فبراير 17ربما ت عرف ليبيا أنها دولة غير مستقرة سياسيا منذ ثورة[ً] ق مختلفة بهدف السيطرة والتحكم باألر،ض والمناطق ومصادر الثروة والنفط لكنها بكل تأكيد لم تكن تعرف قبل هذا التقرير بأنها أرض ينطل اليومفة، أما في عمليات الصراع بين المجموعات المختل باستخدام التجسس اإللكترونيني ولم تكن تعرف منها الهاكرز والجواسيس اإللكتروني .مختلفة فلدينا قصة ه ات الشخص وعالقاتفراد والمجموعات أحد العوامل الرئيسية لقلب دفة الصراعات فبه يتم دراسة تحركيعد التجسس اإللكتروني اليوم على األ .خاصة إذا كان هذا الشخص ذو نفوذ سياسي وعسكري الشخصية وخططه العسكرية وكذلك خداعه وخداع زم،الءه وهذا ما سيبينه هذا التقرير Cyberkov Security وصلت لشركة سايبركوف ولفريقها المتخصص بتحليل األخطار األمنية 2016 أغسطس 6 في األسابيع الماضية وبتاريخ عدد من برامج التجسس اإللكتروني التي تعمل على منصة اآلندرويد والتي نجحت في استهداف Incident Response team (CSIRT) كهدف أساسي للجواسيس الذين أطلقنا عليهم لقب ( عقارب ليبيا ) بسبب سلوكهمدولة ليبيا مجموعة من السياسيين والنافذين والمؤثرين في و تنشط شبكة كاملة من الضحايا ال تنتهياختراقهم ليتمكنوا بعد ذلك من تكوين ثمالمستخدم ثم استهداف زمالئه وخداعهم الخبيث في خداع .منطقتي طرابلس وبنغازي "مجموعة "عقارب ليبيا بشكل خاص في قبة أثر هذا التجسس ال ينحصر في مرا صراع عسكري تسفك فيه الدماء ويقتل به الناس سواء ،بحق وبغير وجه حق فإنالليبي وألن الصراع ها.ن بعيد بواسطة الطائرات غير وة تحركاته بكافة تفاصيلها مما يسهل قتله أو اغتياله أو قصفه مالشخص فقط بل بتتبع مكانه ومعرف ا لعسكري أشكال الحرب والعملوبهذا ندرك أن خطر التجسس اإللكتروني واالستهداف اإللكتروني المباشر لألشخاص أصبح شكال رئيسيا من .مثله مثل استخدام الطائرات بدون طيار في االغتيال ولكنه يمارس من خلف شاشات الكمبيوتر وبواسطة لوحات المفاتيح لشن حرب عن بعد #### يوم االستهداف اختراق حساب التيلجرام الخاص با حد السياسيين الليبيين المؤثرين بطريقة غير معروفه تم 2016 أغسطس 6 في صبيحة يوم السبت بتاريخ [دليلك ن " في تدوينه بعنوا[ً] لكن الشخص المستهدف لم يكن يستخدم "الحماية الثنائية" لحسابه الخاص بتطبيق تيليجرام وكنا قد أوصينا سابقا[ً]حاليا](https://blog.cyberkov.com/2361.html) الى الوعييفتقر أسهل، وألن الشخص المستهدفاستهدافه فكان "لمان! بأقصى درجة من السرية واأ [Telegramنحو إستخدام تطبيق تيليجرام](https://blog.cyberkov.com/2361.html) منه أنه يحمي نفسه بهذه الطريقة .اآلندرويد ظنا[ً] وني المطلوب قام بحذف تطبيق تيليجرام من جهازه اإللكتر وارسالاسمه ب بالشخص المستهدف ثم مراسلتهمة قائمة االتصال الخاصو جودين فيبمراسله كافة الم "في اليوم التالي قام جواسيس "عقارب ليبيا واإلستماع اليه ، ونالحظ هنا أن "عقارب ليبيا" أخطئوا في على أنه ملف صوتي هام يجب تحميله "Voice Massege.apk باسم" ملف خبيث "والتي تعني "رسالة مما يعطي انطباعا ان من يقف خلف العملية[ً] "Message المقصود فيها هنا كلمة " "Massegeلم" ةتسمية الملف فك .شخص أو مجموعة عربية وليست أجنبية أو جهة خارجية ن "امج تجسسي مدموج مع برنامج حقيقي خاص باآلندرويد يقوم بعمل "تصغير" هو في الحقيقة ملف خبيث وبرVoice Massege.apk" ملف’ ارسال هذا الملف الخبيث لقوائم االتصال الجديدة باختراق ا لشخص تقوم مجموعة "عقارب ليبيا" بعدابط وهو موجود بمتجر قوقل الر،سمي الرو تلو الشخص وبذلك تحصل على شبكة من الم ختر قين والم ت.جسس عليهم اإللكتروني والب حث والتحليل الخبيثة لمعرفة أهدافهم وعملياتهم ومن خالل التحقيقها رامجب وتحليلوعة مالمجفي سايبركوف قمنا ب تتبع هذه نحن األشخاص المستهدفين، كما تبين من التحليل أن عنواالستخبارات ا لمعلومات أدركنا أن هذه المجموعة ذات أهداف سياسية وهدفها جمعالفني ، وتستهدف أن ظمة التشغيل "وندوز" و وحتى يومنا هذا 2015 شهر سبتمبر لسنةهذه المجموعة تعمل في مجال التجسس اإللكتروني منذ .""آندرويد [ً] ومعقدة، لكنهم يمتلكون خبرة جيدة في عملية الخداع "الهندسة االجتماعية" لكننا ندرك يقينيا[ً]ليست متقدمة جداواختراقها طريقة عمل المجموعة .لتكون هجماتك فعاله ومؤثرةمحترف المهارات وذو مستوى متقدم أنك ال تحتاج ألن تكون Cyberkov Security وصلت لشركة سايبركوف ولفريقها المتخصص بتحليل األخطار األمنية 2016 أغسطس 6 في األسابيع الماضية وبتاريخ عدد من برامج التجسس اإللكتروني التي تعمل على منصة اآلندرويد والتي نجحت في استهداف Incident Response team (CSIRT) كهدف أساسي للجواسيس الذين أطلقنا عليهم لقب ( عقارب ليبيا ) بسبب سلوكهمدولة ليبيا مجموعة من السياسيين والنافذين والمؤثرين في شبكة كاملة من الضحايا ال تنتهياختراقهم ليتمكنوا بعد ذلك من تكوين ثمالمستخدم ثم استهداف زمالئه وخداعهم .منطقتي طرابلس وبنغازي "مجموعة "عقارب ليبيا بشكل خاص في أثر هذا التجسس ال ينحصر في مرا صراع عسكري تسفك فيه الدماء ويقتل به الناس سواء ،بحق وبغير وجه حق فإنالليبي ها.ن بعيد بواسطة الطائرات غير وة تحركاته بكافة تفاصيلها مما يسهل قتله أو اغتياله أو قصفه مالشخص فقط بل بتتبع مكانه ومعرف أشكال الحرب والعملوبهذا ندرك أن خطر التجسس اإللكتروني واالستهداف اإللكتروني المباشر لألشخاص أصبح شكال رئيسيا من .مثله مثل استخدام الطائرات بدون طيار في االغتيال ولكنه يمارس من خلف شاشات الكمبيوتر وبواسطة لوحات المفاتيح لشن حرب عن بعد #### يوم االستهداف اختراق حساب التيلجرام الخاص با حد السياسيين الليبيين المؤثرين بطريقة غير معروفه تم 2016 أغسطس 6 في صبيحة يوم السبت بتاريخ في تدوينه بعنوا[ً] لكن الشخص المستهدف لم يكن يستخدم "الحماية الثنائية" لحسابه الخاص بتطبيق تيليجرام وكنا قد أوصينا سابقا يفتقر أسهل، وألن الشخص المستهدفاستهدافه فكان "لمان! بأقصى درجة من السرية واأ [Telegramنحو إستخدام تطبيق تيليجرام](https://blog.cyberkov.com/2361.html) منه أنه يحمي نفسه بهذه الطريقة .اآلندرويد ظنا[ً] وني المطلوب قام بحذف تطبيق تيليجرام من جهازه اسمه ب بالشخص المستهدف ثم مراسلتهمة قائمة االتصال الخاصو جودين فيبمراسله كافة الم "في اليوم التالي قام جواسيس "عقارب ليبيا واإلستماع اليه ، ونالحظ هنا أن "عقارب ليبيا" أخطئوا في على أنه ملف صوتي هام يجب تحميله "Voice Massege.apk باسم" "والتي تعني "رسالة مما يعطي انطباعا ان من يقف خلف العملية[ً] "Message المقصود فيها هنا كلمة " "Massegeلم" ة .شخص أو مجموعة عربية وليست أجنبية أو جهة خارجية ن "امج تجسسي مدموج مع برنامج حقيقي خاص باآلندرويد يقوم بعمل "تصغير" هو في الحقيقة ملف خبيث وبرVoice Massege.apk ارسال هذا الملف الخبيث لقوائم االتصال الجديدة باختراق ا لشخص تقوم مجموعة "عقارب ليبيا" بعدابط وهو موجود بمتجر قوقل الر،سمي تلو الشخص وبذلك تحصل على شبكة من الم ختر قين والم ت.جسس عليهم ----- #### رب يبي ا التكتيكات والتقنيات واإلجراءات والخطط المستخدمة ، فقد خصيات الكبيرة والمؤثرة في دولة لبيبانحن في سايبركوف نعتقد بأن مجموعة "عقارب ليبيا" لديها اهداف سياسية وتقوم باستهداف الش عندها استلم الشخص المسته دفساب تيليجرام التابع لشخصية مؤثرة في ليبيا بطريقة غير مع ،روفة في الوقت الحاليقامت باختراق ح :"بواسطة الـ"الويب من أسبانيا IP""إشعار من برنامج تيليجرام ي فيد بانه تم الدخول على الحساب الخاص بك من عنوان .الحساب اختراق ظنا منه بأن ذلك سيقوم بإيقاف[ً] رام المستهدف ولقلة وعيه األمني التقني بحذف برنامج تيليج قام الشخص "Voice Massege.apkبإرسال رسالة تتضمن ملف خبيث بإسم "في اليو م التالي، قامت "عقارب ليبيا" (وعن طريق حساب تيليجرام الم ختر )ق "حت ى يقوملالطالع وافادتنا لو سمح وقتكالمخترق" ، معقبين على الملف برسالة لكل األشخاص في قائمة جهات االتصال الخاصة بالشخص عا ه ثم استغالل جهات اتصاله هو اآلخر لنشر البرنامج التجسسي عليهم جمي.[ً] ذلك اختراقالشخص ب تحميل الملف وتنصيبه على جهازه يتم بعد فورا وألن البرنامج[ً] اختراق جهازه فإن قام أحد بتحميله وتنصيبه سيتم يستهدف أجهزة،أندرويد “Voice Massege.apk” الملف الخبيث في قائمة البرامج في الجهاز دون معرفة URL Shortener آخر حقيقي سيتم تنصيب البرنامج الحقيقي وتظهر أيقونته باسممدموج مع برنامج ن الملف الخبيث يعمل بالخلفية.أ .الحساب اختراق ظنا منه بأن ذلك سيقوم بإيقاف[ً] رام المستهدف ولقلة وعيه األمني التقني بحذف برنامج تيليج Voice Massege.apkبإرسال رسالة تتضمن ملف خبيث بإسم "في اليو م التالي، قامت "عقارب ليبيا" (وعن طريق حساب تيليجرام الم ختر )ق **لالطالع وافادتنا لو سمح وقتكالمخترق" ، معقبين على الملف برسالة لكل األشخاص في قائمة جهات االتصال الخاصة بالشخص** ه ثم استغالل جهات اتصاله هو اآلخر لنشر البرنامج التجسسي عليهم جمي.ذلك اختراقالشخص ب تحميل الملف وتنصيبه على جهازه يتم بعد ----- #### رب يبي ا .من حيث ال يعلم المستخدم تعمل بالخلفية لنظام التشغيل “MainService” باسم Android Service[1] الملف الخبيث يقوم بتنصيب 1 [https://developer.android.com/guide/components/services.html](https://developer.android.com/guide/components/services.html) .من حيث ال يعلم المستخدم تعمل بالخلفية لنظام التشغيل “MainService” باسم Android Service[1] الملف الخبيث يقوم بتنصيب ----- ###### g #### تحليل الملف الخبيث وأول خطوة نحو تحليل بتحليل الملف الخبيث المرفق في رسائل،تيليجرام CSIRTقام فريق سايبركوف المتخصص بتحليل األخطار األمنية .apktool هو بتفكيكه أوال باستخدام أداة APK أي برنامج أندرويد دمجه معتم ندرك أن البرن امج عبارة عن ملف خبيثAndroidManifest.xml وقراءة ملف apktool بعد تفكيك الملف باستخدام أداة **de.keineantwort.android.urlshortener :Java package برنامج حقيقي يحمل اسم** T l 965 22445500 | F 1 (888) 4333113 | E il i f @ b k | W b it b k 6 تم ندرك أن البرن امج عبارة عن ملف خبيثAndroidManifest.xml وقراءة ملف apktool بعد تفكيك الملف باستخدام أداة **de.keineantwort.android.urlshortener :Java package برنامج حقيقي يحمل اسم** ----- #### رب يبي ا قوقل لآلندرويد في متجر Java Package وعند البحث باسم الـ :، يتبين التالي [)https://play.google.com/store/apps/details?id=de.keineantwort.android.urlshortener(](https://play.google.com/store/apps/details?id=de.keineantwort.android.urlshortener) قوقل لآلندرويد في متجر Java Package :، يتبين التالي [)https://play.google.com/store/apps/details?id=de.keineantwort.android.urlshortener](https://play.google.com/store/apps/details?id=de.keineantwort.android.urlshortener) ----- #### رب يبي ا ب هذا البرنامج التابع لهمقامت مجموعة "عقارب ليبيا" بأخذ نسخة منه والقيام بدمج البرنامج التجسسي قوقل و البرنامج الحقيقي موجود في متجر ثم القيام بنشره للضحاي.ا واستهداف الحسابات في جهات االتصال :، قمنا بالتأكد من ذلك عن طريق الموقع الخاص بهم keineantwort.de لشركة ألمانية وموقعهم اإللكتروني هوالحقيقي تابع البرنامج المتوفرة في Intent لك ل الـReceiver يقوم بتسجيل نفسه كـالبرنامج التجسسي نالحظ بأن AndroidManifest.xml قراءة ملفبمتابعة وكذلك يقوم بطلب كامل الصالحيات المتوفرة في نظام أندرويد .نظام أندرويد تقريبا[ً] ويقوم البر:نامج التجسسي ومن خالل حصوله على كامل الصالحيات في النظام بالقدرة على التالي القدرة على فتح الكاميرا األمامية والخلفية للجهاز دون شعور المستخدم القدرة على تصوير المستخدم وارسال صوره لمركز القيادة والتحكم القدرة على فتح المايكروفون الخاص بالجهاز وتسجيل األصوات المحيطة بالهدف القدرة على كشف المكان الحقيقي للجهاز والشخص المستهدف القدرة على تتبع تفاصيل وتحركات الشخص المستهدف لحظة بلحظة القدرة على تصفح الملفات والصور والفيديوهات والمالحظات ونسخها صور وملفات في جهاز المستهدف دون علمه ثم يتم استخدامها في ادانته أو اتهامه القدرة على زرع )القدرة على كشف رقم الهاتف للجهاز واسم المشغل (شركة االتصال كشف جهات االتصال وسجل المكالمات في جهاز المستهدف وSMS القدرة على قراءة رسائل دون علمهSMS القدرة على استعمال جهاز المستهدف ورقم هاتفه الخاص في اجراء المكالمات وارسال رسائل :كما سنبين بالتفاصيل أدناه Intent لك ل الـReceiver يقوم بتسجيل نفسه كـالبرنامج التجسسي نالحظ بأن AndroidManifest.xml قراءة ملف وكذلك يقوم بطلب كامل الصالحيات المتوفرة في نظام أندرويد .نظام أندرويد تقريبا[ً] ويقوم البر:نامج التجسسي ومن خالل حصوله على كامل الصالحيات في النظام بالقدرة على التالي القدرة على فتح الكاميرا األمامية والخلفية للجهاز دون شعور المستخدم القدرة على تصوير المستخدم وارسال صوره لمركز القيادة والتحكم القدرة على فتح المايكروفون الخاص بالجهاز وتسجيل األصوات المحيطة بالهدف القدرة على كشف المكان الحقيقي للجهاز والشخص المستهدف القدرة على تتبع تفاصيل وتحركات الشخص المستهدف لحظة بلحظة القدرة على تصفح الملفات والصور والفيديوهات والمالحظات ونسخها صور وملفات في جهاز المستهدف دون علمه ثم يتم استخدامها في ادانته أو اتهامه القدرة على زرع )القدرة على كشف رقم الهاتف للجهاز واسم المشغل (شركة االتصال ----- #### رب يبي ا ----- #### رب يبي ا ي ام راالجهاز والبلوتوث والكو مقدار البطارية المتبقية فييقوم الفايروس بطلب صالحيات الدخ ول على مكان الجهاز وحالة االتصال بالشبكة .وصالحيات الدخول على االنترنت والميكروفون متوفرة أم ال ، فإن كانت متوفرة يقومRoot ألول مرة في الجهاز يقوم بفحص النظام ما إذا كانت صالحيات الـبعد تشغيل البرنامج التجسسي من المستخدم.Root بطلب صالحيات الـ الجهاز والبلوتوث والكو مقدار البطارية المتبقية فييقوم الفايروس بطلب صالحيات الدخ ول على مكان الجهاز وحالة االتصال بالشبكة .وصالحيات الدخول على االنترنت متوفرة أم ال ، فإن كانت متوفرة يقومRoot ألول مرة في الجهاز يقوم بفحص النظام ما إذا كانت صالحيات الـبعد تشغيل البرنامج التجسسي من المستخدم.Root ----- #### رب يبي ا ، بعد فك تشفير Base64 تم تشفيره بخوارزمية JSON وهو ملف بصيغة “config.json” ملف باسمبرنامج التجسسي نجد تحليل ال وبمتابعة كما تبين أن"الخاصة بمجموعة "عقارب لبيبا ، (Command and Control – C2) يحتوي على تفاصيل مركز القيادة والتحكمه الملف تبين أن الخاصة AlienSpy و JSocketة أخرى مثل برامج تجسسي ووظائفه تشابه إلى حد كبير خصائص ووظائفامج التجسسي برنخصائص ال .باختراق أجهزة أندرويد :أن مركز القيادة والتحكم التابع لمجموعة "عقارب ليبيا" هو “config.json” يتبين من الصورة السابقة بعد القيام بفك تشفير ملف **64631** ويستعمل المنفذ **winmeif.myq-see.com** **ليبيا ثابت تابع لشركة** IP وهو عنوان **41.208.110.46 التابع لـ "عقارب ليبيا: هو** IP يتبين أن عنوان IP واستخراج الـنطاق بعد تحليل ال .LTT **لالتصاالت والتقنية** :أن مركز القيادة والتحكم التابع لمجموعة "عقارب ليبيا" هو “config.json” يتبين من الصورة السابقة بعد القيام بفك تشفير ملف **64631** ويستعمل المنفذ **winmeif.myq-see.com** ثابت تابع لشركة IP وهو عنوان **41.208.110.46 التابع لـ "عقارب ليبيا: هو** IP يتبين أن عنوان IP واستخراج الـنطاق .LTT ----- #### رب يبي ا وبعد الدخول عليه يتبين أنه خدمة عامة متاحة للجميع تنشأ myq-see.com نالحظ هنا أن النطاق الذي تستعمله مجموعة "عقارب ليبيا" هو .نطاقات بشكل ديناميكي أو تلقائي من خاللها الكاميرات و قد قامت وهي شركة تقوم ببيع Q-See عند الدخول على الموقع والنزول إلى أسفل الصفحة نالحظ أن الخدمة تابعة لشركة باسم يمكن الخاص بالكاميرا IP عند،تركيب الكاميرات للدخول عليها عبر االنترنت فبدل حفظ عنوان الـ ئنها هيل على زباالخدمة للتس بإنشاء هذه .الستخدامهالكاميرا حجز نطاق سهل وإعداد وبعد الدخول عليه يتبين أنه خدمة عامة متاحة للجميع تنشأ myq-see.com نالحظ هنا أن النطاق الذي تستعمله مجموعة "عقارب ليبيا" هو .نطاقات بشكل ديناميكي أو تلقائي ----- #### رب يبي ا ----- #### رب يبي ا .RootShell و RootTools في جهاز أندرويد وهي Root يقوم الفايروس باستخدام أدوات مشهورة لتسهيل عمليات الـ "الجهاز ورفعها لمركز القيادة والتحكم التابع لمجموعة "عقارب ليبيا.كاميرا كما يستطيع الفايروس التقاط الصور من "الجهاز ورفعها لمركز القيادة والتحكم التابع لمجموعة "عقارب ليبيا.كاميرا كما يستطيع الفايروس التقاط الصور من ----- #### رب يبي ا حال االتصال بمركز القيادة والتحكم وذلك لتفادي ومنع أي مشكلة Accept All Certificates أيضا يقوم الفايروس بقبول جميع شهادات التشفير حال.التواصل مع الضحايا SSL تختص في بروتوكول التشفير كما يستطيع الفايروس تحويل جهاز األندرويد التابع للضحية إلى جهاز تنصت من حيث ال يشعر مستخدمه ثم تسجيل المحادثات التي تدور حول لالستماع اليها.ا دة والتحكم التابع لمجموعة "عقارب "ليبياالجهاز ثم ارسالها لمركز القي كما يستطيع الفايروس تحويل جهاز األندرويد التابع للضحية إلى جهاز تنصت من حيث ال يشعر مستخدمه ثم تسجيل المحادثات التي تدور حول لالستماع اليها.ا دة والتحكم التابع لمجموعة "عقارب "ليبياالجهاز ثم ارسالها لمركز القي ----- #### رب يبي ا كما.أن الفايروس قادر على تصفح كامل ملفات الضحية من صور وأفالم ومالحظات وغيرها من الملفات المحفوظة في ذاكرة الجهاز ودراسة تحركات ه أو يستطيع الفايروس تحديد مكان الجهاز بالضبط على وجه األرض بخطوط الطول ودوائر العرض ومنها يمكن معرفة مكانه .استهدافه يستطيع الفايروس تحديد مكان الجهاز بالضبط على وجه األرض بخطوط الطول ودوائر العرض ومنها يمكن معرفة مكانه ----- #### رب يبي ا ومدة المكالمات وتاريخهاالمتصلة كما يمكن للفايروس أن يقوم بجمع سجالت االتصال مع كامل تفاصيلها مثل ارقام التلفونات لألطراف .ووقتها بالضبط القصيرة دون علم الضحية ومن هنا تستطيع مجموعة "عقارب ليبيا " الدخول على حسابات تيليجرامSMS كما يستطيع الفايروس قراءة رسائل من برنامج تيليجرام ثم وضع رقم الهاتف الخاص بالهدف ثم قراءة رمز الدخول والذي يتم Web التابعة للضحايا عن طريق استخدام نسخة الـ .SMS ارساله عبر رسالة القصيرة دون علم الضحية ومن هنا تستطيع مجموعة "عقارب ليبيا " الدخول على حسابات تيليجرامSMS كما يستطيع الفايروس قراءة رسائل من برنامج تيليجرام ثم وضع رقم الهاتف الخاص بالهدف ثم قراءة رمز الدخول والذي يتم Web التابعة للضحايا عن طريق استخدام نسخة الـ .SMS ----- #### رب يبي ا .بالجهاز لة المتصكما يستطيع الفايروس تحديد رقم هاتف الضحية ودولته واسم مشغل الشبكة من أبراج اال تصاالت التابعة لشركة االتصاالت لحماية نفسه وجعل عمليات الهندسة العكسية صعبه وهو يستخدم بروتوكول مبني على Allatori Java Obfuscator الفايروس يستخدم برنامج التي تستهدف AlienSpy وJSocket الشهير، هذه الطريقة في التشفير والحماية مشابهة جدا لفايروسات SSL مغلف بتشفير[ّ] JSON Objects .أنظمة أندرويد لحماية نفسه وجعل عمليات الهندسة العكسية صعبه وهو يستخدم بروتوكول مبني على Allatori Java Obfuscator الفايروس يستخدم برنامج AlienSpy وJSocket الشهير، هذه الطريقة في التشفير والحماية مشابهة جدا لفايروسات SSL مغلف بتشفير[ّ] ----- #### رب يبي ا لنعرف إن تم رفع الفايروس من قبل على الخدمة أم نحن أول VirusTotal بعد االنتهاء من تحليل الفايروس قمنا برفع ملف الفايروس إلى خدمة للحصول على معلومات قد تفيدنا بمتابعة التحقيق حول."مجموعة "عقارب ليبيا ، وأيضا من قام برفعه فعه ا بواسطة فريق سايبركوف وأول نسخة من الفايروس تم رVirusTotal يتبين من الصورة السابقة أن الفايروس لم يتم رفعه من قبل على خدمة حماية مما يعني أن نسبة 54 حمايات فقط من أصل 8 ، نالحظ هنا أن الفايروس مكشوف من قبلCSIRTالمتخصص بتحليل األخطار األمنية وهي نسبة ضئيلة جدا، ونالحظ أيضا أن معظم الشركات األمريكية واألولى حسب تصنيف مجلة "قارتنر" فشلت في %15 كشف الفايروس هي ."كشف فايروس "عقارب ليبيا فعه ا بواسطة فريق سايبركوف وأول نسخة من الفايروس تم رVirusTotal يتبين من الصورة السابقة أن الفايروس لم يتم رفعه من قبل على خدمة حماية مما يعني أن نسبة 54 حمايات فقط من أصل 8 ، نالحظ هنا أن الفايروس مكشوف من قبلCSIRTالمتخصص بتحليل األخطار األمنية وهي نسبة ضئيلة جدا، ونالحظ أيضا أن معظم الشركات األمريكية واألولى حسب تصنيف مجلة "قارتنر" فشلت في %15 ."كشف فايروس "عقارب ليبيا ----- #### رب يبي ا تحليل االتصال مع مركز القيادة والتحكم قام فريق سايبركوف المختص بتحليل األخطار األمنية بتحليل االتصاالت التي يجريها الفايروس لدراسة سلوك الفايروس ومحاولة التوصل ."لمعلومات تفيد في كشف فريق "عقارب ليبيا ##### Sinkhole إعادة توجيه االتصال ّقام فريق سايبركوف المختص بتحليل األخطار األمنية بإنشاء خادم خاص مزي "ف يحاكي مركز القيادة والتحكم التابع لمجموعة "عقارب ليبيا .وقام أيضا بإعادة توجيه اتصال الفايروس للخادم المزيّف لدراسة سلوك الفايروس وفهم وظائفه بشكل أعمق ى المركز ومن ضم ن هذهبإرسال معلومات كثيرة عن الضحية ال بعد تشغيل الفايروس وعند االتصال بمركز القيادة والتحكم يقوم الفايروس ت.ندرويد الخاص به ونوع الجهاز وغيرها من المعلومااأل الخاص به وسعة ذاكرة الجهاز وإصدار IP المعلومات: دولة الضحية وعنوان الـ ندرويد الخاص به ونوع الجهاز وغيرها من المعلومااأل الخاص به وسعة ذاكرة الجهاز وإصدار IP المعلومات: دولة الضحية وعنوان الـ ----- #### رب يبي ا خادم سايبركوف المزيّف يستطيع ارسال األوامر وقراءة الردود من الفايروس ومنها يمكن التحكم بالفايروس بشكل كا.مل تعلقة بالقائمة التالية والتي وجد:ناها معرفة داخل الفايروس م105 و104 و 103 نالحظ هنا أن األوامر التي تم ارسالها الى الفايروس وهي تعلقة بالقائمة التالية والتي وجد:ناها معرفة داخل الفايروس م105 و104 و 103 نالحظ هنا أن األوامر التي تم ارسالها الى الفايروس وهي ----- #### رب يبي ا والتح كم (يقوم بالرد عند ارسال أي أمر من األوامر في القائمة السابقة يقوم الفايروس بتنفيذ األمر في الجهاز ثم الرد بالنتيجة على مركز القيادة :URL Shortener يقوم الفايروس بإلغاء تنصيب البرنامج الحقيقي 111 فمثال عند ارسال األمر[ً] هنا على خادم سايبركوف المزيّف،) :في جهاز الضحية النافذة بعد ارسال األمر تظهر هذه :في جهاز الضحية النافذة بعد ارسال األمر تظهر هذه ----- #### رب يبي ا ##### مركز القيادة والتحكم الحقيقي قام فريق سايبركوف المختص بتحليل األخ طار األمنية بتحليل مركز القيادة والتحكم الحقيقي التابع لمجموعة "عقارب ليبيا" وتبين من خالل 1234 ألن هذا النوع من الفايروسات يقوم بفتح المنفذ رقم JSocket/AlienSpy التحليل أن الفايروس الذي تستخدمه المجموعة فعال من نوع .assylias[2] ويستعمل شهادة تشفير باسم -07-12 في خادم مجموعة "عقارب ليبيا" بتاريخ 1234 تم فتح منفذ المتخصصة بمتابعة منافذ الخوادم في،العالم Shodanبن اء على خدمة يوم من كشف سايبركوف له.25قبل و بهذا التاريخ قد يكون انتشار الفايروس تم2016 2 [https://www.fidelissecurity.com/sites/default/files/FTA_1019_Ratcheting_Down_on_JSocket_A_PC_and_Android_Thre](https://www.fidelissecurity.com/sites/default/files/FTA_1019_Ratcheting_Down_on_JSocket_A_PC_and_Android_Threat_FINAL.pdf) [at_FINAL.pdf](https://www.fidelissecurity.com/sites/default/files/FTA_1019_Ratcheting_Down_on_JSocket_A_PC_and_Android_Threat_FINAL.pdf) في خادم مجموعة "عقارب ليبيا" بتاريخ 1234 تم فتح منفذ المتخصصة بمتابعة منافذ الخوادم في،العالم Shodan يوم من كشف سايبركوف له.25قبل و بهذا التاريخ قد يكون انتشار الفايروس تم ----- #### رب يبي ا متابعة ومراقبة مجموعة عقارب ليبيا يبدو أن مجموعة "عقارب ليبيا" قامت بتنصيب مجموعة كبيرة من برامج التجسس التي تستهدف أنظمة أندرويد حيث أن فريق سايبركوف المختص بتحليل األخطار األمنية اكتشف العديد من المنافذ المفتوحة في مركز القيادة والتحكم وبدورها تستعمل بروتوكوالت مشابهة جدا .[ً] في مركز القيادة والتحكم والذي بدوره يكشف معلومات مفيدة phpinfo.phpأيضا قامت مجموعة "عقارب ليبيا" دو ن قصد بوضع ملف باسم .Windows 7 Professional Service Pack 1 جدا عن أدوات وبرامج المجموعة أولها أن مركز القيادة والتحكم يعمل على نظام في مركز القيادة والتحكم والذي بدوره يكشف معلومات مفيدة phpinfo.phpأيضا قامت مجموعة "عقارب ليبيا" دو ن قصد بوضع ملف باسم Windows 7 Professional Service Pack 1 جدا عن أدوات وبرامج المجموعة أولها أن مركز القيادة والتحكم يعمل على نظام ----- #### رب يبي ا .adminويندوز المستخدم في مركز القيادة وا لتحكم هو اسم المستخدم في نظام .ADMIN اسم الكمبيوتر المستخدم في مركز القيادة والتحكم هو .ADMIN اسم الكمبيوتر المستخدم في مركز القيادة والتحكم هو ----- #### رب يبي ا الداخلي لمركز القيادة والتحكم IP وعنوان Skype وتستخدم برنامج Dell مجموعة "عقارب ليبيا" تستعمل أجهزة محمولة (الب توب) من نوع .192.168.1.16 هو :الدارة قواعد البيانات الخاصة بهم PhpMyAdmin يحتوي مركز القيادة والتحكم على سكربت ----- #### رب يبي ا و.ل أط[ً]قامت سايبركوف بمحاولة الدخول على قواعد البيانات باستخدام األرقام السرية الشهيرة ولكن المحاولة لم تكلل بالنجاح وتحتاج وقتا [ً]قامت سايبركوف بمحاولة الدخول على قواعد البيانات باستخدام األرقام السرية الشهيرة ولكن المحاولة لم تكلل بالنجاح وتحتاج وقتا ----- #### رب يبي ا البنية التحتية لمجموعة عقارب ليبيا هم جدا تحليل وكشف البنية التحتية التي تستخدمها مجموعة "عقارب ليبيا" وذلك الن البنية التحتية قد يتم استخدامها للهجوم على أهداف من الم أخرى باستخدام برامج تجسس وفايروسات أخرى، ومن خالل تحليل البنية التحتية يتم التوص ل الى صورة أشمل لمعرفة أهداف وتحركات المجموعة ودرا.سة سلوكها والتنبؤ باألهداف المستقبلية قام فريق سايبركوف المختص بتحليل األخطار األمنية باستخدام منصات لتبادل معلومات المخاطر والفايروسات وارتباطاتها والتي تعرف باسم وتم الكشف عن نشاطات وفايروسات تستخدمها المجموعة الستهداف المزيد PassiveTotal مثل منصة Threat Intelligence Platforms .من الشخصيات )(منذ سنة تقريبا من تاريخ نشر هذا التقرير 2015-09-09 يتبين من الخريطة التالية أن مجموعة "عقارب ليبيا" بدأت عمليات االختراق في نطاقات.للتحكم بالضحايا 5 وخالل هذه السنة قامت المجموعة باستخدام :في الجدول التالي تجد قائمة أسماء النطاقات التي استعملتها مجموعة "عقارب ليبيا" لشن الهجمات االلكترونية على أهدافها **Hostname** **First Seen** **Last Seen** **Samsung.ddns.me** 26-04-2016 12-08-2016 **Wininit.myq-see.com** 24-05-2016 12-08-2016 **Winmeif.myq-see.com** 07-08-2016 12-08-2016 **Collge.myq-see.com** 09-09-2015 12-08-2016 **Sara2011.no-ip.biz** 08-10-2015 08-10-2015 )(منذ سنة تقريبا من تاريخ نشر هذا التقرير 2015-09-09 يتبين من الخريطة التالية أن مجموعة "عقارب ليبيا" بدأت عمليات االختراق في نطاقات.للتحكم بالضحايا 5 وخالل هذه السنة قامت المجموعة باستخدام :في الجدول التالي تجد قائمة أسماء النطاقات التي استعملتها مجموعة "عقارب ليبيا" لشن الهجمات االلكترونية على أهدافها **First Seen** **Last Seen** **Samsung.ddns.me** 26-04-2016 12-08-2016 **Wininit.myq-see.com** 24-05-2016 12-08-2016 **Winmeif.myq-see.com** 07-08-2016 12-08-2016 ----- #### رب يبي ا على نفس مركز القيادة والتحكم التابع لمجموعة "عقارب ليبيا" (ما عداإلشارة واالتصال جميع النطاقات التي تم كشفها تقوم با :)sara2011.no-ip.biz برامج تحمل البصمات ، هذه ال"بمجموعة "عقارب ليبيا يتبين أن هناك برامج تجسس أخرى مرتبطة PassiveTotal أيضا باستخدام منصة :)MD5 (الهاشات) التالية (وهي من نوعالرقمية - 1738ecf69b8303934bb10170bcef8926 - 93ebc337c5fe4794d33df155986a284d " والذي قمنا بتحليله سابقا .[ً] Voice Massege.apk" لفايروسالصورة السابقة، أول بصمة رقمية (هاش) هي في برامج تحمل البصمات ، هذه ال"بمجموعة "عقارب ليبيا يتبين أن هناك برامج تجسس أخرى مرتبطة PassiveTotal أيضا باستخدام منصة :)MD5 (الهاشات) التالية (وهي من نوع 1738ecf69b8303934bb10170bcef8926 93ebc337c5fe4794d33df155986a284d ----- #### رب يبي ا وحسب خدمة **Benghazi.exe لفايروس يحمل اسم )هي 1738ecf69b8303934bb10170bcef8926( (الهاش) الثانيةالبصمة الرقمية** وتم رفعه على الخدمة بتاريخ %37.5 مما يعني أن نسبة كشفه 56 برنامج حماية من أصل 21 فإن هذا الفايروس مكشوف من قبل VirusTotal .2016-04-23 باستخدام لغة 2016-04-12 بتاريخ،وليس هواتف أندرويد وقد تمت برمجته Windows الحظ أن هذا الفايروس يقوم باستهداف أنظمة .Visual Basic باستخدام لغة 2016-04-12 بتاريخ،وليس هواتف أندرويد وقد تمت برمجته Windows الحظ أن هذا الفايروس يقوم باستهداف أنظمة . ----- #### رب يبي ا يستهدف أنظمة أندرويد DroidJack ) تعود لفايروس من نوع93ebc337c5fe4794d33df155986a284d( الثالثةأما البصمة الرقمية .أيضا تؤكد لنا أن الفايروس الثالث الذي تستخدمه مجموعة "عقارب ليبيا" من نوع Services والـ Activities وهنا نالحظ أن أسماء الـ .DroidJack تؤكد لنا أن الفايروس الثالث الذي تستخدمه مجموعة "عقارب ليبيا" من نوع Services والـ Activities وهنا نالحظ أن أسماء الـ . ----- #### رب يبي ا ... مالحقة مستمرة سيقوم فريق سايبركوف المختص بتحليل األخطار األمنية بمتابعة مجموعة "عقارب ليبيا" وسنقوم بإصدار تقارير الحقة حال ما يتم العثور على .أي تحديث لنشاطات المجموعة إلكترونيا #### لحماية أجهزة أندرويد من عقارب ليبيا توصيات أمنية تنصح شركة سايبركوف باتباع اإلرشادات األمنية التالية ل:حماية نفسك وجهازك من التجسس واإلختراق اإللكتروني التحديث المستمر لجهازك األندرويد لحمايتك من البرامج الخبيثة [هنا بنسخته الكاملة من](https://secure.avangate.com/order/product.php?PRODS=4560357&QTY=1&AFFILIATE=82519) [DrWeb Security Space استخدام برنامج مكافحة الفايروسات](https://secure.avangate.com/order/product.php?PRODS=4560357&QTY=1&AFFILIATE=82519) لفحص الملفات والروابط التي تتم مشاركتها في تطبيق تيليجرام ويمكن إضافته للمجموعات DrWeb Telegram Bot إستخدام الـ )DrWebBotلعمل فحص أوتوماتيك( ي لكل الروابط والملفات، اسم البوت لحمايتك من التجسس [هنا بنسخته الكاملة من](https://play.google.com/store/apps/details?id=com.zemana.msecurity&hl=en) [Zemana Mobile AntiVirus استخدام برنامج مكافحة البرامج الضارة](https://play.google.com/store/apps/details?id=com.zemana.msecurity&hl=en) عدم تنصيب البرامج من مصادر غير موثوقة [بأقصى درجة Telegramدليلك نحو إستخدام تطبيق تيليجرام عند استخدام برنامج تيليجرام قم باتباع ارشاداتنا في مقالنا المعنون"](https://blog.cyberkov.com/2361.html) ["لمان!من السرية واأ](https://blog.cyberkov.com/2361.html) من الطرف اآلخر حال تبادل الملفات في االنترنت [ً] التأكد دائما #### IoCs مؤشرات اإلختراق :الجدول التالي يعرض قائمة من مؤشرات اإلختراق للمساعده في المساهمة في كشف برامج "عقارب ليبيا" التجسسية **Type** **Indicator** **Sha256** 9d8e5ccd4cf543b4b41e4c6a1caae1409076a26ee74c61c148dffd3ce87d7787 **Sha256** 4e656834a93ce9c3df40fe9a3ee1efcccc728e7ea997dc2526b216b8fd21cbf6 **Sha256** e66d795d0c832ad16381d433a13a2cb57ab097d90e9c73a1178a95132b1c0f70 **Md5** 1738ecf69b8303934bb10170bcef8926 **Md5** 93ebc337c5fe4794d33df155986a284d **Md5** 1c8a1aa75d514d9b1c7118458e0b8a14 **Sha1** 41096b7f808a91ee773bbba304ea2cd0fa42519d **Sha1** 46d832a9c1d6c34edffee361aca3de65db1b7932 **Sha1** 2e2d1315c47db73ba8facb99240ca6c085a9acbc **Filename** Voice Massege.apk **Filename** Benghazi.exe **Filename** VPN.apk **IP** 41.208.110.46 **Domain** winmeif.myq-see.com **Domain** Wininit.myq-see.com **Domain** Samsung.ddns.me **Domain** Collge.myq-see.com **Domain** Sara2011.no-ip.biz لحمايتك من البرامج الخبيثة [هنا بنسخته الكاملة من](https://secure.avangate.com/order/product.php?PRODS=4560357&QTY=1&AFFILIATE=82519) [DrWeb Security Space استخدام برنامج مكافحة الفايروسات](https://secure.avangate.com/order/product.php?PRODS=4560357&QTY=1&AFFILIATE=82519) لفحص الملفات والروابط التي تتم مشاركتها في تطبيق تيليجرام ويمكن إضافته للمجموعات DrWeb Telegram Bot إستخدام الـ )DrWebBotلعمل فحص أوتوماتيك( ي لكل الروابط والملفات، اسم البوت لحمايتك من التجسس [هنا بنسخته الكاملة من](https://play.google.com/store/apps/details?id=com.zemana.msecurity&hl=en) [Zemana Mobile AntiVirus استخدام برنامج مكافحة البرامج الضارة](https://play.google.com/store/apps/details?id=com.zemana.msecurity&hl=en) عدم تنصيب البرامج من مصادر غير موثوقة [Telegramدليلك نحو إستخدام تطبيق تيليجرام عند استخدام برنامج تيليجرام قم باتباع ارشاداتنا في مقالنا المعنون"](https://blog.cyberkov.com/2361.html) ["لمان!من السرية واأ](https://blog.cyberkov.com/2361.html) من الطرف اآلخر حال تبادل الملفات في االنترنت [ً] التأكد دائما #### IoCs مؤشرات اإلختراق- :الجدول التالي يعرض قائمة من مؤشرات اإلختراق للمساعده في المساهمة في كشف برامج "عقارب ليبيا" التجسسية **Indicator** 9d8e5ccd4cf543b4b41e4c6a1caae1409076a26ee74c61c148dffd3ce87d7787 4e656834a93ce9c3df40fe9a3ee1efcccc728e7ea997dc2526b216b8fd21cbf6 e66d795d0c832ad16381d433a13a2cb57ab097d90e9c73a1178a95132b1c0f70 1738ecf69b8303934bb10170bcef8926 93ebc337c5fe4794d33df155986a284d 1c8a1aa75d514d9b1c7118458e0b8a14 41096b7f808a91ee773bbba304ea2cd0fa42519d 46d832a9c1d6c34edffee361aca3de65db1b7932 2e2d1315c47db73ba8facb99240ca6c085a9acbc Voice Massege.apk Benghazi.exe VPN.apk 41.208.110.46 -----