هجمات إلكترونية تضرب هيئات حكومية في الشرق الأوسط
الجرائم والهجمات الإلكترونية لم ولن تنتهي، فمن وقت إلى آخر يتم رصد العديد من الهجمات من قبل بعض المجموعات المجهولة، والتى تريد استهداف منشآت وشركات كبرى، لإجبراها على تنفيذ كل ما تريده هذه الجماعات التى تشن هجماتها بشكل أكثر احترافية، ولكن بالتأكيد يمكن تفادى هذه الهجمات من الأساس بدل من الانتظار والبحث عن حلول للخروج من هذه الأزمة.
فيس بوك: كل ما لا تعرفه عن النتائج المالية المخيبة للربح الثاني من 2018
ولعل ما رصدته شركة بالو ألتو نتوركس، المتخصصة في تطوير الجيل التالي الحلول الأمنية، حول هجمات إلكترونية جديدة ومتعددة لمجموعة أويلريغ OilRig والمتخصصة في الجرائم والهجمات الإلكترونية في الفترة ما بين شهري مايو ويونيو 2018، ينذر بخطر شديد، حيث أن الهجمات بدت وكأنها تصدر من هيئة حكومية تقع في منطقة الشرق الأوسط.
واتبع المهاجمين مجموعة من التكتيكات التى تم رصدها من قبل، مؤكدة أن هذه المجموعات من الممكن أن تكون قد استفادت من بيانات الاعتماد والحسابات التي قامت باختراقها، لاستخدام الهيئة الحكومية المستهدفة كمنصة لإطلاق هجماتها الحقيقية.
وتقول الشركة أن الهجمات استهدفت إحدى الهيئات الحكومية، بالإضافة إلى شركة متخصصة في تزويد الخدمات التكنولوجية، وكلاهما في نفس البلد. هذا فيما عمدت مجموعة إويلريغ على إظهار الهجمات ضد هذه الأهداف على أنها صادرة عن هيئات أخرى من نفس البلد. لكن المهاجمين الفعليين المنفذين للهجمات كانوا خارج البلد بالطبع، وقد استخدموا على الأرجح بيانات اعتماد مسروقة من المؤسسة التي حولوها إلى وسيط لتنفيذ هجماتهم.
وحمّلت المجموعة خلال هجومها برمجية تسلل من الباب الخلفي backdoor، تحتوي على نص برمجي ضار PowerShell، تُدعى QUADAGENT، وقد نسبت كل من شركة كليرسكاي سايبر سكيورتي و فايرآي هذه البرمجية الخبيثة إلى مجموعة أويلريغ.
وبحسب تحليلات الشركة، فإنهما قد تمكنا أيضاً، من تأكيد إسناد هذه البرمجية إلى مجموعة أويلريغ، وذلك عن طريق فحص أدوات وأساليب محددة تم استخدامها من قبل مجموعة أويلريغ في السابق، بالإضافة إلى فحص التكتيكات التي أعيد استخدامها في هجمات سابقة أيضاً.
وتقول الشركة: إن استخدام برمجيات التسلل من الباب الخلفي backdoors والقائمة عن البرامج النصية الضارة هي طريقة شائعة تستخدمها مجموعة أويلريغ حسب الهجمات التي قمنا بتوثيقها في وقت سابق، لكن ضم هذه النصوص مع بعضها في ملف واحد قابل للتنفيذ PE يعتبر تكتيكاً جديداً لم نشهد مجموعة أويلريغ تقوم به بشكل متكرر في السابق.
وبحسب الشركة فإنه يمكن الحصول على التحليل التفصيلي لبرمجية QUADAGENT وعلاقتها بمجموعة أويلريغ من خلال الملحق في نهاية التقرير، فالبرمجية QUADAGENT هي البرمجية الثانية عشرة التي تم تصميمها حسب الطلب، وقد قامت الوحدة 42 بتوثيق استخدام مجموعة أويلريغ لهذه البرمجية في هجماتها.
يوتيوب يدفع أموالا طائلة لكبار الناشرين لمنعهم من الانتقال إلى إنستقرام IGTV
ولا تزال مجموعة أويلريغ OilRig المتخصصة في الجرائم الإلكترونية مستمرة في تغيير تكتيكاتها وتكييفها، بالإضافة إلى قيامها بتعزيز مجموعة الأدوات التي تستخدمها وذلك من خلال إضافة أدوات جديدة ومطوّرة حديثاً.
عن أويلريغ OilRig
مجموعة أويلريغ، والتي تسمى أيضاً بـ APT34 أو Helix Kitten، هي عبارة عن مجموعة تهديد إلكترونية متخصصة بعمليات التجسس، تنشط في منطقة الشرق الأوسط في المقام الأول. وقد اكتشفت بالو ألتو نتوركس هذه المجموعة لأول مرة في منتصف عام 2016 على الرغم من أنها قد تكون بدأت أنشطتها التجسسية قبل ذلك التاريخ.
«مستندات جوجل» تضيف التدقيق اللغوي لقائمة مهامها الاستثنائية
وقد أظهر أعضاء هذه المجموعة أنفسهم على أنهم خصوم لا يُستهان بهم، يعملون بشكل متواصل، وبوتيرة مستمرة، ولا يظهرون أية بوادر لإبطاء هجماتهم. وبمقارنة سلوكياتها السابقة مع الحوادث والهجمات الحالية، تبين أن عمليات مجموعة أويلريغ مستمرة، ومن المرجح أن تتسارع بشكل أكبر في المستقبل القريب.
وبهذه المناسبة، قال براين لي، المحلل المتخصص في استقصاء التهديدات الإلكترونية لدى بالو ألتو نتوركس: "ما تزال مجموعة أويلريغ متواجدة بقوة كمجموعة تهديد تنشط باستمرار في منطقة الشرق الأوسط. وعلى الرغم من أن تقنيات هذه المجموعة التي تستخدمها بسيطة إلى حد ما، إلا أن الأدوات المختلفة التي نعتبرها جزء من ترسانتها تكشف عن تطور واسع تشهده هذه المجموعة".
كل ما تريد معرفته عن "هاكاثون الحج".. 18 آلف مشترك وجوائز 2 مليون ريال
وأضاف لي: مثالاً على ذلك، قامت المجموعة بإظهار سلوك نموذجي تتبعه عادة مجموعات التهديد الأخرى، إلا أنها أعادت استخدام الأداة ذاتها في هجمات متعددة، لكن كان لكل هجمة تعديلاتها الخاصة من خلال تغيير البنية التحتية أو إضافة مزيد من مستويات التضليل، وإعادة تجميع الأدوات بحيث تظهر كل عينة مختلفة بدرجة كافية لتجاوز برامج الحماية الأمنية. إحدى السمات الأساسية التي يجب تذكرها دوماً عندما يتعلق الأمر بمثل مجموعات التهديد هذه، هي أنها دوماً تتبع المسارات الدفاعية الأقل مقاومة في هجماتها، طالما باستطاعتها تنفيذ مهمتها في نهاية الأمر".
وتوفر شركة بالو ألتو نتوركس الحماية لعملائها من الهجمات الجديدة عبر الطرق التالية:
● تم تصنيف برمجية QUADAGENT على أنها ضارة من خلال خدمة تحليل التهديدات WildFire
● تم تصنيف قنوات سيرفرات الأوامر والتحكم C2 التابعة لبرمجية QUADAGENT على أنها ضارة
● يمكن لعملاء AutoFocus تتبع برمجية QUADAGENT الخبيثة من خلال العلامة ذات الصلة
