كشف أحدث أساليب مجموعة القرصنة الإلكترونية «سوفاسي» لقرصنة الهيئات الحكومية
ما زالت مجموعة القرصنة الإلكترونية الشهيرة «سوفاسي» التي تستهدف هيئات حكومية متعددة تتمتع بنشاط كبير في عام 2018 وتستمر في طبيعتها الهجومية على الصعيد العالمي في مختلف المجالات.
وكشفت بالو ألتو نتوركس- الشركة المتخصصة في تطوير الجيل التالي من الحلول الأمنية- اليوم، تفاصيل جديدة عن «سوفاسي» والتي تتولى الوحدة 42 التابعة للشركة، مراقبة هذه المجموعة بسبب طبيعتها الهجومية المستمرة.
وقد أٌعلن عن حملة أطلقت في مختلف وزارات الخارجية في جميع أنحاء العالم. ومن اللافت، وجود جهدين متوازيين داخل الحملة، يقوم كل جهد باستخدام مجموعة أدوات مختلفة تماماً بخصوص الهجمات. ولذا فإننا في هذه المدونة، سنناقش واحدة من الجهود التي استفادت من الأدوات التي باتت تعرف بارتباطها بمجموعة سوفاسي، وذلك وفقاً لما أعلنته شركة «بالو ألتو نتوركس» أنه في الآونة الأخيرة.
تفاصيل الهجوم
كما تم الكشف عن هجوم استهدف مؤسستين حكوميتين على صلة بالشؤون الخارجية، وذلك في بداية فبراير 2018، غير أن هذه المؤسسات لم تكن متجانسة إقليمياً، وكان الهدف الوحيد المشترك فيما بينها هو وظائفها المؤسساتية. وعلى وجه التحديد، تقع إحدى المؤسسات جغرافياً في أوروبا والأخرى في أمريكا الشمالية.
واستخدم المهاجم رسالة بريد إلكتروني للتصيد الاحتيالي كتب في سطر موضوعها "فعاليات الدفاع القادمة لفبراير 2018" وعنوان المرسل الذي يدعي أنه من فعاليات الدفاع 360 التابعة لـ"جين" [email protected].
وتعتبر "جين باي إهسماركيت" Jane's by IHSMarkit من الموردين المعروفين للمعلومات والتحليلات وترتبط في كثير من الأحيان بالدفاع والقطاع الحكومي. وقد أظهرت تحليلات بيانات عنوان البريد الإلكتروني بأن عنوان المرسل مزيف وغير صادر عن إهسماركيت على الإطلاق. ويدعي نص الإغراء في رسالة التصيد الاحتيالي أن المرفق عبارة عن تقويم للأحداث ذات الصلة بالمؤسسات المستهدفة ويتضمن تعليمات محددة بشأن الإجراءات التي يتعين على الضحية اتخاذها إذا ما واجهت "مشكلة في عرض المستند".
«سيكورفون» ..هاتف ذكي مزود بمحفظة عملات رقمية غير قابلة للاختراق
وكان المرفق نفسه عبارة عن مستند أكسل مايكروسوفت يحتوي على برنامج نصي ماكرو ضار. ويقدم المستند نفسه على أنه مستند ماكرو عادي لكن نصوصه مخفية ولن تظهر إلا بعد أن يقوم الضحية بتفعيل وحدات الماكرو. ومن الجدير ذكره أن بإمكان الضحية الوصول إلى النص كاملاً حتى قبل تفعيل وحدات الماكرو. إذ إنه تم تطبيق لون الخط الأبيض على النص لجر الضحية إلى تفعيل وحدات الماكرو للوصول إلى المحتوى. وبمجرد تفعيل الماكرو، يتم إظهار المحتوى عبر الكود التالي:
ActiveSheet.Range("a1:c54").Font.Color = vbBlack
وبحسب الشركة، يقوم الكود أعلاه بتغيير لون الخط إلى اللون الأسود ضمن نطاق الخلية المحدد ويعرض المحتوى للمستخدم. وعند المعاينة الأولية، يظهر المحتوى كما لو أنه المحتوى المرخص المتوقع، غير أن الفحص الدقيق للمستند يظهر عدداً من الآثار غير الطبيعية التي لم تكن موجودة في المستند المرخص.