عصابة جورجون تطلق من باكستان هجمات تستهداف القطاع الحكومي في عدّة دول
أطلقت عصابة جورجون الإلكترونية التي تستهدف القطاع الحكومي وتقترف جرائم ألكترونية أخرى أنشطة خبيثة جديدة.
وقد بدأت شركة بالو ألتو نتوركس، الشركة المتخصصة في تطوير الجيل التالي من الحلول الأمنية، منذ 2017 تتبع هجمات إلكترونية يقوم بها هاكر يدعى سوبات Subaat. وقد عاد هذا الهاكر مجدداً بشكل نشط لتنفيذ هجمات متنوعة بأهداف محددة. ومن خلال مراقبته تبين أنه يعمل ضمن مجموعة أكبر من الأفراد المسؤولين عن تنفيذ مجموعة من الهجمات التي استهدفت مؤسسات حكومية عالمية. وقد نفذّت مراكز 360 وTuise، وهي مراكز صينية متخصصة تُعنى بالتهديدات الإلكترونية، دراسات تحليلية على بعض الهجمات، وعلى جهات فاعلة أخرى باكستانية على صلة بهذه الهجمات. وقد أفضت هذه التحليلات إلى وجود علاقة وثيقة تربط هذه الهجمات بمجموعة أكبر من المهاجمين يطلق عليهم اسم عصابة عصابة جورجون.
وقد اكتشفت الوحدة 42 التابعة لشركة بالو ألتو نتوركس أن العصابة قامت، بالإضافة إلى العديد من الهجمات المستهدفة، بحملة واسعة من الهجمات والعمليات في كافة أنحاء العالم، شملت العديد من الهجمات الإجرامية وكذلك هجمات مركّزة أخرى.
واتسأب يطلق تحديثًا جديدًا لفرز الأخبار المزيفة !
كما كشفت الشركة، منذ بداية فبراير 2018 عن حملة هجمات واسعة نفذها أعضاء مجموعة جورجون استهدفت من خلالها مؤسسات حكومية في كل من المملكة المتحدة وإسبانيا وروسيا والولايات المتحدة. وخلال تلك الفترة أيضاً، تبيّن أن أعضاء مجموعة جورجون يقومون بهجمات إجرامية ضد العديد من الأهداف على مستوى العالم، وغالباً ما يستخدمون في هذه الهجمات البنية التحتية ذاتها التي يستخدمونها لتنفيذ الهجمات المستهدفة الخاصة بها.
وتعتبر هجمات مجموعة جورجون الخبيثة مثيرة للاهتمام. فبالإضافة إلى استخدامها لقنوات سيرفرات الأوامر والتحكم C2 قامت المجموعة باستخدام خدمات اختصار روابط URL الشائعة لتثبيت حمولات البيانات payloads، مما وفّر قائمة واسعة من النقرات والبيانات الإحصائية. وتمتلك مجموعة جورجون بشكل مثير للاهتمام أيضاً عنصر إجرامي شديد التنوع والفعالية، فبالإضافة إلى استخدامها للبنية التحتية C2، استطعنا تحديد العديد من أنواع البرمجيات والأدوات الإجرامية التي تستخدمها هذه المجموعة، مثل أدوات الإدارة المعقدة عن بعد RATs ومنها أداة NjRat الخبيثة، وملفات التجسس infostealers مثل Lokibot والتي عملت المجموعة من خلالها على الاستفادة من البنية التحتية C2 ذاتها التي استخدمتها لتنفيذ هجماتها المستهدفة.
وعلى الرغم من استخدامها للعديد من المستندات الملغومة ورسائل البريد الإلكتروني التصيّدية، لم ترتق أساليب المجموعة الهجومية إلى مستويات متقدمة من التطور والتعقيد، لكن لا يمكن في نفس الوقت إنكار فعالية مجموعة جورجون وحملاتها الهجومية.
من خلال الوصول إلى المزيد من الأدلة، ومع فشل العديد من عمليات المجموعة من الناحية الأمنية، بات من السهل تجميع معلومات وافية حول أعضاء مجموعة جورجون . وكانت مراكز 360 و Tuisec قد حددت بالفعل بعض أعضاء هذه المجموعة. وبالإضافة إلى الهاكر سوبات، استطاعت شركة بالو ألتو نتوركس التعرف على أربعة مهاجمين إضافيين يقومون بتنفيذ هجماتهم تحت مظلة مجموعة جورجون. وعلى الرغم من عدم التأكد فيما إذا كان المهاجمون يقيمون فعلياً في باكستان، إلا أن جميع أعضاء مجموعة جورجون يزعمون أنهم يتواجدون فيها، وذلك استناداً إلى ملفاتهم الشخصية على شبكة الإنترنت.
برامج مجانية لمراقبة آداء ومواعيد عمل فريق الفريلانس مشابهة لبرنامج Hubstaff
ولاتُعد مجموعة جورجون الأولى من نوعها من بين مجموعات هجومية أخرى واجهناها تقوم بهجمات خبيثة على مستوى الحكومات واعتداءات إجرامية أخرى. لكن ما يجعل مجموعة جورجون فريدة من نوعها، هو أنها ما زالت تقوم بهجمات فعالة بشكل خاص على الرغم من الإخفاقات الأمنية التي عانت منها على مستوى العمليات. وبالنظر عن قرب إلى الجهات الفاعلة المشاركة في هجمات مجموعة جورجون ، استطعنا التعرف بشكل فريد على طريقة العمل الداخلية للهجمات الخبيثة. وقد لاحظنا اعتماد أفراد المجموعة على ذات البنية التحتية لإطلاق هجماتهم المركزة وعملياتهم الإجرامية مع تفاوت دوافعهم. يقودنا هذا إلى استنتاج مفاده أن العديد من أعضاء مجموعة جورجون لديهم ارتباط بباكستان.
ومع استمرار مجموعة جورجون بتنفيذ هجماتها، يمكن لعملاء بالو ألتو نتوركس حماية أنفسهم من تهديدات هذه المجموعة من خلال الطرق التالية:
● يمكن اكتشاف كافة ملفات مجموعة جورجون الحالية التي تحمل برمجيات خبيثة من خلال خدمة تحليل التهديدات WildFire
● يمكن لعملاء AutoFocus تتبع هذه العينات من خلال علامة Gorgon Group ذات الصلة
● يمكن لخدمة حماية النقاط النهائية Traps حظر كافة الملفات الخبيثة المرتبطة حالياً بمجموعة جورجون