الكشف عن عصابة القرصنة MoneyTaker المستهدفة للبنوك وشركات أخرى حول العالم

أصدرت “جروب – آي بي”، الشركة المختصة في حلول الأمن الإلكتروني القائم على استخبارات التهديدات، أمس تقريراً يبين تفاصيل حملة خبيثة تقف وراءها عصابة إلكترونية ناطقة باللغة الروسية تقوم بشن هجمات موجهة أطلقت عليها “جروب – آي بي” اسم عصابة MoneyTaker .

شنت هذه العصابة الإلكترونية في أقل من عامين أكثر من 20 هجمة ناجحة على المؤسسات المالية وشركات المحاماة حول العالم. ومع أن النجاح كان حليف هذه العصابة في استهداف عدد من البنوك في بلدان مختلفة، إلا أنه لم يتم اكتشافها حتى الآن. إن مواظبة العصابة المذكورة على تغيير أدواتها وتكتيكاتها باستمرار لتخطي برامج مكافحة الفيروسات والحلول الأمنية التقليدية، والأهم من ذلك، إزالة أي آثار تدل على وجودها بعناية بعد إتمام عملياتها، قد كان له دور كبير في عدم اكتشافها. وقد تم شن الهجوم الأول الذي عزته “جروب – آي بي” إلى هذه العصابة في الولايات المتحدة، وتحديداً في شهر مايو من العام 2016، في حين وقع الهجوم الأخير في نوفمبر 2017 في روسيا.

وقال ديمتري فولكوف، المؤسس المشارك لـشركة جروب – آي بي ورئيس استخبارات التهديدات، “تستخدم عصابة MoneyTaker الإلكترونية الأدوات المتاحة في متناول الجمهور، مما يجعل عملية تحديد المتورطين في تلك الهجمات والتحقيق فيها مهمة ليست بالبسيطة أو السهلة.” وأضاف قائلاً، “بالإضافة لذلك، لوحظ وقوع تلك الهجمات في مناطق مختلفة حول العالم. ويتوقع خبراء جروب – آي بي المختصون وقوع جرائم سطو إلكترونية جديدة في المستقبل القريب، ومن أجل الحد من هذه المخاطر، ترغب جروب – آي بي من خلال هذا التقرير بتحديد الوسائل والتقنيات المستخدمة من قبل القراصنة وكذلك مؤشرات الاختراق المنسوب إلى عصابة MoneyTaker”.

وباستخدام نظام استخبارات التهديدات من قبل “جروب- آي بي”، اكتشف باحثو “جروب- آي بي” وجود علاقة بين جميع الهجمات العشرين خلال عامي 2016 و2017. والعلاقات التي تم اكتشافها لم تقتصر على الأدوات المستخدمة وحدها، بل شملت كذلك البنية التحتية الموزعة ومكونات استخدمت لمرة واحدة في أدوات الهجوم الخاصة بالعصابة، بالإضافة إلى خطط السحب المحددة – باستخدام حسابات مختلفة لكل معاملة. وهناك سمة أخرى مميزة لهذه العصابة وهو أنها تبقى متواجدة في الموقع بعد حدوث الهجوم، وتواصل التجسس على عدد من البنوك المتأثرة وترسل رسائل عبر البريد الإلكتروني وغيرها من المستندات الأخرى ذات الصلة بالشركات إلى خدمات البريد الإلكتروني المجاني “Yandex” و”Mail.ru” بصيغة: first.last@yandex.com

[bs-quote quote=”لقد شهدنا هذا العام وقوع عدد من الهجمات الإلكترونية فائقة التطور في القطاع المالي، الأمر الذي أعاد إلى الواجهة أهمية وضرورة حماية البيانات والإجراءات الأمنية. وفي حين أن مجرمي الإنترنت لايزالون يواصلون تطورهم وتقدمهم التكتيكي، فلا بد للشركات كذلك من تقوية وتدعيم نظامها الدفاعي حفاظاً على أمنها الإلكتروني. وبالإضافة لذلك، فإن زيادة استخدام التكنولوجيات الجديدة في المنطقة يجعل الأمن والبيانات عرضة للمخاطر. ونحن في جروب – آي بي، ملتزمون بحماية عملائنا من الثغرات الأمنية، وذلك من خلال تزويدهم بمعلومات شاملة عن التهديدات والحلول الأمنية الإلكترونية القوية والفاعلة.

” style=”style-5″ align=”right” author_name=”طارق الكزبري” author_job=”المدير الرئيسي لشركة جروب-آي بي في الشرق الأوسط وأفريقيا وتركيا وجنوب آسيا” author_avatar=”https://aitnews.com/wp-content/uploads/2017/12/tarek.jpg”][/bs-quote]

ومن خلال تحليل البنية الأساسية للهجوم، توصلت “جروب – آي بي” إلى أن العصابة تقوم بشكل مستمر بفرز المستندات البنكية الداخلية لمعرفة المزيد عن العمليات المصرفية استعدادا لشن هجمات مستقبلية. وتشمل المستندات التي يتم فرزها: دليل إداري النظام والأنظمة والتعليمات الداخلية ونماذج طلبات التغيير وسجلات المعاملات وغيرها. تجري “جروب – آي بي” حالياً التحقيق في عدد من حالات الاختراق الأمني تم من خلالها استخدام مستندات منسوخة تصف كيفية إجراء التحويلات المالية من خلال خدمة “سويفت”.

وكانت العصابة الإلكترونية قد استهدفت بالمقام الأول أنظمة إنجاز معاملات البطاقة، حيث قام المهاجمون بالتحقق فيما إذا بإمكانهم الاتصال بنظام إنجاز معاملات البطاقة بعد السيطرة على شبكة البنك. وفي أعقاب ذلك، قاموا أولئك بفتح حساب بطاقة أو شراء بطاقة نظامية من البنك الذي وقع نظام تكنولوجيا المعلومات فيه ضحية لاختراق تلك العصابة. في أثناء ذلك، سافر مهربو الأموال – وهم مجرمون مهمتهم سحب الأموال من أجهزة الصراف الآلي –  والذين كان بحوزتهم بطاقات تم تفعيلها مسبقاً، إلى الخارج وانتظروا بدء عملية الاختراق. وبعد اختراق نظام إنجاز معاملات البطاقة، قام المهاجمون بإزالة أو زيادة حدود السحب النقدي للبطاقات التي يحتفظ بها المهربون. وأزالو أيضاً حدود السحب على المكشوف، مما جعل من الممكن إجراء السحب حتى باستخدام بطاقات الخصم من الحساب. وباستخدام هذه البطاقات، قام المهربون بسحب المبالغ النقدية من أجهزة الصراف الآلي واحدا تلو الآخر.

وإضافة إلى البنوك، هاجمت عصابة MoneyTaker شركات المحاماة وبائعي البرامج المالية أيضاً. وسيكلف الهجوم على شركة ما يصل إلى 500,000 دولار بمعدل وسطي.

تجدر الإشارة إلى أن”جروب – آي بي” ستقوم بتنظيم ندوة عبر الإنترنت بهدف إتاحة الفرصة لشركائها لمعرفة المزيد عن عصابة MoneyTaker الإلكترونية وذلك بتاريخ 18 ديسمبر 2017. وفي حال كانت لديكم رغبة بالاشتراك، يرجى التسجيل عبر هذا الرابط.