كاسبرسكي لاب: مجموعتا قرصنة تتشاركان البنية التحتية التخريبية نفسها

حدد خبراء لدى كاسبرسكي لاب تداخلاً في الهجمات الإلكترونية بين مجموعتي قرصنة خطرتين وسيئتي السمعة، هما GreyEnergy، التي يعتقد أنها حلت محل مجموعة BlackEnergy، ومجموعة Sofacy الشهيرة بالتجسس الإلكتروني.

وتستخدم المجموعتان الخوادم نفسها من أجل الوصول إلى أغراض مختلفة، وتعتبر مجموعتا القرصنة BlackEnergy و Sofacy مجموعات تخريبية ناشطة في المشهد الإلكتروني الحديث.

وقد أدت أنشطتهما في كثير من الأحيان إلى عواقب وخيمة على المستوى الوطني، وتسببت BlackEnergy في واحدة من أكثر الهجمات الإلكترونية ضرراً في التاريخ، والتي استهدفت منشآت الطاقة الأوكرانية في العام 2015، مسببة انقطاعات واسعة في التيار الكهربائي.

بينما شنت مجموعة Sofacy هجمات تخريبية مدمرة على العديد من الجهات الحكومية الأمريكية والأوروبية، إلى جانب أجهزة تابعة للأمن القومي والمخابرات.

وكان يشتبه في السابق بوجود علاقة بين المجموعتين، ولكن هذا الأمر لم يثبت حتى الآن، بعد أن كشف النقاب عن أن مجموعة GreyEnergy التخريبية، التي خلفت BlackEnergy، تستخدم برمجيات تخريبية للهجوم على أهداف ضمن البنية التحتية الصناعية والحيوية، غالباً في أوكرانيا، مظهرة تشابهاً كبيراً في التركيبة الهيكلية مع BlackEnergy.

وعثر فريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية ICS CERT لدى كاسبرسكي لاب، وهو الفريق المسؤول عن الأبحاث المتعلقة بالتهديدات المحدقة بالنظم الصناعية وإزالتها، خادمين في أوكرانيا والسويد يستخدمان بالتزامن من قبل المجموعتين التخريبيتين منذ يونيو 2018.

واستخدمت مجموعة GreyEnergy الجهازين الخادمين في حملة تصيد لتخزين ملف خبيث يتم تنزيله على أجهزة المستخدمين عند فتحهم مستنداً نصياً مرتبطاً بالبريد الإلكتروني التصيدي، وفي الوقت نفسه، استخدمت Sofacy الخادمين كمركز للقيادة والتحكم ببرمجياتها الخبيثة.

ويمكن القول إن الاستخدام المشترك بين المجموعتين التخريبيتين لفترة قصيرة يعني أن الخادمين شكلا بنية تحتية مشتركة لهما، وقد تأكد هذا الأمر بعد ملاحظة استهداف إحدى المجموعتين شركة ما بعد أسبوع من استهدافها من قبل المجموعة الأخرى برسائل بريد إلكتروني تصيدية موجهة.

واستخدمت المجموعتان وثائق تصيد مماثلة أرسلت تحت ستار رسائل بريد إلكتروني واردة من وزارة الطاقة في جمهورية كازاخستان.

وقالت ماريا غارنيفا الباحثة الأمنية في فريق ICS CERT لدى كاسبرسكي لاب، إن البنية التحتية التي تم استغلالها وتبين أنها مشتركة بين هاتين المجموعتين قد تشير إلى “تعاون قائم بين المجموعتين التخربيتين الناطقتين باللغة الروسية”.

وأضافت: “يقدم هذا الأمر فكرة وصورة أوضح عن القدرات المشتركة والأهداف التي يمكن الوصول إليها والأغراض المحتمل تحقيقها، وتثري هذه النتائج التي توصلنا إليها المعرفة العامة حول GreyEnergy و Sofacy، اللتين كلما استطعنا في مجال الأمن الإلكتروني معرفة المزيد عن تكتيكاتهما وأساليبهما وإجراءاتهما، أمكن لخبرائنا تحسين مستوى التعامل معهما وحماية العملاء من شرور هجماتهما المتطورة”.

وتنصح كاسبرسكي لاب الشركات باتخاذ الإجراءات التالية من أجل حماية نفسها من هجمات هذه المجموعات التخريبية:

• تدريب الموظفين تدريباً متخصصاً على الأمن الإلكتروني لتمكينهم من التحقق دائماً من عنوان الرابط والبريد الإلكتروني للمرسلين قبل النقر على أي شيء في الرسائل الواردة.
• تقديم مبادرات أمنية توعوية تشمل التدريب بطريقة ترفيهية مع تقييم المهارات وتعزيزها من خلال تكرار محاكاة هجمات التصيد.
• تفعيل التحديث المؤتمت لأنظمة التشغيل وبرمجيات التطبيقات والحلول الأمنية على الأنظمة التي تعد جزءاً من شبكات تقنية المعلومات والشبكات الصناعية في الشركات والمؤسسات.
• توظيف حلول حماية متخصصة، مزودة بتقنيات مكافحة التصيد القائمة على السلوك، وتقنيات مكافحة الهجمات الموجهة، فضلاً عن تغذية الأنظمة بالمعلومات المتعلقة بالتهديدات، وذلك مثل حل Kaspersky Threat Management and Defense solution للتعامل مع التهديدات والتصدي لها، فهذه الحلول قادرة على اكتشاف الهجمات الموجهة المتقدمة ومنعها من خلال تحليل أي سلوك شاذ في حركة البيانات عبر الشبكة ومنح فرق الأمن الإلكتروني رؤية كاملة في أنحاء الشبكة وأتمتة الاستجابة عند اقتضاء الحاجة.