كاسبرسكي: مجموعة Fin7 تستهدف 130 شركة بعد اعتقال زعمائها

اكتشف باحثون في شركة كاسبرسكي لاب عددًا من الهجمات التي شنتها حديثًا مجموعة القرصنة السيئة السمعة Fin7/Carbanak، بعد أن ساد اعتقاد بأن المجموعة قد حُلت في أعقاب إلقاء القبض على عدد من المشتبه بهم من زعمائها في العام 2018.

واستُخدمت البرمجية الخبيثة GRIFFON في الهجمات المكتشفة، التي يعتقد خبراء كاسبرسكي لاب أن مجموعة Fin7 قد شنتها، بعد أن وسعت عدد المجموعات التخريبية العاملة تحت مظلتها؛ فزادت من أساليبها المتطورة، بل إنها أعلنت عن نفسها شركة أمنية شرعية؛ من أجل توظيف مهنيين مختصين، وخداعهم لمساعدتها على سرقة الأموال.

ويُعتقد أن Fin7 كانت وراء الهجمات التي استهدفت قطاعات البيع بالتجزئة، والمطاعم، والضيافة الأمريكية، منذ منتصف العام 2015، وذلك بالتعاون الوثيق، وتبادل الأدوات والأساليب، مع مجموعة Carbanak السيئة السمعة. وبينما ركزت Carbanak أعمالها التخريبية على البنوك، استهدفت Fin7 في الغالب الشركات، وهذا يُرجح حصولها على ما قيمته ملايين الدولارات من الأصول المالية، مثل بيانات اعتماد بطاقات الدفع، أو معلومات الحسابات على أجهزة الحاسوب في الإدارات المالية. وبمجرد أن تحصل الجهات التخريبية على مرادها، فإنها تحول الأموال إلى حسابات خارجية.

ووفقًا للتحقيق الذي أجرته كاسبرسكي لاب، فقد واصلت المجموعة نشاطها، حتى في ظل اعتقال زعمائها المشتبه بهم العام الماضي، فنفذت حملات متطورة للتصيد الموجه طوال العام 2018، ووزعت برمجيات تخريبية على كل هدف من خلال رسائل بريد إلكتروني مصممة خصيصًا للمتلقين. وفي حالات مختلفة، وقد قامت المجموعة بتبادل الرسائل مع الضحايا المستهدفين لأسابيع، قبل إرسال المستندات التخريبية كمُرفقات. وتقدر كاسبرسكي عدد الشركات المستهدفة بهذه الطريقة بأكثر من 130 شركة، بحلول نهاية العام 2018.

واكتشف الباحثون أيضًا فرقًا إجرامية أخرى تعمل تحت مظلة Fin7. ويُرجح استخدام البنية التحتية المشتركة، والأساليب، والتقنيات والإجراءات نفسها؛ أن تكون Fin7 متعاونة مع شبكة بوتات الويب AveMaria، ومجموعات معروفة بأسماء CobaltGoblin/EmpireMonkey، يعتقد أنها وراء سرقات بنوك حدثت في أوروبا، وأمريكا الوسطى.

واكتشفت كاسبرسكي لاب أيضًا أن Fin7 قد أنشأت شركة مزيفة تدعي أنها شركة شرعية لخدمات الأمن الإلكتروني، لها مكاتب في جميع أنحاء روسيا. ووُجد أن موقع الويب الخاص بهذه الشركة مسجل على الخادم الذي تستخدمه Fin7 كمركز للقيادة والسيطرة. ووظفت الشركة المزيفة بدوام جزئي باحثين في مجال الثغرات الأمنية، ومطوري برمجيات، ومترجمين فوريين، من خلال مواقع توظيف شرعية عبر الإنترنت. ويبدو أن بعض الأفراد الذين يعملون في هذه الشركة المزيفة لم يشكوا في تورطهم بأعمال تتعلق بجرائم الإنترنت، إذ ضمّن بعضهم خبرته بالعمل في هذه الشركة في سيرته الذاتية.

وشبه يوري ناميستنيكوف – الباحث الأمني لدى كاسبرسكي لاب – التهديدات الإلكترونية الحديثة بالمخلوق الأسطوري هيدرا ليرنا، الذي “إذا قُطع له رأس نما بدلًا منه اثنان”، وقال: “أفضل طريقة يمكن للمستخدم بها حماية نفسه من التهديدات تتمثل في تطبيق الحماية المتقدمة، المتعددة الطبقات؛ وتثبيت جميع تصحيحات البرمجيات بمجرد إصدارها، وإجراء تحليل أمني منتظم في جميع الشبكات، والأنظمة، والأجهزة”.

ولتقليل مخاطر الإصابة بأحد التهديدات الإلكترونية، يُنصح المستخدمون باستخدام حلول أمنية بوظائف مخصصة؛ لاكتشاف محاولات الخداع ومنعها. ويمكن للشركات حماية أنظمتها الخاصة بالبريد الإلكتروني، من خلال التطبيقات الموجهة المتاحة في باقة Kaspersky Endpoint Security for Business. كما يساعد الحل Kaspersky Security for Microsoft Office 365 على حماية خدمة البريد السحابية Exchange Online ضمن باقة Microsoft Office 365.

وتوصي الشركة أيضًا بتقديم التدريب على الوعي الأمني، وتعليم المهارات العملية، وتساعد برمجيات، مثل: Kaspersky Automated Security Awareness Platform في تعزيز المهارات، والقيام بعمليات محاكاة لهجمات تصيد.