جهات تخريبية تعكر أجواء الشرق الأوسط عبر عمليات اختطاف إلكترونية

اشتملت أنشطة ما يعرف بالتهديدات الإلكترونية المستمرة المتقدمة (APT)، التي حدثت خلال الربع الثاني من العام الجاري 2019، عدداً من العمليات التي استهدفت أو نشأت في الشرق الأوسط وكوريا الجنوبية.

وركز معظم النشاط على التجسس الإلكتروني أو المكاسب المالية، لكن يبدو أن حملة واحدة على الأقل هدفت إلى نشر معلومات مضللة.

وحلل باحثون من كاسبرسكي في شهر مايو تسريب لما بدا أنه أصول مملوكة لجهة إيرانية عبر عملية تجسس إلكتروني.

وخلصوا إلى أنه من المحتمل أن تكون الجهة التخريبية الكامنة وراء العملية هي (Hades)، المجموعة المرتبطة أيضاً بعملية (ExPetr) والهجوم الإلكتروني الشهير الذي وقع في دورة الألعاب الأولمبية الشتوية 2018.

ويمكن الاطلاع على هذه التوجهات، وغيرها مما وقع في جميع أنحاء العالم، في أحدث ملخص فصلي لكاسبرسكي حول معلومات التهديدات الإلكترونية.

وقد استخلص هذا الملخص من أبحاث كاسبرسكي الخاصة بشأن التهديدات، والمعلومات التي حصلت عليها بفضلها، علاوة على مصادر أخرى، وهو يسلط الضوء على التطورات الرئيسة التي يعتقد الباحثون أن الجميع يجب أن يكونوا على دراية بها.

ولاحظ باحثو كاسبرسكي في الربع الثاني من العام 2019 بعض النشاطات المثيرة للاهتمام في الشرق الأوسط، مثل سلسلة من التسريبات عبر الإنترنت لأصول معلوماتية تتعلق بتفاصيل شفرات برمجية وبنى تحتية ومجموعات وضحايا مفترضين، يزعم أنها تنتمي إلى جهات تخريبية معروفة ناطقة باللغة الفارسية، هي (OilRig) و (MuddyWater).

ونشأت التسريبات من مصادر مختلفة، لكنها ظهرت بفاصل بضعة أسابيع بين بعضها والبعض الآخر، حيث نُشر التسريب الثالث باللغة الفارسية على موقع ويب اسمه (Hidden Reality)، والذي كشف على ما يبدو عن معلومات متعلقة بجهة تدعى “معهد رنا”.

وأدى التحليل الذي أجراه باحثو كاسبرسكي للمواد والبنية التحتية والموقع الإلكتروني، إلى استنتاج أن هذا التسريب يمكن أن يكون متصلاً بالجهة التخريبية (Hades).

وتقف هذه الجهة وراء حادثة (OlympicDestroyer) التي استهدفت الألعاب الأولمبية الشتوية 2018، ودودة (ExPetr)، وحملات تضليل مختلفة مثل تسريب رسائل بريد إلكتروني في 2017 متعلقة بحملة إيمانويل ماكرون للانتخابات الرئاسية في فرنسا.

وتشمل أبرز النقاط الواردة في ملخص كاسبرسكي للربع الثاني من 2019 ما يلي:

1) تواصل المجموعات الناطقة باللغة الروسية تحسين أدواتها التخريبية وإطلاق أدوات جديدة باستمرار، فضلاً عن عمليات جديدة، ويبدو أن (Zebrocy) قد حولت انتباهها منذ شهر مارس نحو أحداث في الهند وباكستان ومسؤولين ودبلوماسيين من البلدين، إضافة إلى الحفاظ على استمرار وصولها إلى الشبكات الحكومية المحلية والنائية في بلدان آسيا الوسطى، بينما استمرت الجهة التخريبية (Turla) في تشكيل مجموعة أدوات سريعة التطور واستخدامها في عملياتها وهجماتها، وفي إحدى الحالات البارزة، كان هناك اختطاف واضح للبنية التحتية التابعة لمجموعة (OilRig).

2) بقي النشاط المرتبط بكوريا مرتفعاً في حين كان باقي منطقة جنوب شرق آسيا أكثر هدوءً من الفترات الفصلية السابقة، وتتضمن العمليات الجديرة بالذكر هجوماً شنته مجموعة (Lazarus) استهدف شركة ألعاب للأجهزة المحمولة في كوريا الجنوبية، وحملة شنتها (BlueNoroff)، التابعة لمجموعة (Lazarus)، واستهدفت خلالها أحد البنوك في بنغلاديش وبرمجية للعملات الرقمية.

3) لاحظ الباحثون أيضاً حملة نشطة تستهدف الهيئات الحكومية في بلدان آسيا الوسطى من قِبل المجموعة الناطقة بالصينية (SixLittleMonkeys)، باستخدام إصدار جديد من التروجان (Microcin) والتروجان (HawkEye).

ويُظهر الربع الثاني من العام 2019 كيف أصبح مشهد التهديدات الإلكترونية مشوشاً ومربكاً، وكيف أن كثيراً من الأشياء انكشفت على حقيقتها بعد أن كانت تبدو مختلفة، وفقاً لفيشنتي دياز Vicente Diaz، أحد كبار الباحثين الأمنيين في فريق البحث والتحليل العالمي لدى كاسبرسكي.

وقال دياز: شهدنا اختطاف إحدى جهات التهديد للبنية التحتية لمجموعة أصغر منها، واستفادة مجموعة أخرى من التسريبات عبر الإنترنت لنشر معلومات مضللة وتقويض مصداقية الأصول المكشوف عنها.

وأضاف “تواجه صناعة الأمن مهمة ملحة تتمثل بالعثور على الحقائق التي يعتمد عليها الأمن الإلكتروني، ومن المهم أن نوضح أن رؤيتنا لم تكتمل، وسيكون هناك أنشطة مبهمة بالنسبة لنا ولم يتم فهمها تماماً، لذا تظل الحماية من كل من التهديدات المعروفة والمجهولة أمراً في غاية الأهمية للجميع”.

ويلخص تقرير توجهات التهديدات المستمرة المتقدمة للربع الثاني نتائج تقارير معلومات التهديدات والتي تعدها كاسبرسكي خصيصاً للمشتركين في خدمتها، والتي تتضمن أيضاً بيانات المؤشرات على حدوث الاختراقات وقواعد (YARA)، للمساعدة في البحث الجنائي واصطياد البرمجيات الخبيثة.

ويوصي باحثو كاسبرسكي بتنفيذ التدابير التالية من أجل تجنب الوقوع ضحية لجهات تخريبية معروفة أو مجهولة:

• منح فريق مركز العمليات الأمنية في الشركة إمكانية الوصول إلى أحدث معلومات التهديدات لمواكبة الأدوات والأساليب والتكتيكات الجديدة والناشئة التي تستخدمها الجهات التخريبية ومجرمو الإنترنت.
• تنفيذ حلول (EDR) مثل (Kaspersky Endpoint Detection and Response) للكشف عن التهديدات عند أطراف الشبكة والأنظمة والتحقيق فيها ومعالجتها في الوقت المناسب.
• تنفيذ حل أمني على المستوى المؤسسي يكتشف التهديدات المتقدمة في الشبكات في مرحلة مبكرة مثل (Kaspersky Anti Targeted Attack Platform).
• الحرص على تدريب الموظفين على الوعي الأمني وتعليم المهارات العملية من خلال (Kaspersky Automated Security Awareness Platform)، وذلك مع بدء العديد من الهجمات الموجهة بالتصيد أو غيره من تقنيات الهندسة الاجتماعية.