كيف تتعامل جوجل مع التهديدات المتطورة خلال الانتخابات الأمريكية وجائحة كورونا؟

تقدم الأحداث الكبرى مثل الانتخابات الأمريكية وفيروس كورونا (COVID-19) فرصًا للجهات الفاعلة في مجال التهديد، وتعمل مجموعة تحليل التهديدات (TAG) من جوجل على إحباط هذه التهديدات وحماية منتجات الشركة والأشخاص الذين يستخدمونها، ومع اقتراب الانتخابات الأمريكية، أرادت جوجل مشاركة تحديث حول ما تراه، وكيف يغير الفاعلون في التهديد تكتيكاتهم.

جوجل والانتخابات الأمريكية:

أعلنت شركة جوجل في يونيو عن محاولات للتصيّد ضد حسابات البريد الإلكتروني الشخصية للموظفين في حملتي بايدن وترامب من قِبل (APTs) الصينية والإيرانية على التوالي. ولم ترَ جوجل أي دليل على نجاح مثل هذه المحاولات.

استهدفت مجموعة المهاجمين الإيرانية (APT35) ومجموعة المهاجمين الصينيين (APT31) رسائل البريد الإلكتروني الشخصية لموظفي الحملة من خلال رسائل البريد الإلكتروني المخادعة ورسائل البريد الإلكتروني التي تحتوي على روابط للتتبع. 

استندت إحدى حملات (APT31) إلى روابط البريد الإلكتروني التي ستؤدي في النهاية إلى تنزيل البرامج الضارة المستضافة في (GitHub). وكانت البرامج الضارة عبارة عن غرسة تعتمد على لغة (Python) وتستخدم (Dropbox) للقيادة والتحكم فتسمح للمهاجم بتحميل الملفات وتنزيلها وكذلك تنفيذ أوامر عشوائية. حيث تمت استضافة كل جزء خبيث من هذا الهجوم على خدمات مشروعة، مما يجعل من الصعب على المدافعين الاعتماد على إشارات الشبكة للكشف عنها.

على سبيل المثال: انتحل المهاجمون شخصية (McAfee)، حيث ستتم مطالبة الأهداف بتثبيت إصدار شرعي من برنامج (McAfee) لمكافحة الفيروسات من (GitHub)، بينما يتم تثبيت البرامج الضارة في الوقت نفسه على النظام بصمت.

عندما تكتشف جوجل أن مستخدمًا ما هو هدف لهجوم مدعوم من الحكومة، ترسل إليه تحذيرًا بارزًا، وفي هذه الحالات تقوم عملاقة البحث أيضًا بمشاركة النتائج التي توصلت إليها مع الحملات ومكتب التحقيقات الفيدرالي.

بشكل عام، رأينا اهتمامًا متزايدًا بالتهديدات التي تشكلها (APTs) في سياق الانتخابات الأمريكية، حيث حذّرت الوكالات الحكومية الأمريكية من الجهات الفاعلة المختلفة للتهديد، وعملت جوجل عن كثب مع تلك الوكالات وغيرها في صناعة التكنولوجيا لمشاركة العملاء المتوقعين والمعلومات الاستخبارية حول ما تراه عبر النظام البيئي. وقد أدى ذلك إلى اتخاذ إجراءات في منصتها وغيرها. وبعد فترة وجيزة من فرض وزارة الخزانة الأمريكية عقوبات على عضو البرلمان الأوكراني أندري ديركاش لمحاولته التأثير في العملية الانتخابية الأمريكية، أزالت جوجل 14 حسابًا من منصاتها كانت مرتبطة به.

عمليات التأثير المنسقة:

لقد شاركت عملاقة البحث الإجراءات ضد عمليات التأثير المنسقة في نشرة (TAG) الفصلية (راجع تحديثات Q1 و Q2 و Q3). لكن حتى الآن، لم تحدد (TAG) أي حملات للتأثير منسقة وكبيرة تستهدف أو تحاول التأثير في الناخبين الأمريكيين عبر منصات جوجل.

تتبعت (TAG) منذ الصيف الماضي شبكة بريد عشوائي كبيرة مرتبطة بالصين تحاول إدارة عملية التأثير، وبشكل أساسي على منصة يوتيوب، كما تتمتع هذه الشبكة بحضور عبر منصات متعددة، وتعمل بشكل أساسي من خلال الحصول على حسابات حالية أو خطفها ونشر محتوى غير مرغوب فيه بلغة الماندرين، مثل مقاطع فيديو للحيوانات والموسيقى والطعام والنباتات والرياضة والألعاب. وسينشر جزء صغير من هذه القنوات غير المرغوب فيها مقاطع فيديو حول الأحداث الجارية، وغالبًا ما تتميز مقاطع الفيديو هذه بترجمات وأصوات تم إنشاؤها بواسطة الحاسب. 

شرح الباحثون في (Graphika) و (FireEye) بالتفصيل كيف تتصرف هذه الشبكة – بما في ذلك تحولها من نشر المحتوى بلغة الماندرين حول القضايا المتعلقة باستجابة هونغ كونغ والصين لفيروس (COVID-19)، إلى تضمين مجموعة فرعية صغيرة من المحتوى باللغتين الإنجليزية والماندرين حول الأحداث الجارية في الولايات المتحدة، مثل الاحتجاجات حول العدالة العرقية وحرائق الغابات في الساحل الغربي واستجابة الولايات المتحدة لفيروس كورونا (COVID-19).

لقد اتخذت جوجل نهجًا صارمًا لتحديد المحتوى وإزالته، على سبيل المثال: في الربع الثالث وحده، أنهت فرق الثقة والأمان أكثر من 3000 قناة على يوتيوب. ونتيجة لذلك، لم تكن هذه الشبكة قادرة على تكوين جمهور. 

تحوي معظم مقاطع الفيديو التي تحددها جوجل على أقل من 10 مشاهدات، ويبدو أن معظم هذه المشاهدات تأتي من حسابات البريد العشوائي ذات الصلة وليس من المستخدمين الفعليين. لذلك بينما يتم نشر هذه الشبكة بشكل متكرر، فإن غالبية هذا المحتوى عبارة عن محتوى غير مرغوب فيه، ولم ترَ عملاقة البحث أنه يصل بشكل فعال إلى الجمهور الفعلي في يويتوب، كما تمت مشاركة النتائج التي توصلت إليها جوجل على هذه الشبكة في نشرتي (TAG) للربع الثاني والربع الثالث.

أهداف فيروس كورونا:

مع تطور مسار جائحة (COVID-19)، رؤيت الجهات الفاعلة في التهديد وهي تطور تكتيكاتها أيضًا، ففي هذا الصيف، لوحظ وجود جهات تهديد من الصين وروسيا وإيران تستهدف شركات الأدوية والباحثين المشاركين في جهود تطوير اللقاحات.

وفي شهر سبتمبر، بدأت جوجل ترى عدة مجموعات من كوريا الشمالية تحول استهدافها نحو الباحثين في (COVID-19) وشركات الأدوية، منها تلك الموجودة في كوريا الجنوبية. حيث استخدمت إحدى الحملات أدوات لتقصير عناوين (URL)، وانتحلت شخصية بوابة بريد الويب للهدف في محاولة لجمع بيانات اعتماد البريد الإلكتروني. وفي حملة منفصلة، تظاهر المهاجمون بأنهم متخصصون في تجنيدهم لجذب الأهداف لتنزيل البرامج الضارة.

التعامل مع هجمات DDoS كصناعة:

يتم استخدام أنواع مختلفة من الهجمات لأغراض مختلفة، حيث يمكن استخدام حملات التصيد الاحتيالي، فمن الممكن القيام بإغراءات شخصية من المرجح أن تخدع الأشخاص؛ وذلك لحثهم على اتخاذ إجراءات مثل النقر على رابط لبرنامج ضار، أما هجمات DDoS فهي تعطل أو تمنع موقعًا أو خدمة تمامًا. وفي حين أنه من غير الشائع رؤية هجمات DDoS بدلاً من حملات التصيد الاحتيالي أو القرصنة القادمة من مجموعات التهديد المدعومة من الحكومات، فقد رأت جوجل لاعبين كبارًا يزيدون قدراتهم في شن هجمات واسعة النطاق في السنوات الأخيرة. على سبيل المثال: في عام 2017 قام فريق هندسة الموثوقية الأمنية بقياس هجوم لتضخيم (UDP) محطمًا الأرقام القياسية ومصدره العديد من مزودي خدمة الإنترنت الصينيين (ASNs 4134 و 4837 و 58453 و 9394)، والذي لا يزال يمثل أكبر هجوم لعرض النطاق الترددي الذي نعرفه.

تتطلب معالجة هجمات (DDoS) التي ترعاها الدول استجابة منسقة من مجتمع الإنترنت، وتتعامل جوجل مع الآخرين لتحديد وتفكيك البنية التحتية المستخدمة في تنفيذ الهجمات.

الجدير بالذكر أن جوجل أرسلت  أكثر من 33000 تنبيه إلى مستخدميها خلال الأرباع الثلاثة الأولى من عام 2020 للتحذير من هجمات للتصيد ترعاها الدول وتستهدف حساباتهم.