جهات تخريبية تعكّر أجواء الشرق الأوسط... عمليات اختطاف إلكترونية وتسريبات مزيفة خلال ربع 2019 الثاني

الخميس 01 أغسطس 2019
دبي - مينا هيرالد:

اشتملت أنشطة ما يُعرف بالتهديدات الإلكترونية المستمرّة المتقدمة APT، التي حدثت خلال الربع الثاني من العام الجاري 2019، عدداً من العمليات التي استهدفت أو نشأت في الشرق الأوسط وكوريا الجنوبية. وركّز معظم النشاط على التجسّس الإلكتروني أو المكاسب المالية، ولكن يبدو أن حملة واحدة على الأقل هدفت إلى نشر معلومات مضللة. ففي شهر مايو حلل باحثون من كاسبرسكي تسريباً لما بدا أنها أصول مملوكة لجهة إيرانية عبر عملية تجسس إلكتروني، وخلصوا إلى أنه من المحتمل أن تكون الجهة التخريبية الكامنة وراء العملية هي Hades، المجموعة المرتبطة أيضاً بعملية ExPetr والهجوم الإلكتروني الشهير الذي وقع في دورة الألعاب الأولمبية الشتوية 2018. ويمكن الاطلاع على هذه التوجهات، وغيرها مما وقع في جميع أنحاء العالم، في أحدث ملخص فصلي لكاسبرسكي حول معلومات التهديدات الإلكترونية.

وقد استُخلص هذا الملخص من أبحاث كاسبرسكي الخاصة بشأن التهديدات، والمعلومات التي حصلت عليها بفضلها، علاوة على مصادر أخرى، وهو يسلّط الضوء على التطورات الرئيسة التي يعتقد الباحثون أن الجميع يجب أن يكونوا على دراية بها.

في الربع الثاني من العام 2019، لاحظ باحثو كاسبرسكي بعض النشاطات المثيرة للاهتمام في الشرق الأوسط، مثل سلسلة من التسريبات عبر الإنترنت لأصول معلوماتية، مثل تفاصيل تتعلق بشفرات برمجية وبنىً تحتية ومجموعات وضحايا مُفترضين، يُزعم أنها تنتمي إلى جهات تخريبية معروفة ناطقة باللغة الفارسية، هي OilRig وMuddyWater. ونشأت التسريبات من مصادر مختلفة ولكنها ظهرت بفاصل بضعة أسابيع بين بعضها والبعض الآخر. فقد نُشر التسريب الثالث باللغة الفارسية على موقع ويب اسمه Hidden Reality (الواقع الخفي)، الذي كشف على ما يبدو عن معلومات متعلقة بجهة تُدعى "معهد رنا". وأدى التحليل الذي أجراه باحثو كاسبرسكي للمواد والبنية التحتية والموقع الإلكتروني، إلى استنتاج أن هذا التسريب يمكن أن يكون متصلاً بالجهة التخريبية Hades، التي تقف وراء كل من حادثة OlympicDestroyer التي استهدفت الألعاب الأولمبية الشتوية 2018، ودودة ExPetr، وحملات تضليل مختلفة مثل تسريب رسائل بريد إلكتروني في 2017 متعلقة بحملة إيمانويل ماكرون للانتخابات الرئاسية في فرنسا.

وتشمل أبرز النقاط الواردة في ملخص كاسبرسكي للربع الثاني من 2019 ما يلي:

  • تُواصل المجموعات الناطقة باللغة الروسية تحسين أدواتها التخريبية وإطلاق أدوات جديدة باستمرار، فضلاً عن عمليات جديدة. فمنذ شهر مارس، يبدو أن Zebrocy، مثلاً، قد حولت انتباهها نحو أحداث في الهند وباكستان ومسؤولين ودبلوماسيين من البلدين، إضافة إلى الحفاظ على استمرار وصولها إلى الشبكات الحكومية المحلية والنائية في بلدان آسيا الوسطى. كذلك استمرت الجهة التخريبية Turla في تشكيل مجموعة أدوات سريعة التطور واستخدامها في عملياتها وهجماتها، وفي إحدى الحالات البارزة، كان هناك اختطاف واضح للبنية التحتية التابعة لـ OilRig.
  • بقي النشاط المرتبط بكوريا مرتفعاً في حين كان باقي منطقة جنوب شرق آسيا أكثر هدوءً من الفترات الفصلية السابقة. وتتضمن العمليات الجديرة بالذكر هجوماً شنّته مجموعة Lazarus استهدف شركة ألعاب للأجهزة المحمولة في كوريا الجنوبية، وحملة شنتها BlueNoroff، التابعة لمجموعة Lazarus، واستهدفت خلالها أحد البنوك في بنغلاديش وبرمجية للعملات الرقمية.
  • لاحظ الباحثون أيضاً حملة نشطة تستهدف الهيئات الحكومية في بلدان آسيا الوسطى من قِبل المجموعة الناطقة بالصينية SixLittleMonkeys، باستخدام إصدار جديد من التروجان Microcin والتروجان HawkEye.

ويُظهر الربع الثاني من العام 2019 كيف أصبح مشهد التهديدات الإلكترونية مشوشاً ومربكاً، وكيف أن كثيراً من الأشياء انكشفت على حقيقتها بعد أن كانت تبدو مختلفة، وفقاً لفيشنتي دياز أحد كبار الباحثين الأمنيين في فريق البحث والتحليل العالمي لدى كاسبرسكي، الذي قال إن مما شهده الربع الثاني من أنشطة تخريبية "اختطاف" إحدى جهات التهديد البنية التحتية لمجموعة أصغر منها، ومجموعة أخرى ربما استفادت من سلسلة من التسريبات عبر الإنترنت لنشر معلومات مضللة وتقويض مصداقية الأصول المكشوف عنها، وأضاف: "تواجه صناعة الأمن الإلكتروني مهمة ملحة تتمثل بإزالة الضبابية واللبس للعثور على الحقائق والمعلومات التي يعتمد عليها الأمن الإلكتروني. وتبقى رؤيتنا بالرغم من ذلك غير كاملة وسيكون هناك أنشطة لم تظهر بعدُ على راداراتنا أو لم يتم فهمها تماماً، لذا تظلّ الحماية من كل من التهديدات المعروفة والمجهولة أمراً في غاية الأهمية للجميع".

ويلخص تقرير توجهات التهديدات المستمرة المتقدمة للربع الثاني نتائج تقارير معلومات التهديدات والتي تُعدّها كاسبرسكي خصيصاً للمشتركين في خدمتها، والتي تتضمن أيضاً بيانات المؤشرات على حدوث الاختراقات وقواعد YARA، للمساعدة في البحث الجنائي واصطياد البرمجيات الخبيثة.

ويوصي باحثو كاسبرسكي بتنفيذ التدابير التالية من أجل تجنب الوقوع ضحية لهجوم موجّه من جهات تخريبية معروفة أو مجهولة:

  • منح فريق مركز العمليات الأمنية في الشركة إمكانية الوصول إلى أحدث معلومات التهديدات لمواكبة الأدوات والأساليب والتكتيكات الجديدة والناشئة التي تستخدمها الجهات التخريبية ومجرمو الإنترنت.
  • تنفيذ حلول EDR مثل Kaspersky Endpoint Detection and Response، للكشف عن التهديدات عند أطراف الشبكة والأنظمة والتحقيق فيها ومعالجتها في الوقت المناسب.
  • بالإضافة إلى تبني حماية أساسية للنقاط الطرفية، من المهم تنفيذ حل أمني على المستوى المؤسسي يكتشف التهديدات المتقدمة في الشبكات في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform.
  • الحرص على تدريب الموظفين على الوعي الأمني وتعليم المهارات العملية، من خلال Kaspersky Automated Security Awareness Platform، مثلاً، وذلك مع بدء العديد من الهجمات الموجهة بالتصيد أو غيره من تقنيات الهندسة الاجتماعية.

أخبار مرتبطة