بقلم ريان اولسون، مدير استقصاء المعلومات في شركة بالو ألتو نتوركس
تناقش هذه المدونة الهجمات المستهدفة التي شهدتها منطقة الشرق الأوسط بين شهري فبراير وأكتوبر من العام 2017، على يد مجموعة قامت الوحدة 42 بتسميتها MuddyWater. وتربط هذه المدونة بين هذا النشاط الأخير وحزمة من التقارير العامة والمتفرقة السابقة التي أبلغت عن هجمات مماثلة، نرى بأنها ذات صلة بالموضوع. ونحن نطلق عليها اسم MuddyWater بسبب الحيرة والارتباك في نسب هذه الهجمات، فعلى الرغم من أن هذا النشاط كان مرتبطاً فيما مضى بمجموعة FIN7، إلا أن أبحاثنا أظهرت أن هذا النشاط ذو طابع تجسسي، ومن غير المرجح ارتباطه بمجموعة FIN7.
كما أن هجمات MuddyWater موجهة في المقام الأول ضد دول الشرق الأوسط. ومع ذلك، لاحظنا أيضاً ان هذه الهجمات استهدفت الدول المحيطة المنطقة وخارجها، بما فيها أهداف في الهند والولايات المتحدة الأمريكية. وتتميز هجمات MuddyWater باستخدامها البرمجية الخبيثة PowerShell، القائمة على المرحلة الأولى من برمجية التسلل التي نطلق عليها اسم POWERSTATS. ورغم عمليات التدقيق وإبلاغ التقارير الواسعة حول هجماتMuddyWater، يستمر نشاطها مع إحداث بعض التغييرات التدريجية فقط على الأدوات والتقنيات التي تستعين بها.
مقدمة ولمحة عامة
رصدت "الوحدة 42"، الذراع الأمنية التابعة لشركة بالو ألتو نتوركس، مؤخراً سلسلة من الملفات الخبيثة، التي تطابق تقريباً الملفات التي تستهدف الحكومة السعودية، وناقشتها سابقاً مدونة MalwareBytes التي بدورها، تشبه إلى حد كبير مقال سابق نشرته مدونة Morphisec. وقد تم تتبع ورصد هذه الهجمات من قبل العديد من الباحثين الآخرين، والإبلاغ عنها على صفحات موقع تويتر وغيره من المواقع.
أما نشاط هذه الهجمات فقد كان متسقاً على طول العام 2017، واستناداً إلى تحليلاتنا، فإن الأهداف المستهدفة أو التي يشتبه باستهدافها، هي مؤسسات تقع في الدول التالية: المملكة العربية السعودية، العراق، الإمارات العربية المتحدة،جورجيا، الهند، باكستان، تركيا، والولايات المتحدة الأمريكية.
وقد تم تعديل الملفات الخبيثة وفقاً للمناطق المستهدفة، والتي غالباً ما تستخدم شعارات الهيئات الحكومية المحلية، ما دفع المستخدمين لتجاوز الضوابط الأمنية وتمكين وحدات الماكرو فيها.
هجمات MuddyWater في الشرق الأوسط
نشطت الجهة الفاعلة التي تقف وراء هجمات MuddyWater طوال العام 2017، حيث استهدفت نقاطاً تقع في جميع أنحاء منطقة الشرق الأوسط والمناطق المحيطة بها. لا يعني ظهور اسم الهيئات الحكومية في ملفات الاحتيال أن أي منها قام بمهاجمة نفسه، أو تورط في مثل هذه الهجمات، فالجهات الفاعلة التي تقف وراء هجمات MuddyWater تعمل على زعزعة الثقة بأسماء هذه المؤسسات أو الهيئات الحكومية و/أو شعاراتها لأغراضهم الخبيثة.
الاستنتاجات الأخيرة
بإمكاننا الوصول إلى نتيجة، وبكل ثقة، مفادها أن الهجمات التي نوقشت ضمن هذه المقالة لا ترتبط بمجموعة FIN7، كما أننا لم نتمكن من الإجابة على العديد من التساؤلات حول هجمات MuddyWater. بالإضافة إلى أننا غير قادرين حالياً على الوصول إلى نتيجة مؤكدة حول أصل الجهة المهاجمة، أو تحديد نوعية المعلومات التي يبحثون عنها عبر الشبكة. وعلى أي حال، سنواصل تتبع أنشطتهم من أجل توفير وتأمين الحماية لعملائنا.
ونأمل بأن يُظهر التحليل المقدم مدى أهمية استخلاص الاستنتاجات استناداً إلى البيانات المتاحة، وعدم الأخذ بالاستنتاجات الواردة في السياق العام وفقاً للقيمة الاسمية، وهو ما يكون صحيحاً بشكل خاص عندما تستند الجهة الفاعلة على أدوات معدلة بدرجة بسيطة وذات مصادر مفتوحة (متاحة أمام الجميع) أثناء الهجمة. هذا، وبإمكان الجهات الفاعلة المقلدة، وبكل سهولة، محاكاة الجهات المهاجمة الحقيقية، الذين يستخدمون أدوات ذات مصادر مفتوحة، ما يؤدي إلى إرباك وتشويش الجهود المبذولة لمعرفة المزيد حول الهجمات، الأمر الذي ينبغي أخذه بعين الاعتبار عند جمع خيوط القصة.
