الإشراف العام
إلهام أبو الفتح
رئيس التحرير
أحمــد صبـري
الإشراف العام
إلهام أبو الفتح
رئيس التحرير
أحمــد صبـري

"صدى البلد" ينشر تقريرا دوليا يحذر من عصابة إلكترونية تستهدف الشرق الأقصى

صورة تعبيرية
صورة تعبيرية

لاحظ باحثون في شركة كاسبرسكي لاب أن عصابة الجريمة الإلكترونية الشهيرة Sofacy (سوفاسي) الناطقة بالروسية، بدأت تحوّل اهتمامها إلى استهداف هيئات ومنظمات عسكرية ودفاعية ودبلوماسية عاملة في منطقة الشرق الأقصى..فضلًا عن المنظمات المرتبطة بحلف الناتو والتي تشكّل أهدافًا تقليدية لها.

ووجد الباحثون، وفقا لبيان صحفي صادر عن مكتب شركة كاسبريسكى بالقاهرة، تلقى "صدى البلد" نسخة منه، أن العصابة المعروفة أيضًا بالأسماء APT28 أو "فانسي بير" Fancy Bear، تتداخل في نشاطها الإجرامي أحيانًا مع مجموعات أخرى، بينها "تورلا" Turla الناطقة بالروسية و"دانتي" Danti الناطقة بالصينية.. ومن بين أكثر الأمور إثارة للاهتمام مما كشف عنه الباحثون، وجود أبواب خلفية على خادم تابع لجهة عسكرية فضائية في الصين، كان قد تعرّض للاختراق من قبل المجموعة التخريبية الناطقة بالإنجليزية والتي تقف وراء عائلة برمجيات Lamberts الخبيثة.

وطبقا لتقرير رسمى صادر عن كاسبريسكى تتألف عصابة Sofacy من مجموعة قوية من الناشطين في مجال التجسس الإلكتروني الذين يتابع الباحثون في كاسبرسكي لاب نشاطهم منذ سنوات عديدة.

وكانت كاسبرسكي لاب نشرت في فبراير الماضى ، موجزًا عامًا عن أنشطة هذه العصابة في العام 2017، كشفت فيه عن انتقالها التدريجي بعيدًا عن الأهداف المتعلقة بالناتو تجاه الشرق الأوسط وآسيا الوسطى وما بعدها.

وتستخدم Sofacy هجمات التصيّد وأحيانًا الهجمات المعروفة باسم "فتحات المياه" التي تنتظر فيها المجموعة التخريبية وصول الضحية إلى مواقع ويب أصلية ملغمة للإيقاع بها بهدف سرقة المعلومات، بما يشمل بيانات اعتماد الدخول للحسابات، والاتصالات والمستندات الحساسة، كما يُشتبه في إيصالها حمولات مدمرة إلى أهداف مختلفة.

وتظهر النتائج الجديدة أن Sofacy ليست الجهة المتصيّدة الوحيدة التي تتربّص بهذه المناطق، وأن هناك تداخلًا في الأهداف يحدث أحيانًا بين عدّة جهات تهديد. ووجد الباحثون في حالة Sofacy سيناريوهات شهدت تنافسًا على الوصول إلى الضحايا بين البرمجية الخبيثة Zebrocy التابعة للعصابة وبرمجيات أخرى تابعة لعصابة "موسكيتو تورلا" Mosquito Turla الناطقة بالروسية، أو تنافسًا بين هجمات SPLM التابعة لها والهجمات التقليدية التي تشنها كل من "تورلا" و"دانتي" الناطقة بالصينية.

وشملت الأهداف المشتركة دوائر حكومية ومؤسسات تقنية وعلمية وعسكرية، من منطقة آسيا الوسطى أو عاملة فيها.

وبدا في بعض الحالات أن الأهداف تتعرض لهجمات متزامنة ومنفصلة من كلّ من SPLM وZebrocy. ومع ذلك، فإن التداخل الأكثر إثارة للفضول كان على الأرجح ذلك الذي حدث بين Sofacy والمجموعة التخريبية الناطقة بالإنجليزية والتي تقف وراء هجمات Lamberts.

وتم اكتشاف الصلة بين الهجومين إثر عثور الباحثين على حضور لSofacy على خادم كانت معلومات سابقة أشارت إلى كونه مخترقًا من قِبل برمجية Grey Lambert الخبيثة. ويتبع هذا الخادم شركة صينية تقوم بتصميم تقنيات لأغراض الطيران والدفاع الجوي وتصنيعها.

ومع ذلك، يبقى الناقل الأصلي لهجوم SPLM، في هذا المثال، مجهولًا، الأمر الذي يثير عددًا من الفرضيات المحتملة، مثل حقيقة أن Sofacy يمكن أن تستغِل ثغرة لم يتم اكتشافها بعد أو سلالة جديدة من الأبواب الخلفية، أو أنها تمكّنت بطريقة ما من تسخير قنوات الاتصال في Grey Lambert لتنزيل برمجياتها الخبيثة.

وقد يعني ذلك أيضًا أن المؤشرات إلى وجود Sofacy يمكن أن تمثل رايات زائفة زُرعت أثناء الحضور السابق لبرمجيات Lambert على الخادم. ويواصل الباحثون عملهم في ظلّ اعتقاد سائد بأن الاحتمال الأكبر يتمثل في كون برمجية PowerShell جديدة مجهولة أو تطبيق ويب أصليًا لكنه ضعيف، تم استغلالهما لتحميل برمجيات SPLM وتنفيذها في هذه الحالة.

وأشار كيرت بومغارتنر، الباحث الأمني المسؤول لدى كاسبرسكي لاب، إلى أن البعض يصوّر Sofacy أحيانًا كعصابة وحشية ومتهورة، لكنه أكّد أن ما يمكن ملاحظته من خلال مراقبة نشاطها هو أن المجموعة "تتسم بالواقعية وتتحلى بالمرونة"، وقال: "لم ترد تقارير وافية بشأن نشاط المجموعة في بلدان الشرق الأقصى، ولكن من الواضح أنها ليست الجهة التخريبية الوحيدة التي تهتم بتلك المنطقة أو حتى بالأهداف نفسها، وقد نواجه مزيدًا من الأمثلة على الأهداف المتداخلة، لا سيما في ظلّ التعقيدات المتزايدة في مشهد التهديدات الإلكترونية، وهذا ما قد يُعلّل قيام العديد من الجهات التخريبية بالتحقق من أي وجود لجهات أخرى في أنظمة الضحايا قبل استهدافها وشنّ هجماتهم عليها".

كذلك وجد الباحثون أن Sofacy تحتفظ الآن بتقسيمات فرعية متميزة لكل أداة من أدواتها التخريبية الرئيسية، مع مجموعات عنقودية للبرمجة والتطوير والتوجيه لكل من SPLM (المعروفة أيضًا بالاسمين CHOPSTICK وXagent) وGAMEFISH وZebrocy. وتعتبر SPLM الأداة الأساسية التي غالبًا ما يقع عليها الاختيار من Sofacy لتنفيذ هجمات في مرحلتها الثانية، في حين تُستخدم Zebrocy لشنّ هجمات كبيرة الحجم. ووفقًا للباحثين، استهدفت عصابة Sofacy في أوائل العام 2018 مؤسسات تجارية كبيرة في مجال الدفاع الجوي بالصين عبر SPLM، فيما استخدمت Zebrocy على نطاق أوسع في كل من أرمينيا وتركيا وكازاخستان وطاجيكستان وأفغانستان ومنغوليا والصين واليابان.