استهدفوا سفارات ودبلوماسيين.. فريق "قراصنة غزة" يعود مرة أخرى ويستهدف هذه الدول العربية

تم النشر: تم التحديث:
HACKERS
GETTY

سجّل خبراء عاملون في "كاسبرسكي لاب" تغيّرات مهمة في عمليات فريق "قراصنة غزة" Gaza Team Cybergang، الذي ينشط في استهداف كثير من الشركات والمؤسسات الحكومية بكل من الإمارات والسعودية وفلسطين ومصر وعدد من دول منطقة الشرق الأوسط وشمال إفريقيا.

وقد عملت المجموعة التي تنشط في مشهد التهديدات الإلكترونية منذ عدة سنوات، على تعزيز ترسانتها هذا العام بأدوات تخريب حديثة.

ويهاجم فريق قراصنة غزة السفارات والدبلوماسيين والسياسيين، فضلاً عن شركات النفط والغاز ووسائل الإعلام في منطقة الشرق الأوسط وشمال إفريقيا، منذ ما لا يقلّ عن 5 سنوات، فيما يتمّ الكشف بانتظام عن عينات جديدة من البرمجيات الخبيثة التي يلجأ فريق القراصنة هذا إلى استخدامها.

وكان باحثون في "كاسبرسكي لاب" أفادوا في عام 2015، بوجود نشاط إجرامي للفريق، بعد رصد تحوُّل كبير في عملياته الخبيثة؛ إذ تمّ في تلك الحالة رصد المهاجمين وهم يستهدفون موظفي تقنية المعلومات والتعامل مع الحوادث في محاولة للوصول إلى أدوات تقييم الأمن المشروعة؛ ومن ثم خفض قدرتها على كشف نشاطهم بالشبكات الواقعة تحت الهجوم. وفي عام 2017، رصد الباحثون ارتفاعاً آخر في نشاط فريق قراصنة غزة.

ولا تزال طبيعة الأهداف وجغرافيتها من دون تغيير في هذه الهجمات الجديدة، ولكن نطاق العمليات اتسع؛ إذ تم رصد سعي المهاجمين للبحث عن أي نوع من المعلومات بمنطقة الشرق الأوسط وشمال إفريقيا، وهو ما لم يكن يتم في السابق.

إلا أن الأكثر أهمية هو التطور الملموس في أدوات الهجوم، مع قيام المجموعة بتطوير مستندات التصيد الموضعية والجيوسياسية المعروفة باسم Spearphishing (التصيّد بالحربة) والتي تُستخدم لإيصال برمجيات ضارة إلى الأهداف، علاوة على محاولات لاستغلال ثغرة ضعيفة نسبياً CVE 2017-0199 في برنامج "أكسيس" من مايكروسوفت Microsoft Access، وربما حتى برمجيات تجسس تستهدف النظام "أندرويد".





ويمارس المتسللون أنشطتهم الخبيثة عن طريق إرسال رسائل بريد إلكتروني تحتوي على أنواع مختلفة من البرمجيات الخبيثة التي يمكن الوصول إليها عن بُعد (RATs Trojans)، وذلك في مستندات "أوفيس" Office مزيفة، أو روابط ويب تؤدي إلى صفحات ضارة.

وعندما يتم تشغيل هذه الملفات، يُصاب الجهاز الضحية ببرمجية خبيثة تمكّن القراصنة المهاجمين في وقت لاحق من جمع ملفات معينة من الجهاز الضحية، أو قراءة الضربات التي تتم على لوحة المفاتيح، أو أخذ لقطات للشاشة. وحتى حين يكتشف الضحية تلك البرمجية الخبيثة، فإن الجهة التي قامت بعملية تنزيل البرمجية على الجهاز الضحية أول الأمر تحاول تثبيت ملفات أخرى على الجهاز؛ في محاولة لتجاوز الكشف.

وأشارت تحقيقات إضافية أجراها خبراء "كاسبرسكي لاب" إلى احتمال استخدام برمجيات خبيثة موجهة للأجهزة المحمولة من قِبل مجموعة القرصنة؛ فقد بدا أن بعض أسماء الملفات التي وُجدت خلال تحليل أنشطة فريق غزة مرتبط بتروجانات خاصة بالنظام أندرويد. وقد سمحت هذه التحسينات التي أجراها فريق غزة على أساليب الهجوم، بتجاوز الحلول الأمنية والتلاعب بنظام الضحية فترات طويلة.


الوضع بعيد عن الأمان


واعتبر الخبير الأمني في "كاسبرسكي لاب"، ديفيد إم، أن استمرار فريق غزة في نشاطه الذي لوحظ منذ عدة سنوات، دلالة على أن الوضع بمنطقة الشرق الأوسط وشمال إفريقيا "بعيد عن الأمان" عندما يتعلق الأمر بالتهديدات المرتبطة بالتجسس الإلكتروني.

وتوقّع الخبير الأمني التقني أن "تتزايد في المستقبل القريب أعداد الهجمات التي ينفذها فريق غزة وتتحسن نوعيتها؛ نظراً إلى التحسن الكبير في الأساليب التي تتبعها المجموعة"، داعياً الأفراد والشركات الواقعة ضمن نطاق هجماتها إلى "توخي الحذر عند الاتصال بالإنترنت".

تجدر الإشارة إلى أن منتجات "كاسبرسكي لاب" تنجح في اكتشاف الهجمات التي تتمّ باستخدام الأساليب التي تتبعها مجموعة "فريق غزة". ويوصي الباحثون لدى "كاسبرسكي لاب" بتنفيذ التدابير التالية؛ لتجنب الوقوع ضحية لمثل هذه الهجمات:

تدريب الموظفين ليكونوا قادرين على التمييز بين رسائل ما يُعرف بـ"التصيد بالحربة" أو روابط التصيد من جهة، ورسائل البريد الإلكتروني والروابط المشروعة من جهة ثانية.

استخدام حل أمني لنقاط النهاية مثبت الفاعلية على مستوى مؤسسيٍّ، إلى جانب حلول الحماية المتخصصة ضد الهجمات المتقدمة، مثل منصة مكافحة الهجمات الموجهة من "كاسبرسكي لاب" القادرة على كشف الهجمات من خلال تحليل الاضطرابات الشاذة في حركة البيانات عبر الشبكات.

تزويد موظفي الأمن التقني بإمكانية الوصول إلى أحدث المعلومات المتعلقة بالتهديدات، والتي من شأنها أن تسلّحهم بأدوات مفيدة للهجمات في بحثهم عن الهجمات الموجهة والوقاية منها، مثل المؤشرات على وقوع اختراقات أمنية إلكترونية وقواعد YARA.