حملة خبيثة جديدة تستهدف المؤسسات الصناعية والهندسية فى دول متعددة ومصر
روزاليوسف اليومية
اكتشفت كاسبرسكى لاب موجة جديدة من الهجمات التى تستهدف القطاعات الصناعية والهندسية فى عدة بلدان حول العالم، بما فيها جمهورية مصر العربية. باستخدام رسائل التصيد الإلكترونى وكذلك البرمجيات الخبيثة من خلال حزمة برمجيات التجسس، يحاول مجرمو الإنترنت السطو على البيانات المهمة المخزنة فى شبكات ضحاياهم. وقد تمكنت هذه العصابة من شن هجمات ناجحة على أكثر من 130 شركة بشكل إجمالى تنتمى إلى 30 بلدا، بما فيه اسبانيا وباكستان ودولة الإمارات العربية المتحدة والهند ومصر والمملكة المتحدة وألمانيا والمملكة العربية السعودية وبلدان أخرى حول العالم.
وفى شهر يونيو من العام 2016، عثر باحثو شركة كاسبرسكى لاب على موجة من رسائل التصيد الإلكترونى تحمل مرفقات ملغمة ببرمجيات خبيثة. وقد كان يتم توجيه هذه الرسائل على الأغلب إلى العديد من المدراء فى الشركات. وقد كانت رسائل البريد الإلكترونى الخبيثة المرسلة من قبل المهاجمين تبدو على أنها موجهة من أحد البنوك فى دولة الامارات العربية: بمعنى أنها كانت تبدو على شكل استشارات تتعلق بعمليات الدفع واردة من أحد البنوك مرفق معها رمز الـSWIFT، إلا أن الأرشيف المرفق فى الواقع يتضمن برمجية خبيثة.
وبإجراء المزيد من التحقيقات من قبل الباحثين فى كاسبرسكى لاب، تبين أن حملة رسائل التصيد الإلكترونى كان على الأرجح قد تم إعدادها وتنظيمها من قبل مجموعة من مجرمى الانترنت، إلا أن باحثو الشركة قد تمكنوا اكتشافها وتتبعها منذ مارس 2015. كما تبين بأن هجمات يونيو كانت أحدث الهجمات الموجهة التى شنت من قبل هذه العصابة.
وتستند البرمجيات الخبيثة المتضمنة فى مرفقات البريد الإلكترونى على برنامج التجسس التجارى المعروف باسم «HawkEye» والذى يباع علنا عبر منصة «Darkweb»، ويوفر للقراصنة مجموعة متنوعة من الأدوات التى تساعدهم على شن تلك الهجمات. وبعد الانتهاء من تثبيت هذا البرنامج، يتمكن أفراد العصابة الإلكترونية من جمع بيانات مهمة من كمبيوتر الضحية.
ويتم بعد ذلك إرسال البيانات إلى خوادم التحكم والسيطرة. وبناء على المعلومات الواردة من قناة «Skinhole» الموجودة فى بعض خوادم التحكم والسيطرة، يتم استهداف الضحايا الذين تكون غالبيتهم من الشركات العاملة فى القطاعات الصناعية والهندسية، وآخرين فى قطاع الشحن والأدوية والتصنيع، بالإضافة إلى الشركات التجارية والمؤسسات التعليمية وغيرها من الكيانات الأخرى.
جميع هذه الشركات تحتفظ بمعلومات قيمة من الممكن بيعها لاحقا فى السوق السوداء، وبالتالى فإن المكاسب المالية هى الدافع الرئيسى للمهاجمين الذين يقفون وراء حملة «Operation Ghoul».
وقد أطلق باحثو كاسبرسكى لاب على هذه الحملة اسم «Operation Ghoul»، وهى ليست سوى واحدة فقط من بين العديد من الحملات الخبيثة الأخرى التى يفترض أنه يتم التحكم بها من قبل العصابة ذاتها. وهذه العصابة لاتزال نشطة حتى الآن.
