بسم الله الرحمن الرحيم
اكتشفت كاسبرسكي لاب موجة جديدة من الهجمات التي تستهدف القطاعات الصناعية والهندسية في عدة بلدان في حول العالم، بما فيها جمهورية مصر العربية، باستخدام رسائل التصيد الإلكتروني وكذلك البرمجيات الخبيثة من خلال حزمة برمجيات التجسس، يحاول مجرمو الإنترنت السطو على البيانات المهمة المخزنة في شبكات ضحاياهم.
وتمكنت هذه العصابة من شن هجمات ناجحة على أكثر من 130 شركة بشكل إجمالي تنتمي إلى 30 بلدًا، بما فيها إسبانيا وباكستان ودولة الإمارات العربية المتحدة والهند ومصر والمملكة المتحدة وألمانيا والمملكة العربية السعودية وبلدان أخرى حول العالم.
وفي شهر يونيو من العام 2016، عثر باحثو شركة كاسبرسكي لاب على موجة من رسائل التصيد الإلكتروني تحمل مرفقات ملغمة ببرمجيات خبيثة.
وكان يتم توجيه هذه الرسائل على الأغلب إلى العديد من المدراء في الشركات، وقد كانت رسائل البريد الإلكتروني الخبيثة المرسلة من قبل المهاجمين تبدو على أنها موجهة من أحد البنوك في دولة الإمارات العربية، بمعنى أنها كانت تبدو على شكل استشارات تتعلق بعمليات الدفع واردة من أحد البنوك مرفق معها رمز الـSWIFT، إلا أن الأرشيف المرفق في الواقع يتضمن برمجية خبيثة.
وبإجراء المزيد من التحقيقات من قبل الباحثين في كاسبرسكي لاب، تبين أن حملة رسائل التصيد الإلكتروني كان على الأرجح قد تم إعدادها وتنظيمها من قبل مجموعة من مجرمي الإنترنت، إلا أن باحثي الشركة قد تمكنوا اكتشافها وتتبعها منذ مارس 2015، كما تبين بأن هجمات يونيو كانت أحدث الهجمات الموجهة التي شنت من قبل هذه العصابة.
وتستند البرمجيات الخبيثة المتضمنة في مرفقات البريد الإلكتروني على برنامج التجسس التجاري المعروف باسم "HawkEye"، والذي يباع علنًا عبر منصة "Darkweb"، ويوفر للقراصنة مجموعة متنوعة من الأدوات التي تساعدهم على شن تلك الهجمات.
وبعد الانتهاء من تثبيت هذا البرنامج، يتمكن أفراد العصابة الإلكترونية من جمع بيانات مهمة من كمبيوتر الضحية، منها ضربات المفاتيح، بيانات الحافظة، بيانات التعريف الأمنية للخادم ( FTP)، وبيانات الحساب من المتصفحات.
ويتم بعد ذلك إرسال البيانات إلى خوادم التحكم والسيطرة، وبناء على المعلومات الواردة من قناة "Skinhole" الموجودة في بعض خوادم التحكم والسيطرة، يتم استهداف الضحايا الذين تكون غالبيتهم من الشركات العاملة في القطاعات الصناعية والهندسية، وآخرين في قطاع الشحن والأدوية والتصنيع، بالإضافة إلى الشركات التجارية والمؤسسات التعليمية وغيرها من الكيانات الأخرى.
جميع هذه الشركات تحتفظ بمعلومات قيمة من الممكن بيعها لاحقا في السوق السوداء، وبالتالي فإن المكاسب المالية هي الدافع الرئيسي للمهاجمين الذين يقفون وراء حملة "Operation Ghoul".
وقد أطلق باحثو كاسبرسكي لاب على هذه الحملة اسم "Operation Ghoul"، وهي ليست سوى واحدة فقط من بين العديد من الحملات الخبيثة الأخرى التي يفترض أنه يتم التحكم بها من قبل العصابة ذاتها. وهذه العصابة لاتزال نشطة حتى الآن.
وتمكنت هذه العصابة من شن هجمات ناجحة على أكثر من 130 شركة بشكل إجمالي تنتمي إلى 30 بلدًا، بما فيها إسبانيا وباكستان ودولة الإمارات العربية المتحدة والهند ومصر والمملكة المتحدة وألمانيا والمملكة العربية السعودية وبلدان أخرى حول العالم.
وفي شهر يونيو من العام 2016، عثر باحثو شركة كاسبرسكي لاب على موجة من رسائل التصيد الإلكتروني تحمل مرفقات ملغمة ببرمجيات خبيثة.
وكان يتم توجيه هذه الرسائل على الأغلب إلى العديد من المدراء في الشركات، وقد كانت رسائل البريد الإلكتروني الخبيثة المرسلة من قبل المهاجمين تبدو على أنها موجهة من أحد البنوك في دولة الإمارات العربية، بمعنى أنها كانت تبدو على شكل استشارات تتعلق بعمليات الدفع واردة من أحد البنوك مرفق معها رمز الـSWIFT، إلا أن الأرشيف المرفق في الواقع يتضمن برمجية خبيثة.
وبإجراء المزيد من التحقيقات من قبل الباحثين في كاسبرسكي لاب، تبين أن حملة رسائل التصيد الإلكتروني كان على الأرجح قد تم إعدادها وتنظيمها من قبل مجموعة من مجرمي الإنترنت، إلا أن باحثي الشركة قد تمكنوا اكتشافها وتتبعها منذ مارس 2015، كما تبين بأن هجمات يونيو كانت أحدث الهجمات الموجهة التي شنت من قبل هذه العصابة.
وتستند البرمجيات الخبيثة المتضمنة في مرفقات البريد الإلكتروني على برنامج التجسس التجاري المعروف باسم "HawkEye"، والذي يباع علنًا عبر منصة "Darkweb"، ويوفر للقراصنة مجموعة متنوعة من الأدوات التي تساعدهم على شن تلك الهجمات.
وبعد الانتهاء من تثبيت هذا البرنامج، يتمكن أفراد العصابة الإلكترونية من جمع بيانات مهمة من كمبيوتر الضحية، منها ضربات المفاتيح، بيانات الحافظة، بيانات التعريف الأمنية للخادم ( FTP)، وبيانات الحساب من المتصفحات.
ويتم بعد ذلك إرسال البيانات إلى خوادم التحكم والسيطرة، وبناء على المعلومات الواردة من قناة "Skinhole" الموجودة في بعض خوادم التحكم والسيطرة، يتم استهداف الضحايا الذين تكون غالبيتهم من الشركات العاملة في القطاعات الصناعية والهندسية، وآخرين في قطاع الشحن والأدوية والتصنيع، بالإضافة إلى الشركات التجارية والمؤسسات التعليمية وغيرها من الكيانات الأخرى.
جميع هذه الشركات تحتفظ بمعلومات قيمة من الممكن بيعها لاحقا في السوق السوداء، وبالتالي فإن المكاسب المالية هي الدافع الرئيسي للمهاجمين الذين يقفون وراء حملة "Operation Ghoul".
وقد أطلق باحثو كاسبرسكي لاب على هذه الحملة اسم "Operation Ghoul"، وهي ليست سوى واحدة فقط من بين العديد من الحملات الخبيثة الأخرى التي يفترض أنه يتم التحكم بها من قبل العصابة ذاتها. وهذه العصابة لاتزال نشطة حتى الآن.
