كاسبرسكي تكتشف حملة تجسس إلكترونية في الشرق الأوسط
تاريخ النشر: 5th, September 2024 GMT
اكتشف فريق البحث والتحليل العالمي لدى كاسبرسكي انتشار حملة جديدة من التهديدات المتقدمة المستمرة التي نفذتها مجموعة يطلق عليها اسم "تروبك تروبر" Tropic Trooper.
واستهدفت هذه العملية إحدى المؤسسات الحكومية في الشرق الأوسط لمدة تجاوزت عاماً واحداً، بهدف التجسس الإلكتروني.
ويستخدم المهاجمون برامج شبكية خبيثة من نوع غلاف الويب "تشاينا تشوبر" China Chopper للوصول إلى وجهتهم بطريقة غير مشروعة، والحفاظ على وجودهم داخل الشبكة المستهدفة، وفقاً لما وجده خبراء فريق البحث والتحليل العالمي الذين اكتشفوها على خادم ويب مفتوح المصدر يمكن الوصول إليه على نطاق عام، ويستخدم أساساً لإدارة المحتوى.
وتعتبر "تروبك تروبر" (المعروفة أيضاً باسم "كي بوي" KeyBoy و "بايريت باندا" Pirate Panda) مجموعة متخصصة بالتهديدات المتقدمة المستمرة، وتنشط في هذا المجال منذ العام 2011 على أقل تقدير. وركزت المجموعة خلال فترات نشاطها على عدد من القطاعات، بما في ذلك الحكومة والرعاية الصحية والنقل والصناعات عالية التقنية، وطالت هجماتها مناطق عديدة حول العالم، ومن أبرزها تايوان والفلبين وهونغ كونغ. ومع ذلك، كشف التحقيق الأخير الذي أجرته كاسبرسكي أن المجموعة ذاتها أطلقت في العام 2024 حملات إلكترونية مستمرة لتستهدف من خلالها مؤسسة حكومية في الشرق الأوسط، وتم تحديد تاريخ انطلاق هذه الحملة بدءاً من يونيو 2023 على الأقل.
واكتشفت قراءات كاسبرسكي في يونيو 2024، عن نوع جديد من أغلفة الويب يسمى "تشاينا تشوبر". وكشف تحقيق آخر أجراه فريق البحث والتحليل العالمي التابع لكاسبرسكي أن هذا الغلاف كان مدمجاً كوحدة تكمن داخل خادم الويب العام (Umbraco CMS)، ويستخدم على نطاق واسع، ويستضيف نظام إدارة المحتوى. واستغل المهاجمون هذه المنصة لاكتساب مجموعة واسعة من القدرات بطريقة خبيثة، بما في ذلك سرقة البيانات، والتحكم الكامل عن بعد، ونشر البرامج الضارة، والتهرب من احتمالات الكشف المتقدم، بهدف تحقيق غرضها النهائي المتمثل في التجسس الإلكتروني.
وقال شريف مجدي، الباحث الأمني الأول في فريق البحث والتحليل العالمي التابع لكاسبرسكي: "من الجدير بالملاحظة في هذه الهجمات وجود تباين في مجموعات المهارات المستخدمة خلال المراحل المختلفة من هذا الهجوم، ناهيك عن التكتيكات التي اتبعتها المجموعة بعد أن تعرضت للفشل. وعندما أدرك هؤلاء المهاجمون اكتشاف أبوابهم الخلفية، حاولوا تحميل إصدارات أحدث من أجل تجنب الاكتشاف، ما أدى إلى زيادة احتمال رصد هذه العينات الجديدة بطريقة غير متعمّدة في المستقبل القريب.
واكتشفت كاسبرسكي وجود برامج خبيثة جديدة تستغل طرق بحث النظام في مكتبة الارتباط الديناميكي (DLL) الجديدة، والتي تم تحميلها من خلال ملف شرعي قابل للتنفيذ، ولكنه ضعيف بسبب عدم وجود مواصفات مسار كامل للمكتبة المطلوبة. وحاولت سلسلة الهجوم هذه نشر أداة برمجية خبيثة تدعى (Crowdoor loader) التي أطلق عليها هذا الاسم الباب للتشابه مع البرمجيات الخبيثة من نوع الباب الخلفي SparrowDoor بعد قيام شركة الأمن السيبراني العالمية ESET باكتشافه. وعندما أدّت التدابير الأمنية لكاسبرسكي بحظر أداة (Crowdoor loader) الأولية، سرعان ما تحول المهاجمون إلى نسخة أخرى لم يتم الإبلاغ عنها سابقاً، ولكنها تحمل تأثيراً مماثلاً.
ويعرب خبراء كاسبرسكي عن ثقتهم الكبيرة في أن هذا النشاط يعود إلى الجهة التخريبية الناطقة باللغة الصينية المعروفة باسم "تروبك تروبر". وتكشف نتائج الخبراء عن تداخلات كبيرة في تقنيات تم الإبلاغ عنها في الحملات الأخيرة لنفس المجموعة، في حين تُظهر عينات قام فريق كاسبرسكي بتحليلها، وجود ارتباط قوي أيضاً بجماعات أخرى كانت على صلة بهذه المجموعة الصينية في فترات سابقة.
واكتشفت كاسبرسكي هذا الاختراق الذي استهدف إحدى المؤسسات الحكومية في الشرق الأوسط. وفي الوقت نفسه، تم اكتشاف مجموعة فرعية من هذه العينات كانت تستهدف مؤسسة حكومية في ماليزيا. وتتوافق هذه الحوادث مع الأهداف النموذجية والتركيز الجغرافي الذي أظهرته التقارير الأخيرة حول نشاط "تروبك تروبر".
أضاف شريف مجدي: "تستهدف مجموعة التهديدات المتقدمة المستمرة "تروبك تروبر" عادةً قطاعات الحكومة والرعاية الصحية والنقل والصناعات التكنولوجية الفائقة. وتشير التكتيكات والتقنيات والإجراءات التي تتبعها هذه المجموعة لتستهدف المؤسسات الحكومية المهمة في الشرق الأوسط، وخاصة تلك ذات الصلة بالدراسات المتعلقة حقوق الإنسان، إلى تحول استراتيجي في عملياتها. ويمكن أن تساعد هذه الرؤية المجتمع المتخصص بجمع المعلومات حول التهديدات، في فهم دوافع هذه الجهة الفاعلة بشكل أفضل".
ولتفادي الوقوع ضحية للهجمات المستهدفة التي تطلقها جهات تهديد معروفة أو غير معروفة، يوصي باحثو كاسبرسكي باتباع التدابير التالية:
ضرورة منح فريق مركز العمليات الأمنية في مؤسستك إمكانية الوصول إلى أحدث المعلومات المتعلقة بالتهديدات. وتعتبر Kaspersky Threat Intelligence وجهة شاملة لتلك المعلومات، حيث يمكن للفريق الاعتماد عليها لتزويده بالبيانات المتعلقة بالهجمات الإلكترونية، والأفكار والنتائج التي جمعتها كاسبرسكي على مدار أكثر من 20 عاماً.
تطوير مهارات فريق الأمن السيبراني في مؤسستك لإكساب أعضائه القدرة على التعامل مع أحدث التهديدات المستهدفة، من خلال Kaspersky online training ، وتم تطويرها من قبل خبراء فريق البحث والتحليل العالمي التابع لها.
تطبيق أحد حلول اكتشاف نقطة النهاية والاستجابة لها (EDR) مثل Kaspersky Next للكشف عنها والتحقيق فيها وإصلاح الحوادث في الوقت المناسب
تنفيذ حل أمني على مستوى الشركة يكتشف التهديدات المتقدمة للشبكة في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform، بالإضافة إلى تبني الحماية الأساسية لنقطة النهاية.
بما أن العديد من الهجمات المستهدفة تبدأ بالتصيد الاحتيالي أو غيره من تقنيات الهندسة الاجتماعية، يجب توفير الجلسات التدريبية التوعوية حول مختلف الجوانب الأمنية، وتعليم الفريق المهارات العملية، من خلال Kaspersky Automated Security Awareness Platform على سبيل المثال.
المصدر: بوابة الوفد
كلمات دلالية: التهدیدات المتقدمة فی الشرق الأوسط من خلال
إقرأ أيضاً:
عامٌ على جريمة رداع.. حملة إلكترونية تطالب بالعدالة لضحايا التفجير الحوثي
دشّن ناشطون وإعلاميون يمنيون حملة إلكترونية واسعة على مواقع التواصل الاجتماعي تحت وسم #مرور_عام_على_جريمة_رداع، لإحياء الذكرى الأولى للجريمة المروعة التي ارتكبتها ميليشيا الحوثي في مدينة رداع بمحافظة البيضاء، حين أقدمت على تفجير عدد من المنازل على رؤوس ساكنيها، ما أسفر عن مقتل وإصابة العشرات، بينهم نساء وأطفال.
وتأتي هذه الحملة في ظل استمرار إفلات مرتكبي الجريمة من العقاب، وسط اتهامات للحوثيين بمحاولة طمس القضية من خلال تقديم تعويضات مالية هزيلة، وإجراء تغييرات شكلية في قياداتهم الأمنية دون محاسبة فعلية للجناة.
في مارس 2024، فجّرت ميليشيا الحوثي منازل عدة في حارة الحفرة بمدينة رداع، باستخدام كميات كبيرة من المتفجرات، مما أدى إلى انهيار المنازل وسقوط الضحايا تحت الأنقاض في فعل انتقامي على خلفية قيام الشاب عبدالله الزيلعي، أحد أبناء حي الحفرة وسط مدينة رداع بمحافظة البيضاء، بأخذ ثأر أخيه من عناصر ميليشيا الحوثي في شهر رمضان بعد رفض إنصافه، وتسبب ذلك في ملاحقته وتفجير منزله ومنازل جيرانه من قبل الحوثيين.
وكان من بين الضحايا أسرة مكوّنة من تسعة أفراد قُتلت بالكامل، إلى جانب سقوط منازل مجاورة وتأثر العشرات من المدنيين بالانفجار.
وشملت المنازل المهدمة كليًا منازل أسر إبراهيم الزيلعي، محمد اليريمي، علوي المجاهر، آل ناقوس، أحمد خلبي، صالح هادي، وآل الفقيه، فيما تضررت منازل أخرى بشكل جزئي.
وعقب الجريمة، اندلعت احتجاجات غاضبة في مدينة رداع، تخللتها اشتباكات بين مسلحين قبليين وميليشيا الحوثي، تنديدًا بالمجزرة.
وبعد الضغوط الشعبية والإدانات الدولية، حاولت ميليشيا الحوثي التخفيف من تداعيات الجريمة عبر تقديم تعويضات مالية وصفت بالهزيلة، إذ تراوحت المبالغ بين 20 ألفاً إلى 50 ألف ريال يمني لكل متضرر، وهو ما اعتبره السكان إهانة واستفزازًا لمشاعرهم، إذ لا تكفي هذه المبالغ حتى لشراء نافذة واحدة، فضلاً عن إعادة بناء منزل مدمر بالكامل.
ورفض معظم الأهالي هذه التعويضات، مؤكدين أنهم لن يقبلوا إلا بتحقيق العدالة ومحاكمة المتورطين، وعدم السماح للحوثيين بإغلاق القضية تحت غطاء الوساطات القبلية والترضيات المالية.
غضب في رداع بعد مكافأة المتهم الرئيس بالجريمة
في خطوة أثارت غضبًا واسعًا في أوساط أهالي رداع، قامت ميليشيا الحوثي بمكافأة المتهم الرئيس بتفجير المنازل، المدعو عبدالله العربجي (أبو حسين)، والذي كان يشغل منصب مدير أمن المحافظة أثناء تنفيذ الجريمة، عبر تعيينه في قيادة المنطقة العسكرية الثانية الخاضعة للجماعة.
واعتبر ناشطون وأهالي الضحايا أن هذه الخطوة تعكس استهتار الحوثيين بالعدالة ومحاولاتهم لحماية الجناة عوضًا عن تقديمهم للمحاسبة، مؤكدين أن هذا التعيين دليل إضافي على تورط القيادات الحوثية العليا في التخطيط والتنفيذ لهذه الجريمة.
حملة إلكترونية للمطالبة بالعدالة
مع حلول الذكرى الأولى للجريمة، أطلق ناشطون وإعلاميون حملة إلكترونية تهدف إلى إبقاء القضية حيّة في الرأي العام المحلي والدولي، والضغط على الجهات الحقوقية والمنظمات الأممية لمحاسبة الجناة وعلى رأسهم عبدالله العربجي (أبو حسين)، والذي كان يشغل منصب مدير أمن المحافظة، وحميد صبر مدير امن رداع.
وطالب المشاركون في الحملة المجتمع الدولي بتحمل مسؤوليته تجاه هذه الجريمة، والضغط على ميليشيا الحوثي لإحالة مرتكبيها الحقيقيين إلى العدالة، وعدم الاكتفاء بالإجراءات الشكلية التي قامت بها الميليشيا، والتي وصفوها بأنها مجرد محاولات لامتصاص الغضب الشعبي وتبرئة القيادات الحوثية المتورطة في الجريمة.
وعقب الجريمة مارس الحوثيون ضغوطًا كبيرة على الأهالي لقبول التحكيم القبلي ودفن جثامين الضحايا، في محاولة لإنهاء القضية دون محاكمة المتورطين الحقيقيين، وارسالوا وساطات حوثية، منها مسؤولون من وزارة الداخلية، ومحافظا ذمار والبيضاء، ومسؤولون من صعدة، في محاولات عديدة باءت بالفشل بسبب إصرار الأهالي على تحقيق العدالة وعدم السماح بإغلاق القضية بتسويات قبلية.
ومع استمرار الإفلات من العقاب، يطالب الناشطون في الحملة المنظمات الدولية، وعلى رأسها الأمم المتحدة ومجلس حقوق الإنسان والمحكمة الجنائية الدولية، بالتدخل الجاد لمحاسبة المسؤولين عن الجريمة، وعدم السماح للحوثيين بتمييع القضية كما حدث في جرائم سابقة.
واعتبر الناشطون أن الصمت الدولي والتخاذل في محاسبة مرتكبي جرائم الحرب في اليمن، يشجع الحوثيين على ارتكاب المزيد من الجرائم بحق المدنيين دون أي رادع.
مع مرور عام على جريمة رداع، لا تزال عائلات الضحايا تنتظر العدالة، فيما تستمر ميليشيا الحوثي في المراوغة والتهرب من المحاسبة، وسط تساؤلات هل ينجح الأهالي والناشطون في إبقاء القضية حيّة حتى تحقيق العدالة، أم أن الجناة سينجون كما نجوا من جرائم سابقة؟
لجنة حماية المعطيات: هجومات سيبرانية تستهدف مواقع حكومية مغربية