أكتشفت كاسبرسكي لاب موجة جديدة من الهجمات التي تستهدف القطاعات الصناعية والهندسية في عدة بلدان في حول العالم، بما فيها جمهورية مصر العربية، باستخدام رسائل التصيد الإلكتروني وكذلك البرمجيات الخبيثة من خلال حزمة برمجيات التجسس، حيث يحاول مجرمو الإنترنت السطو على البيانات المهمة المخزنة في شبكات ضحاياهم.
وتمكنت هذه العصابة بحسب تقرير كاسبريسكي الذي حصل موقع “مشبك” على نسخه منه، من شن هجمات ناجحة على أكثر من 130 شركة بشكل إجمالي تنتمي إلى 30 بلداً، بما فيها اسبانيا وباكستان ودولة الإمارات العربية المتحدة والهند ومصر والمملكة المتحدة وألمانيا والمملكة العربية السعودية وبلدان أخرى حول العالم.
وفي شهر يونيو من العام 2016، عثر باحثو شركة كاسبرسكي لاب على موجة من رسائل التصيد الإلكتروني تحمل مرفقات ملغمة ببرمجيات خبيثة، وقد كان يتم توجيه هذه الرسائل على الأغلب إلى العديد من المدراء في الشركات.
وقد كانت رسائل البريد الإلكتروني الخبيثة المرسلة من قبل المهاجمين تبدو على أنها موجهة من أحد البنوك في دولة الامارات العربية: بمعنى أنها كانت تبدو على شكل استشارات تتعلق
بعمليات الدفع واردة من أحد البنوك مرفق معها رمز الـSWIFT، إلا أن الأرشيف المرفق في الواقع يتضمن برمجية خبيثة.
وبإجراء المزيد من التحقيقات من قبل الباحثين في كاسبرسكي لاب، تبين أن حملة رسائل التصيد الإلكتروني كان على الأرجح قد تم إعدادها وتنظيمها من قبل مجموعة من مجرمي الانترنت، إلا أن باحثو الشركة قد تمكنوا اكتشافها وتتبعها منذ مارس 2015. كما تبين بأن هجمات يونيو كانت أحدث الهجمات الموجهة التي شنت من قبل هذه العصابة.
وتستند البرمجيات الخبيثة المتضمنة في مرفقات البريد الإلكتروني على برنامج التجسس التجاري المعروف باسم “HawkEye” والذي يباع علناً عبر منصة “Darkweb”، ويوفر للقراصنة مجموعة متنوعة من الأدوات التي تساعدهم على شن تلك الهجمات.
وبعد الانتهاء من تثبيت هذا البرنامج، يتمكن أفراد العصابة الإلكترونية من جمع بيانات مهمة من كمبيوتر الضحية، بما فيها: ( ضربات المفاتيح – بيانات الحافظة – بيانات التعريف الأمنية للخادم ( FTP) – بيانات الحساب من المتصفحات – بيانات الحساب من – عملاء التراسل (Paltalk و Google talk وAIM)- بيانات الحساب من العملاء المدرجين في جهات الاتصال عن طريق رسائل – البريد الإلكتروني (Outlook وWindows Live mail) – معلومات عن التطبيقات المثبتة (Microsoft Office).
وأوضحت كاسبريسكي أنه بعد ذلك يتم إرسال البيانات إلى خوادم التحكم والسيطرة. وبناء على المعلومات الواردة من قناة “Skinhole” الموجودة في بعض خوادم التحكم والسيطرة، يتم استهداف الضحايا الذين تكون غالبيتهم من الشركات العاملة في القطاعات الصناعية والهندسية، وآخرين في قطاع الشحن والأدوية والتصنيع، بالإضافة إلى الشركات التجارية والمؤسسات التعليمية وغيرها من الكيانات الأخرى.
جميع هذه الشركات تحتفظ بمعلومات قيمة من الممكن بيعها لاحقا في السوق السوداء، وبالتالي فإن المكاسب المالية هي الدافع الرئيسي للمهاجمين الذين يقفون وراء حملة “Operation Ghoul”.
وقد أطلق باحثو كاسبرسكي لاب على هذه الحملة اسم “Operation Ghoul”، وهي ليست سوى واحدة فقط من بين العديد من الحملات الخبيثة الأخرى التي يفترض أنه يتم التحكم بها من قبل العصابة ذاتها. وهذه العصابة لاتزال نشطة حتى الآن.
وقال محمد أمين حاسبيني، الخبير الأمني في كاسبرسكي لاب، “إن كلمة (غول – Ghoul)، تعني في التراث الشعبي القديم، الروح الشريرة التي تفترس اللحم البشري وتطارد الاطفال، واليوم، يتم استخدام هذا المصطلح في بعض الأحيان لوصف الفرد الجشع أو المادي، وهذا في الواقع هو الوصف الدقيق للعصابة التي تقف وراء حملة Operation Ghoul.
وأوضح أن الدافع الرئيسي لهذه العصابة هو تحقيق مكاسب مالية ناتجة إما من مبيعات الملكية الفكرية أو استخبارات الأعمال أو اختراق الحسابات المصرفية لضحاياها، وعلى عكس الحملات الخبيثة التي ترعاها جهات حكومية، والتي تختار أهدافها بعناية فائقة، فإن هذه العصابة الإلكترونية وغيرها من العصابات المماثلة قد تقوم بشن هجمات على أي شركة.
ومن أجل حماية الشركة من التعرض لهجمات Operation Ghoul وغيرها من التهديدات المماثلة، يوصي باحثو كاسبرسكي لاب الشركات، بضرورة توعية وتثقيف الموظفين بحيث تكون لديهم القدرة على التمييز بين هجمات رسائل التصيد الإلكتروني أو الروابط الإلكترونية الخبيثة الواردة عبر البريد الإلكتروني أو الروابط الحقيقية.
