فريق "قراصنة غزة" يعود بقوة ويستهدف الإمارت والسعودية و منطقة الشرق الأوسط وشمال إفريقيا بشكل رئيسي

يسجّل خبراء عاملون في كاسبرسكي لاب تغيّرات مهمة في عمليات فريق "قراصنة غزة" سيئ السمعةGaza Team Cybergang، الذي ينشط في استهداف كثير من الشركات والمؤسسات الحكومية في كل من الإمارات والسعودية وفلسطين ومصر وعدد من دول منطقة الشرق الأوسط وشمال إفريقيا. وقد عملت المجموعة التي تنشط في مشهد التهديدات الإلكترونية منذ عدة سنوات، على تعزيز ترسانتها هذا العام بأدوات تخريب حديثة. 

ويهاجم فريق قراصنة غزة السفارات والدبلوماسيين والسياسيين فضلاً عن شركات النفط والغاز ووسائل الإعلام في منطقة الشرق الأوسط وشمال إفريقيا منذ ما لا يقلّ عن خمس سنوات، فيما يتمّ الكشف بانتظام عن عينات جديدة من البرمجيات الخبيثة التي يلجأ فريق القراصنة هذا إلى استخدامها. وكان باحثون في كاسبرسكي لاب أفادوا في العام 2015 عن نشاط إجرامي للفريق بعد رصد تحول كبير في عملياته الخبيثة؛ إذ تمّ في تلك الحالة رصد المهاجمين وهم يستهدفون موظفي تقنية المعلومات والتعامل مع الحوادث في محاولة للوصول إلى أدوات تقييم الأمن المشروعة وبالتالي خفض قدرتها على كشف نشاطهم في الشبكات الواقعة تحت الهجوم. وفي العام 2017، رصد الباحثون ارتفاعاً آخر في نشاط فريق قراصنة غزة.

ولا تزال طبيعة الأهداف وجغرافيتها من دون تغيير في هذه الهجمات الجديدة، ولكن نطاق العمليات اتسع، إذ تم رصد سعي المهاجمين للبحث عن أي نوع من المعلومات في منطقة الشرق الأوسط وشمال إفريقيا، وهو ما لم يكن يتم في السابق. إلا أن الأكثر أهمية هو التطور الملموس في أدوات الهجوم، مع قيام المجموعة بتطوير مستندات التصيد الموضعية والجيوسياسية المعروفة باسم Spearphishing (التصيّد بالحربة) والتي تستخدم لإيصال برمجيات ضارة إلى الأهداف، علاوة على محاولات لاستغلال ثغرة ضعيفة نسبياً CVE 2017-0199 في برنامج "أكسيس" من مايكروسوفت Microsoft Access، وربما حتى برمجيات تجسس تستهدف النظام "أندرويد". 

ويمارس المتسللون أنشطتهم الخبيثة عن طريق إرسال رسائل بريد إلكتروني تحتوي على أنواع مختلفة من البرمجيات الخبيثة التي يمكن الوصول إليها عن بُعد (RATs Trojans)، وذلك في مستندات "أوفيس" Office مزيفة، أو روابط ويب تؤدي إلى صفحات ضارة. وعندما يتم تشغيل هذه الملفات، يُصاب الجهاز الضحية ببرمجية خبيثة تمكّن القراصنة المهاجمين في وقت لاحق من جمع ملفات معينة من الجهاز الضحية، أو قراءة الضربات التي تتم على لوحة المفاتيح، أو أخذ لقطات للشاشة. وحتى حين يكتشف الضحية تلك البرمجية الخبيثة فإن الجهة التي قامت بعملية تنزيل البرمجية على الجهاز الضحية أول الأمر تحاول تثبيت ملفات أخرى على الجهاز في محاولة لتجاوز الكشف. 

وأشارت تحقيقات إضافية أجراها خبراء كاسبرسكي لاب إلى احتمال استخدام برمجيات خبيثة موجهة للأجهزة المحمولة من قبل مجموعة القرصنة؛ فقد بدا أن بعض أسماء الملفات التي وُجدت خلال تحليل أنشطة فريق غزة مرتبط بتروجانات خاصة بالنظام أندرويد. وقد سمحت هذه التحسينات التي أجراها فريق غزة على أساليب الهجوم بتجاوز الحلول الأمنية والتلاعب بنظام الضحية لفترات طويلة. 

واعتبر الخبير الأمني في كاسبرسكي لاب، دافيد إم، أن استمرار فريق غزة في نشاطه الذي لوحظ منذ عدة سنوات، دلالة على أن الوضع في منطقة الشرق الأوسط وشمال إفريقيا "بعيد عن الأمان" عندما يتعلق الأمر بالتهديدات المرتبطة بالتجسس الإلكتروني، وتوقّع الخبير الأمني التقني أن "تتزايد في المستقبل القريب أعداد الهجمات التي ينفذها فريق غزة وتتحسن نوعيتها، نظراً للتحسن الكبير في الأساليب التي تتبعها المجموعة، داعياً الأفراد والشركات الواقعة ضمن نطاق هجماتها إلى "توخي الحذر عند الاتصال بالإنترنت". 

تجدر الإشارة إلى أن منتجات كاسبرسكي لاب تنجح في اكتشاف الهجمات التي تتمّ باستخدام الأساليب التي تتبعها مجموعة "فريق غزة". ويوصي الباحثون لدى كاسبرسكي لاب بتنفيذ التدابير التالية لتجنب الوقوع ضحية لمثل هذه الهجمات: 

• تدريب الموظفين ليكونوا قادرين على التمييز بين رسائل ما يُعرف بـ "التصيد بالحربة" أو روابط التصيد من جهة، ورسائل البريد الإلكتروني والروابط المشروعة من جهة ثانية.
• استخدم حل أمني لنقاط النهاية مثبت الفعالية على مستوى مؤسسي إلى جانب حلول الحماية المتخصصة ضد الهجمات المتقدمة مثل منصة مكافحة الهجمات الموجهة من كاسبرسكي لاب القادرة على كشف الهجمات من خلال تحليل الاضطرابات الشاذة في حركة البيانات عبر الشبكات.
• تزويد موظفي الأمن التقني بإمكانية الوصول إلى أحدث المعلومات المتعلقة بالتهديدات، والتي من شأنها أن تسلّحهم بأدوات مفيدة للهجمات في بحثهم عن الهجمات الموجهة والوقاية منها، مثل المؤشرات على وقوع اختراقات أمنية إلكترونية وقواعد YARA. 

معلومات أوفى عن فريق غزة والهجمات التي ينظمها متاح على مدونة Securelist.