أطلقت مجموعة التخريب الإلكتروني الشهيرة Gaza Cybergang في العام 2018، والتي أصبحت معروفة بأنها تضم عدّة مجموعات تخريبية متباينة التطور، عملية تجسّس إلكتروني استهدفت أفراداً ومنظمات ومؤسسات لها مصالح سياسية في الشرق الأوسط.
واستخدمت الحملة المسماةSneakyPastesعناوين بريد إلكتروني لنشر الأضرار من خلال التصيّد ويمكن التخلّص منها بعد الاستخدام، قبل تنزيل البرمجيات الخبيثة في مراحل متسلسلة عبر عدّة مواقع مجانية. وقد ساعد هذا الأسلوب الفعال والمتسم بالتكلفة المنخفضة المجموعة التخريبية على الوصول إلى حوالي 240 ضحية من جهات وأفراد بارزين في 39 دولة بجميع أنحاء العالم، بينها كيانات سياسية ودبلوماسية وإعلامية وناشطون، وغيرهم. وقد أطلعت كاسبرسكي لاب الجهات المعنية بإنفاذ القانون على نتائج تحقيقاتها فأزالت جزءاً كبيراً من البنية التحتية للعملية التخريبية.
وتنطلق مجموعة Gaza Cybergang التخريبية الناطقة باللغة العربية في عملياتها من دوافع سياسية وتتألف من مجموعة من جماعات التهديد المترابطة التي تنشط في استهداف الشرق الأوسط وشمال إفريقيا، مع التركيز بشكل خاص على الأراضي الفلسطينية. وحدّدت كاسبرسكي لاب ثلاث جماعات على الأقل داخل المجموعة، ذات أهداف وغايات متشابهة تتمثل في التجسس عبر الإنترنت على جهات لها مصالح سياسية في الشرق الأوسط، إلاّ أنها تستخدم أدوات وأساليب متباينة التطور والتعقيد مع وجود عناصر مشترك ومتداخلة بينهما.
تشمل المجموعة التخريبية كلاً من المجموعتين المتقدمتين Operation Parliament وDesert Falcons، المعروفتين منذ العامين 2018 و2015 على التوالي، فضلاً عن مجموعة بسيطة أقل تقدماً تُعرف باسم MoleRats وتنشط منذ العام 2012 أو قبله. وكانت هذه المجموعة أطلقت في ربيع العام 2018 عملية SneakyPastes.
بدأت SneakyPastes بهجمات تصيّد ذات طابع سياسي، وانتشرت باستخدام عناوين بريد إلكتروني وأسماء نطاق يمكن التخلص منها بعد النقر على روابط وتنزيل مرفقات ثم تثبيت الإصابات على أجهزة الضحايا.
ويتم تنزيل برمجيات خبيثة إضافية على أجهزة الضحايا في مراحل متسلسلة باستخدام عدد من المواقع المجانية مثل Pastebin وGithub، بُغية تجنّب اكتشاف موقع خادم القيادة والسيطرة. واستخدَمت المواد الخبيثة التي زُرعت في أجهزة الضحايا أدوات مثل PowerShell وVBS وJS وdotnet لضمان الحماية لها وثباتها داخل الأنظمة المصابة. وتمثلت المرحلة الأخيرة من التسلّل في تروجان للوصول عن بعد يجري الاتصال اللازم بخادم القيادة والسيطرة، ثم يجمع ويضغط ويشفّر ويحمّل مجموعة كبيرة من المستندات وجداول البيانات المسروقة. وقد استُمدّ الاسم SneakyPastes من استخدام للمهاجمين الكثيف لمواقع اللصق من أجل تمكين تروجان الوصول عن بعد من التسلّل التدريجي إلى الأنظمة المستهدفة.
وعمل باحثو كاسبرسكي لاب مع جهات إنفاذ القانون للكشف عن دورة الهجوم والتسلل الكاملة في عملية SneakyPastes. وقد أدّت هذه الجهود إلى فهم مفصَّل للأدوات والأساليب والأهداف التي تنطوي عليها العملية كما ساهمت في إزالة جزء كبير من بنيتها التحتية التخريبية.
وبلغت عملية SneakyPastes أوج نشاطها في الفترة بين إبريل ومنتصف نوفمبر 2018، التي انصبّ خلالها التركيز على قائمة صغيرة من الأهداف ضمّت كيانات دبلوماسية وحكومية ومنظمات غير حكومية ووسائل إعلام. وباستخدام أدوات كاسبرسكي لاب الخاصة بالقياس عن بعد، وبالاستعانة بمصادر أخرى، ظهر أن هناك حوالي 240 ضحية لهذه العملية من الأفراد المهمين والمنظمات البارزة في 39 بلداً بجميع أنحاء العالم، كان للسلطة الفلسطينية والأردن وإسرائيل ولبنان حصة الأسد منها. وشملت قائمة ضحايا الهجمات سفارات وجهات حكومية ومؤسسات إعلامية وصحفيين وناشطين وأحزاباً سياسية وأفراداً، فضلاً عن مؤسسات تعليمية وبنوك ومنشآت للرعاية الصحية وشركات مقاولات.
وقال أمين حاسبيني رئيس مركز أبحاث الشرق الأوسط التابع لفريق البحث والتحليل العالمي لدى كاسبرسكي لاب، إن اكتشاف مجموعة Desert Falcons في العام 2015 شكّل "نقطة تحوّل مهمة" في مشهد التهديدات العالمي، مشيراً إلى كونها "أول مجموعة للتهديدات الثابتة المتقدمة ناطقة باللغة العربية"، وأضاف: "بتنا نعلم الآن أن هذه المجموعة تتبع مجموعة Gaza Cyberang التي تستهدف بنشاط مصالح شرق أوسطية منذ العام 2012، وكانت تعتمد في البداية على أنشطة يمارسها فريق بسيط إلى حد ما ولكن بلا هوادة، وهو نفسه الفريق الذي أطلق في العام الماضي عملية SneakyPastes، التي تؤكّد أن نقص البنية التحتية والأدوات المتقدمة ليس عائقاً أمام نجاح العمليات التخريبية".
وتوقع حاسبيني أن تكثّف المجموعات الثلاث المنضوية تحت مظلة Gaza Cyberang أنشطتها التخريبية وأن يصل مدى هجماتها إلى مناطق الأخرى يُفترض أن تكون على صلة بالقضية الفلسطينية، مؤكداً أن جميع منتجات كاسبرسكي لاب قادرة على اكتشاف هذا التهديد وحظره بنجاح.
ويوصي باحثو الشركة بتنفيذ التدابير التالية لتجنب الوقوع ضحية لهجوم موجّه من جهات تخريبية معروفة أو مجهولة:
- استخدام أدوات أمنية متقدمة مثل Kaspersky Anti Targeted Attack Platform (KATA) والتأكد من قدرة فرق الأمن الإلكتروني المؤسسي على الوصول إلى أحدث معلومات التهديدات الإلكترونية.
- التأكد من التحديث المنتظم لجميع البرمجيات المستخدمة في المؤسسة، لا سيما عند إصدار الشركات المنتجة لهذه البرمجيات تصحيحات برمجية لثغرات أمنية. وقد تساعد منتجات الأمن المزودة بقدرات تقييم الثغرات الأمنية وإدارة التصحيحات البرمجية في أتمتة هذا الجناب.
- اختيار حل أمني مثبت مثل Kaspersky Endpoint Security مجهز بقدرات اكتشاف تستند على السلوك، لتقديم حماية فعالة من التهديدات المعروفة والمجهولة، مثل عمليات الاستغلال.
- التأكد من أن الموظفين يفهمون مبادئ السلامة الأساسية للأمن الإلكتروني، إذ إن العديد من الهجمات الموجّهة تبدأ من محاولات التصيّد وغيره من أساليب الهندسة الاجتماعية.
يمكن الاطلاع على تقرير حول عملية SneakyPastes على Securelist.
