كانكون، المكسيك: كشف خبراء من كاسبرسكي لاب الغطاء عن أول مجموعة هجمات متقدمة متواصلة (APT) ناطقة باللغة العربية، تحمل مسمى صقور الصحراء، مكونة من ثلاثين شخصاً، يعملون من مصر وفلسطين وتركيا، وقد طوروا برمجياتهم الخبيثة خصيصاً لاستهداف الشرق الأوسط، ومن المستحيل معرفة ما إذا كانت مجموعة صقور الصحراء مدعومة من دولة محددة.
ويتكون مخزون المجموعة من أدوات برمجيات خبيثة، والهندسة الاجتماعية، وغيرها من التقنيات المصممة لتنفيذ الحملات على أنظمة تشغيل لأجهزة الكمبيوتر والهواتف المحمولة. وبشكل محدد، فإن برمجيات صقور الصحراء الخبيثة مصممة بهدف سرقة بيانات حساسة من ضحاياها، والذين يستخدمون بعدها كوقود لتغذية عمليات إضافية، وحتى لتنفيذ محاولات ابتزاز ضد أهداف محددة.
Go in-depth with the #FalconsAPT and read our exclusive report #TheSAS2015 – http://t.co/Tb6Ag44DtN pic.twitter.com/4Ajw672WZT
— KasperskyUK (@kasperskyuk) February 19, 2015
ويتم استهداف الضحايا، بحسب فريق الأبحاث والتحليلات الدولية من كاسبرسكي لاب، بسبب أسرار في ممتلكاتهم، أو معلومات ذكية تتعلق بمواقع عملهم في الحكومات أو المنظمات المهمة.
“تمت سرقة أكثر من مليون ملف من الضحايا”، تقول شركة مقاومة الفيروسات. “تتضمن الملفات المسروقة مراسلات دبلوماسية من سفارات، وخطط عسكرية، ووثائق مالية، وقوائم اتصال بجهات إعلامية وشخصيات مهمة وملفات”.
وقد أوقعت هجمات صقور الصحراء ٣٠٠٠ ضحية في أكثر من ٥٠ دولة، ويقع معظمهم في فلسطين ومصر وإسرائيل والأردن، وهناك اكتشافات أيضاً في المملكة العربية السعودية والإمارات العربية المتحدة والولايات المتحدة وكوريا الجنوبية والمغرب وقطر.
مجموعة #صقور_الصحراء التي اكتشفتها @Kaspersky في مؤتمر #TheSAS2015 هي أول مجموعة هجمات متقدمة متواصلة تستهدف الشرق الأوسط تحديداً
Tweet
ويتضمن الضحايا منظمات عسكرية وحكومية، وموظفين مسؤولين عن منظمات صحية، ومؤسسات لمكافحة غسيل الأموال، ومؤسسات مالية واقتصادية، وهيئات إعلامية رائدة، ومنظمات تعليمية، ومراكز أبحاث، ومزودي خدمات وطاقة، وقادة سياسيين وناشطين، وشركات أمنية، وغيرها من الأهداف التي تملك صلاحية الدخول لمعلومات جغرافية وسياسية مهمة.
وصف الضحية | فئة الضحية |
مؤسسات ومراسلون مشهورون أصحاب خبرة واسعة، من مؤسسات إعلامية كبيرة وصغيرة وعالمية ومحلية، مع تغطية واسعة في منطقة الشرق الأوسط. | الإعلام |
الجامعات الإسلامية، المهاجرون وناشطو الحقوق من أصول عربية وهم من أكثر الفئات استهدافاً، من المهاجمين الذين يتصيدون الصور ومقاطع الفيديو والتسجيلات الصوتية. | التعليم والناشطون |
المنظمات والموظفون المسؤولون عن الصحة الوطنية، ومكافحة غسيل الأموال، والاقتصاد، والتجارة، والوزارات، والأبحاث والتطوير. | الحكومة |
دائرة الموظفين ذات المراحل العليا، والمرتبطة بوكالات الأمن، ووحدات قيادة الجيش. | المؤسسات العسكرية |
موردو البنية التحتية الطارئة (الطاقة والنفط والغاز والمنشآت والشبكات). | الطاقة/ المؤسسات العامة |
مقاولو سلسلة التوريد التي توفر مواد البناء، والمعدات للعملاء التي تتضمن الجهات العسكرية وذات العلاقة بالفضاء. | المؤسسات الصناعية |
تأثرت العديد من البنوك وقطاعات الاستثمار. | المؤسسات المالية |
من أكثر فئات الضحايا الغامضة، مع استهداف قطاعات رئيسية في بلدان متعددة. | المؤسسات الأمنية |
وتشمل الوسائل المستخدمة في هجمات صقور الصحراء الأبواب الخلفية (backdoors) لأجهزة الكمبيوتر التقليدية، والتي يستطيع المهاجمون من خلالها تحميل برمجيات خبيثة للدخول إلى راصد لوحة المفاتيح، والتقاط صور من الشاشة، وحتى تسجيل الصوت عن بعد. كما أن هناك برمجيات معدة لمهاجمة الهواتف المحمولة بنظام تشغيل أندرويد، مع القدرة على التجسس على الرسائل النصية وسجلات المكالمات الهاتفية.
ومن المثير للاهتمام، أن باحثي كاسبرسكي لاب الذين عرضوا موضوع صقور الصحراء خلال قمة تحليل الأمن، قالوا بأن هذه المجموعة تعتبر ضمن أوائل من استخدموا دردشة فيسبوك في الهجمات الموجهة، للتواصل مع الأهداف عبر صفحات فيسبوك معروفة حتى اكتساب ثقتهم، ومن ثم إرسال ملفات تروجان إليهم عبر الدردشة على شكل صور.
وقد بدأت المجموعة بإنشاء أدواتها منذ ٢٠١١، وحققت أول إصابات لها عام ٢٠١٣، إلا أن نشاط صقور الصحراء أخذ يسطع في نهاية ٢٠١٤ وبداية ٢٠١٥، ويبدو بأن المجموعة نشيطة وفاعلة اليوم أكثر من أي وقت سابق في الماضي.
وتقول كاسبرسكي لاب بأن منتجاتها تكتشف وتحجب كافة أنواع البرمجيات الخبيثة المستخدمة في هذه الحملة.