تعمقت الصراعات الجغرافية السياسية في الشرق الأوسط خلال السنوات الأخيرة. وتتخذ الأزمة عدة نماذج، ويتزايد الصراع في الفضاء الإلكتروني، حيث تحاول كل من الجهات المتقاتلة إدارة دفة الصراع لصالحها عبر استخدام وسائل إلكترونية ذكية وتشويه الأخبار.
وكشف فريق التحليلات والأبحاث الدولية GReAT في كاسبرسكي لاب عن هجمات مستهدفة جديدة في الشرق الأوسط. وقد أنشأ المجرمون الإلكترونيون العرب وسائل متطورة لإيصال وإخفاء وتشغيل البرمجيات الخبيثة التي صمموها بأنفسهم أيضاً. وتم اكتشاف هذه البرمجية الخبيثة بالأصل أثناء تحقيق في أحد الهجمات في الشرق الأوسط.
واللغة الأم لمنفذي هجمات صقور الصحراء هي اللغة العربية، ويعتقد بأن هذه أول مجموعة عربية تطور وتنفذ عمليات تجسس إلكترونية كاملة. بدأت مجموعة صقور الصحراء عملياتها عام ٢٠١١، وحصلت أول إصابة عام ٢٠١٣. وأصبحت المجموعة فاعلة للغاية في نهاية ٢٠١٤/ بداية ٢٠١٥.
وتتألف مجموعة صقور الصحراء من ٣٠ عضواً، يعملون ضمن ثلاثة فرق، ويديرون عملياتهم بشكل رئيسي في فلسطين ومصر وتركيا.
تستغل مجموعة صقور الصحراء وسائل وتقنيات مختلفة للوصول إلى ضحاياهم والتجسس عليهم وإصابتهم والتحكم بهم. وفيما يلي نوضح كل وسيلة وكيفية استخدامها لإدارة نشاطات التجسس الإلكتروني. وتنقسم الأدوات إلى ثلاثة أقسام كما يلي:
- الخداع والإصابة.
- التسلل والتجسس.
- التعقب والتحكم.
من التقنيات الأخرى التي يستخدمها المجرمون الإلكترونيون إرسال ملف rar يتم استخراجه إلى ملفات متعددة ويوفر رمزاً مختصراً مغرياً على شكل أيقونة صغيرة ولطيفة الشكل. وفي هذه الحالة لا تضطر الضحية للنقر المزدوج على الملف، حيث يكفي الرمز المختصر لتشغيل أمر شامل لاستخراج وإعداد وتشغيل البرمجية الخبيثة.
يستغل #صقور_الصحراء ثقة الضحايا في منتديات الشبكات الاجتماعية وفضولهم لمعرفة آخر الأخبار السياسية المتعلقة بالصراعات في #الشرق_الأوسط
Tweet
الهندسة الاجتماعية والأبواب الخلفية
يعتبر فريق صقور الصحراء من أوائل من قاموا بتنفيذ هجمات مستهدفة عبر دردشة فيسبوك، حيث أنشأ المهاجمون حسابات فيسبوك حقيقية، ومن ثم قاموا بالتواصل مع ضحايا مختارين عبر صفحات فيسبوك شائعة حتى اكتسبوا ثقتهم، ثم قاموا بإرسال ملفات تروجان خبيثة لهم ضمن الدردشة، متخفية على شكل صور وما إلى ذلك.
تم استخدام تقنيات هندسة اجتماعية مختلفة لتحقيق مستوى واسع من الإصابات بين الناشطين ورموز السياسة، وتضمنت هذه التقنيات منشورات فيسبوك تحول الضحايا إلى صفحات مزيفة بمحتوى سياسي. ولقد تمكننا من تمييز منشورات فيسبوك مشبوهة على صفحات ناشط معروف، مع روابط لنطاقات أو ملفات خبيثة للتحميل مستخدمة من قبل الصقور. وفيما يلي بعض الأمثلة:
منشورات من حسابات مخترقة أو حسابات مزيفة على صفحات سياسية، دكتور سلام فياض هو رئيس وزراء سابق لدولة فلسطين.
تعتمد مجموعة صقور الصحراء على ثغرتين للأبواب الخلفية back doors مختلفتين للتجسس على الضحايا، وتم إنشاء الثغرتين من الصفر، وهما قيد التطوير المستمر. وقد تمكننا من اكتشاف وجمع أكثر من ١٠٠ نموذجاً للبرمجيات الخبيثة التي تستخدمها مجموعة صقور الصحراء.
وحال قيام المهاجمين بإصابة جهاز كمبيوتر الضحية، فإنهم يملكون تحكماً كاملاً بالجهاز، وبالعادة يتابعون عملياتهم بالشكل التالي:
- يتم تصنيف الضحايا الجدد ضمن مجموعات قبل التعرض للإصابة. (مثال: A001، A002، وهكذا).
- يتم تعيين أحد المجرمين الإلكترونيين لكل ضحية جديدة بعد الإصابة.
- يتم استرجاع قائمة كاملة من كافة الملفات (خاصة XLS، DOC، JPG، و WAV) من جهاز الضحية.
- يتصفح المجرم الإلكتروني ويجمع أي صور وملفات مثيرة للاهتمام.
- يجمع المجرم الإلكتروني أيضاً أي رسائل دردشة وصور ملتقطة من الشاشة.
- يتم تعميق عملية التجسس أو إسقاطها بناء على أهمية الضحية.
تتألف مجموعة #صقور_الصحراء من ٣١ عضواً، يعملون ضمن ٣ فرق، ويديرون عملياتهم من #فلسطين
و #مصر و #تركيا ويتجاوز عدد ضحاياهم ٣٠٠٠— كاسبرسكي (@KasperskyKSA) February 18, 2015
خدعة وصلة ريل بلاير RealPlayer المزيفة
تم استخدام الهندسة الاجتماعية السياسية في هذه الحالة لإيصال البرمجية الخبيثة على شكل “وصلة” ل “الفيديو المحظور” لبرنامج سياسي مشهور في مصر يقدمه الإعلامي الساخر باسم يوسف. وتم استضافة الصفحة على النطاق التالي: www.linkedim.in، بحيث تم اختياره كي يكون مشابهاً لموقع الشبكة الاجتماعية المشهورة لينكد إن.
يمكن تقسيم عملية صقور الصحراء إلى ثلاث حملات مختلفة، يتم تشغيل كل منها من C&C/ IP مختلف، تستهدف أنواعاً مختلفة من الضحايا، كما تم تشغيلها من قبل أفراد مختلفين من الفريق.
يمكن تصنيف الحملات بناء على نوع ونسخة البرمجية الخبيثة ونوع الضحايا المستهدفين:
- الحملة الأولى: نشيطة في فلسطين ومصر والأردن ودول الخليج (المملكة العربية السعودية والإمارات العربية المتحدة وقطر).
- الحملة الثانية: نشيطة في إسرائيل.
- الحملة الثالثة: نشيطة في مصر.
الجدول الزمني لعمليات الحملات
على الرغم من أن ملفات البرمجية الخبيثة تعود فقط إلى عام 2013، فقد تم العثور على آثار متعلقة بالنطاق قد تدل على نشاطات سابقة نفذها صقور الصحراء:
ويعد هذا تنبيهاً على وضع الأمن الإلكتروني الضعيف في المنطقة، حيث خضعت كل من البنوك والمؤسسات الإعلامية والحكومات والمراكز العسكرية في دول مختلفة فريسة لهجمات صقور الصحراء.
ويتميز منفذو تهديدات الصقور بالتصميم والحيوية والمعرفة التقنية الجيدة، ونتوقع أن تستمر عملياتهم بحمل مزيد من برمجيات تروجان الخبيثة، واستخدام تقنيات أكثر تطوراً. وبتوفر التمويل الكافي، فقد يتمكنون من امتلاك أو تطوير برمجيات إكسبلويت، تزيد من فعالية هجماتهم.
ومجموعة صقور الصحراء هي مثال واحد على ارتفاع الجريمة الإلكترونية في منطقة مليئة بالمشاكل السياسية الجغرافية، والتي ستحفز نشطاء تهديدات أخرى لتنفيذ هجمات إلكترونية لأهداف سياسية أو إجرامية.
ويعتبر مستخدمو كاسبرسكي لاب في حماية من الإصابة، حيث يتم كشف وحجب ملفات البرمجية الخبيثة والنطاقات المستخدمة في الهجمات المستهدفة.
للاطلاع على التقرير الأمني كاملاً:
https://securelist.com/blog/research/68817/the-desert-falcons-targeted-attacks/