مجموعة القرصنة الإلكترونية Gaza Cybergang وحملتها SneakyPastes

أبريل 23, 2019

في قمة التحليل الأمني الخاص بنا (Kaspersky Security Analyst Summit)، نتحدث عادةً عن هجمات التهديدات المستمرة المتقدمة APT attacks:  حيث نشرنا هناك لأول مرة معلومات عن Slingshot, Carbanak, و Careto. تتواصل الهجمات المستهدفة بأعلى مستوياتها، ولم يكن هذا العام استثناءً: حيث تحدثنا في مؤتمر التحليل الأمني (SAS) 2019 في سنغافورة عن مجموعة إجرامية تقوم بتهديدات مستمرة متقدمة (APT) تسمى Gaza cybergang.

أسلحة متعددة

تتخصص مجموعة القرصنة الإلكترونية Gaza cybergang في التجسس الإلكتروني، وتقتصر حملتها في الغالب على بلدان الشرق الأوسط وآسيا الوسطى. وتشمل قائمة أولوياتها السياسيين والدبلوماسيين والصحفيين والنشطاء والمواطنين الآخرين النشطين سياسيًا في المنطقة.
وفيما يتعلق بعدد الهجمات التي سجلناها في الفترة من يناير (كانون الثاني) 2018 وحتى يناير (كانون الثاني) 2019، فقد تركزت الأهداف داخل الأراضي الفلسطينية في البداية دون مشقة. كما حدثت محاولات قليلة طالت أهدافًا في الأردن وإسرائيل ولبنان. تستخدم هذه المجموعة في هجماتها أساليب وأدوات ذات مستويات تعقيد متفاوتة.
حدد خبراؤنا ثلاث مجموعات فرعية تعمل داخل مجموعة القرصنة الإلكترونية هذه. ولقد تناولنا بالفعل اثنتين منهم. كانت إحداهما صاحبة حملة “صقور الصحراء”Desert Falcons وكانت الأخرى وراء الهجمات المُخصصة المعروفة باسم “عملية البرلمان” Operation Parliament.
والآن حان وقت الحديث عن المجموعة الفرعية الثالثة، والتي نسميها MoleRATs. تتسلح هذه المجموعة بأدوات بسيطة نسبيًا، لكن هذا لا يجعل حملتها SneakyPastes (سُميت بذلك نظرًا لاستخدامها النشط لموقع pastebin.com) أقل خطورة.

حملة SneakyPastes

هذه الحملة متعددة المراحل؛ حيث تبدأ بالتصيد الاحتيالي، باستخدام رسائل من عناوين مرة واحدة ونطاقات مرة واحدة. وفي بعض الأحيان تحتوي الرسائل على روابط لبرامج ضارة أو مرفقات مصابة. إذا قام الشخص المُستهدَف بتنفيذ الإجراء المطلوب للملف المرفق (أو اتباع الرابط)، فسيُصاب جهازه بالبرنامج الضار الخاص بالمرحلة الأولى والمبرمج لتفعيل سلسلة العدوى.
تتعلق الرسائل، التي تستهدف صرف انتباه القارئ، في الغالب بموضوعات سياسية. فهي إما تتناول المفاوضات السياسية أو عناوين لبعض المنظمات الموثوقة.
بمجرد وصول البرنامج الضار الخاص بالمرحلة الأولى بأمان إلى الكمبيوتر، فإنه يحاول تأمين موقعه وإخفاء نفسه بعيدًا عن أي برامج لمكافحة الفيروسات، كما يُخفي خادم الأوامر.
يستخدم القراصنة الخدمات العامة (مثل: pastebin.com وgithub.com وmailimg.com وupload.cat وdev-point.com وpomf.cat) للمراحل اللاحقة من الهجوم (بما في ذلك إيصال البرامج الضارة)، والأهم من ذلك، بهدف التواصل مع خادم الأوامر. كما يستخدمون عادةً عدة طرق في وقت واحد للحصول على المعلومات المُستخرَجة.
وفي النهاية ، يصاب الجهاز ببرامج ضارة خاصة بهجمات التهديدات المستمرة المتقدمة RAT malware, والتي توفر إمكانيات قوية. ومن هذه الإمكانيات، قدرتها على تنزيل الملفات وتحميلها بحرية وتشغيل التطبيقات والبحث عن المستندات وتشفير المعلومات.
تبحث البرامج الضارة داخل جهاز الكمبيوتر الخاص بالضحية لتحديد موقع جميع الملفات ذات صيغة PDF وDOC وDOCX وXLSX، ولحفظها في مجلدات الملفات المؤقتة وتصنيفها وأرشفتها وتشفيرها، ثم إرسالها أخيرًا إلى خادم أوامر عبر سلسلة من النطاقات.
في واقع الأمر، اكتشفنا استخدام مجموعة متنوعة من الأدوات في هذا النوع من الهجمات. يمكنك معرفة المزيد عنها والحصول على مزيد من التفاصيل الفنية من خلال هذا المنشور على Securelist.

الحماية المتكاملة ضد التهديدات المتكاملة

صُممت منتجاتنا للتغلب بنجاح على العناصر المستخدمة في حملة SneakyPastes. ولتجنُّب الوقوع ضمن ضحايا هذه الحملة، اتبع النصائح التالية.
• علِّم موظفيك كيفية التعرُّف على الرسائل الخطيرة، الجماعية منها والمستهدفة؛ فقد بدأت هجمات مجموعة Gaza cybergang بالتصيد الاحتيالي. لا توفر منصة Kaspersky ASAP التفاعلية الخاصة بنا هذه المعلومات فحسب، بل تُضفي عليها أيضًا المهارات اللازمة.
• استخدم حلولاً متكاملة مُصممة خصيصًا لمواجهة الهجمات المعقدة والمتعددة المراحل التي قد يصعُب بشدة على برامج مكافحة الفيروسات الأساسية مواجهتها. ولمقاومة الهجمات على مستوى الشبكة، نوصي باستخدام حزمة تتكون من حل Kaspersky لمقاومة الهجمات الموجهة Kaspersky Anti Targeted Attack وحل Kaspersky لاكتشاف والاستجابة للتهديدات المكتشفة عند نقاط النهاية Kaspersky Endpoint Detection and Response.
• إذا كانت شركتك تستعين بخدمة مخصصة لأمن المعلومات، فإننا نوصيك بالاشتراك في التقارير المغلقة لشركة Kaspersky Lab، حيث نقدم حسابات مفصلة حول التهديدات الإلكترونية الحالية. يمكنك شراء اشتراك عن طريق إرسال رسالة إلى intelreports@kaspersky.com