كاسبرسكي تكتشف حملة تجسس إلكترونية في الشرق الأوسط
تاريخ النشر: 5th, September 2024 GMT
اكتشف فريق البحث والتحليل العالمي لدى كاسبرسكي انتشار حملة جديدة من التهديدات المتقدمة المستمرة التي نفذتها مجموعة يطلق عليها اسم "تروبك تروبر" Tropic Trooper.
واستهدفت هذه العملية إحدى المؤسسات الحكومية في الشرق الأوسط لمدة تجاوزت عاماً واحداً، بهدف التجسس الإلكتروني.
ويستخدم المهاجمون برامج شبكية خبيثة من نوع غلاف الويب "تشاينا تشوبر" China Chopper للوصول إلى وجهتهم بطريقة غير مشروعة، والحفاظ على وجودهم داخل الشبكة المستهدفة، وفقاً لما وجده خبراء فريق البحث والتحليل العالمي الذين اكتشفوها على خادم ويب مفتوح المصدر يمكن الوصول إليه على نطاق عام، ويستخدم أساساً لإدارة المحتوى.
وتعتبر "تروبك تروبر" (المعروفة أيضاً باسم "كي بوي" KeyBoy و "بايريت باندا" Pirate Panda) مجموعة متخصصة بالتهديدات المتقدمة المستمرة، وتنشط في هذا المجال منذ العام 2011 على أقل تقدير. وركزت المجموعة خلال فترات نشاطها على عدد من القطاعات، بما في ذلك الحكومة والرعاية الصحية والنقل والصناعات عالية التقنية، وطالت هجماتها مناطق عديدة حول العالم، ومن أبرزها تايوان والفلبين وهونغ كونغ. ومع ذلك، كشف التحقيق الأخير الذي أجرته كاسبرسكي أن المجموعة ذاتها أطلقت في العام 2024 حملات إلكترونية مستمرة لتستهدف من خلالها مؤسسة حكومية في الشرق الأوسط، وتم تحديد تاريخ انطلاق هذه الحملة بدءاً من يونيو 2023 على الأقل.
واكتشفت قراءات كاسبرسكي في يونيو 2024، عن نوع جديد من أغلفة الويب يسمى "تشاينا تشوبر". وكشف تحقيق آخر أجراه فريق البحث والتحليل العالمي التابع لكاسبرسكي أن هذا الغلاف كان مدمجاً كوحدة تكمن داخل خادم الويب العام (Umbraco CMS)، ويستخدم على نطاق واسع، ويستضيف نظام إدارة المحتوى. واستغل المهاجمون هذه المنصة لاكتساب مجموعة واسعة من القدرات بطريقة خبيثة، بما في ذلك سرقة البيانات، والتحكم الكامل عن بعد، ونشر البرامج الضارة، والتهرب من احتمالات الكشف المتقدم، بهدف تحقيق غرضها النهائي المتمثل في التجسس الإلكتروني.
وقال شريف مجدي، الباحث الأمني الأول في فريق البحث والتحليل العالمي التابع لكاسبرسكي: "من الجدير بالملاحظة في هذه الهجمات وجود تباين في مجموعات المهارات المستخدمة خلال المراحل المختلفة من هذا الهجوم، ناهيك عن التكتيكات التي اتبعتها المجموعة بعد أن تعرضت للفشل. وعندما أدرك هؤلاء المهاجمون اكتشاف أبوابهم الخلفية، حاولوا تحميل إصدارات أحدث من أجل تجنب الاكتشاف، ما أدى إلى زيادة احتمال رصد هذه العينات الجديدة بطريقة غير متعمّدة في المستقبل القريب.
واكتشفت كاسبرسكي وجود برامج خبيثة جديدة تستغل طرق بحث النظام في مكتبة الارتباط الديناميكي (DLL) الجديدة، والتي تم تحميلها من خلال ملف شرعي قابل للتنفيذ، ولكنه ضعيف بسبب عدم وجود مواصفات مسار كامل للمكتبة المطلوبة. وحاولت سلسلة الهجوم هذه نشر أداة برمجية خبيثة تدعى (Crowdoor loader) التي أطلق عليها هذا الاسم الباب للتشابه مع البرمجيات الخبيثة من نوع الباب الخلفي SparrowDoor بعد قيام شركة الأمن السيبراني العالمية ESET باكتشافه. وعندما أدّت التدابير الأمنية لكاسبرسكي بحظر أداة (Crowdoor loader) الأولية، سرعان ما تحول المهاجمون إلى نسخة أخرى لم يتم الإبلاغ عنها سابقاً، ولكنها تحمل تأثيراً مماثلاً.
ويعرب خبراء كاسبرسكي عن ثقتهم الكبيرة في أن هذا النشاط يعود إلى الجهة التخريبية الناطقة باللغة الصينية المعروفة باسم "تروبك تروبر". وتكشف نتائج الخبراء عن تداخلات كبيرة في تقنيات تم الإبلاغ عنها في الحملات الأخيرة لنفس المجموعة، في حين تُظهر عينات قام فريق كاسبرسكي بتحليلها، وجود ارتباط قوي أيضاً بجماعات أخرى كانت على صلة بهذه المجموعة الصينية في فترات سابقة.
واكتشفت كاسبرسكي هذا الاختراق الذي استهدف إحدى المؤسسات الحكومية في الشرق الأوسط. وفي الوقت نفسه، تم اكتشاف مجموعة فرعية من هذه العينات كانت تستهدف مؤسسة حكومية في ماليزيا. وتتوافق هذه الحوادث مع الأهداف النموذجية والتركيز الجغرافي الذي أظهرته التقارير الأخيرة حول نشاط "تروبك تروبر".
أضاف شريف مجدي: "تستهدف مجموعة التهديدات المتقدمة المستمرة "تروبك تروبر" عادةً قطاعات الحكومة والرعاية الصحية والنقل والصناعات التكنولوجية الفائقة. وتشير التكتيكات والتقنيات والإجراءات التي تتبعها هذه المجموعة لتستهدف المؤسسات الحكومية المهمة في الشرق الأوسط، وخاصة تلك ذات الصلة بالدراسات المتعلقة حقوق الإنسان، إلى تحول استراتيجي في عملياتها. ويمكن أن تساعد هذه الرؤية المجتمع المتخصص بجمع المعلومات حول التهديدات، في فهم دوافع هذه الجهة الفاعلة بشكل أفضل".
ولتفادي الوقوع ضحية للهجمات المستهدفة التي تطلقها جهات تهديد معروفة أو غير معروفة، يوصي باحثو كاسبرسكي باتباع التدابير التالية:
ضرورة منح فريق مركز العمليات الأمنية في مؤسستك إمكانية الوصول إلى أحدث المعلومات المتعلقة بالتهديدات. وتعتبر Kaspersky Threat Intelligence وجهة شاملة لتلك المعلومات، حيث يمكن للفريق الاعتماد عليها لتزويده بالبيانات المتعلقة بالهجمات الإلكترونية، والأفكار والنتائج التي جمعتها كاسبرسكي على مدار أكثر من 20 عاماً.
تطوير مهارات فريق الأمن السيبراني في مؤسستك لإكساب أعضائه القدرة على التعامل مع أحدث التهديدات المستهدفة، من خلال Kaspersky online training ، وتم تطويرها من قبل خبراء فريق البحث والتحليل العالمي التابع لها.
تطبيق أحد حلول اكتشاف نقطة النهاية والاستجابة لها (EDR) مثل Kaspersky Next للكشف عنها والتحقيق فيها وإصلاح الحوادث في الوقت المناسب
تنفيذ حل أمني على مستوى الشركة يكتشف التهديدات المتقدمة للشبكة في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform، بالإضافة إلى تبني الحماية الأساسية لنقطة النهاية.
بما أن العديد من الهجمات المستهدفة تبدأ بالتصيد الاحتيالي أو غيره من تقنيات الهندسة الاجتماعية، يجب توفير الجلسات التدريبية التوعوية حول مختلف الجوانب الأمنية، وتعليم الفريق المهارات العملية، من خلال Kaspersky Automated Security Awareness Platform على سبيل المثال.
المصدر: بوابة الوفد
كلمات دلالية: التهدیدات المتقدمة فی الشرق الأوسط من خلال
إقرأ أيضاً:
حرب إيران وخطر بلقنة الشرق الأوسط
تؤكد العديد من التقديرات، ولا سيما الصادرة عن جهات مطلعة، في إسرائيل والغرب، أن الولايات المتحدة باتت على وشك الدخول في الحرب ضد إيران وبشكل مباشر، والرئيس الأمريكي دونالد ترامب أكد أن صبره بات ينفد، وأرسلت واشنطن إلى المنطقة مجموعة من أفضل طائراتها القاذفة، كما حركت بعض قطع أساطيلها صوب المنطقة.
ثمّة من يقرأ هذه التحركات على أنها شكل من أشكال الضغوط التي تمارسها واشنطن على إيران لإعلان استسلامها، على ما طلب ترامب، لكن ماذا لو بقيت إيران مصرة على موقفها؟ هذا يعني ببساطة أن أمريكا ستجد نفسها مضطرة للانخراط بالحرب، والأرجح أن ذلك سيحصل، لأن ترامب لم يترك لإيران أي هامش للمناورة، ولا أي خيارات سوى الرضوخ الكامل، بعد أن رفع سقف المطلوب منها إلى حده الأقصى، إذ أنه يتعامل مع إيران على أن هزيمتها قد حصلت بالفعل ولم يتبق سوى إعلان حفل التوقيع على الهزيمة وإغلاق الملف بالكامل!
رغم ما تلقته من ضربات قاسية، لا شك أن لديها أوراق لم تحركها بعد، وتاليا لن تقبل بالشروط الأمريكية المهينة، والتي قد لا تنحصر تداعياتها في خروج إيران نهائيا من دائرة التأثير والفعالية على المستويين الدولي والإقليمي، بل قد تحوّلها إلى رجل مريض في الشرق الأوسط
من غير المرجح قبول إيران بذلك، ورغم ما تلقته من ضربات قاسية، لا شك أن لديها أوراق لم تحركها بعد، وتاليا لن تقبل بالشروط الأمريكية المهينة، والتي قد لا تنحصر تداعياتها في خروج إيران نهائيا من دائرة التأثير والفعالية على المستويين الدولي والإقليمي، بل قد تحوّلها إلى رجل مريض في الشرق الأوسط، على غرار ما كانت عليه الدولة العثمانية في آخر عهدها، تلك المرحلة التي انتهت بتقاسم مناطق نفوذها من قبل القوى الاستعمارية في ذلك الوقت، بريطانيا وفرنسا.
وهنا يبرز السؤال عن خيارات إيران للهروب من السيناريوهات السيئة التي قد تنتظرها في حال قبول الاستسلام:
الخيار الأول: إثبات أن لديها أوراقا قوية تستطيع من خلالها رد التحدي ووضع إسرائيل وأمريكا في مآزق، كأن تثبت أنها قادرة على ضرب مفاعل ديمونا، أو مخازن الأسلحة النووية في إسرائيل، صحيح أن ذلك سيعني الإقدام على الانتحار، لما سيتبعه من رد فعل أمريكي وإسرائيلي، لكن التلويح به يبقى في إطار استعراض أوراق القوّة لا استخدامها، ما سيدفع أمريكا واسرائيل إلى خفض سقف مطالبهما. ولوحظ مؤخرا أن الصواريخ الإيرانية تستهدف مناطق قريبة من مفاعل ديمونا وقد يكون ذلك رسالة بأن إيران قادرة على استهداف المفاعل.
الخيار الثاني: ضرب القواعد الأمريكية في المنطقة، وهذا الخيار محتمل، إذ سبق لإيران أن استهدفت، وفي إطار ردها على اغتيال قاسم سليماني القواعد الأمريكية في العراق وسوريا، وتعرضت قواعدها في سوريا لعدد كبير من الهجمات، لكن الاستهداف بنمطه وشكله السابق لن يردع أمريكا عن ضرب إيران، لأن خسائره محدودة ومحتملة، وفي هذه الحالة قد تجد إيران نفسها مضطرة لضرب قواعد أكبر كتلك المنتشرة في الخليج، ما يعني أن الحرب ستأخذ مسارات أشد خطورة على إيران نفسها.
الخيار الثالث: تحريك الأذرع، ولا سيما حزب الله والمليشيات العراقية، وربما تحريك الشيعة في كل المنطقة، لخلط الأوراق وصناعة وضع مربك لجميع الأطراف، يساهم في الضغط على الأمريكيين لوقف الحرب وتغيير شروطها للتفاوض.
الخيار الرابع: إغلاق مضيق هرمز، في نفس الوقت إغلاق باب المندب عبر الحوثيين، ما يعني خنق تجارة النفط من المنطقة وشل حركة العالم..
والمرجح أن تستخدم إيران كل هذه الخيارات دفعة واحدة إذا وجدت نفسها في مواجهة أوضاع غير طبيعية.
خطورة هذا السيناريو أنه سيمتد حكما لكامل منطقة الشرق الأوسط، وسيفتح صندوق باندورا لن يتمكن أحد من إغلاقه ومنع شياطينه من التفلت
لكن، في المقابل، يبدو أن الإسرائيليين والأمريكيين وضعوا سيناريوهات لمثل هذه الاحتمالات، من ضمنها قتل المرشد الإيراني، وليست زلة لسان قول ترامب إن واشنطن تعرف مكان المرشد لكنها لا تريد قتله الأن، والسيناريو الثاني، دعم ثورة ضد النظام الإيراني، وهو ما تحدث عنه صراحة نتنياهو أكثر من مرّة، ولو على سبيل التمني من الشعب الإيراني للقيام بهذه المهمة، بيد أن هذا السيناريو ينطوي على سيناريو آخر، لا يتم الحديث عنه صراحة، لكنه مُتضمن في السيناريو الثاني، وهو دعم تقسيم إيران إلى عدة دويلات؛ دولة للكرد في الغرب، وأخرى للأذربيين في الشمال، وثالثة للبلوش في الشرق، ودولة رابعة للعرب في الجنوب، في ظل تقدير أن هذه القوميات ستسارع في الاستجابة لمثل هذا التطور، نظرا لما تشعر به من غبن تحت حكم القومية الفارسية.
خطورة هذا السيناريو أنه سيمتد حكما لكامل منطقة الشرق الأوسط، وسيفتح صندوق باندورا لن يتمكن أحد من إغلاقه ومنع شياطينه من التفلت، هذا السيناريو وحده سيحقّق هدف نتنياهو في تغيير شكل الشرق الأوسط، لأن تداعياته ستتدحرج على كامل المنطقة، والتي ستصبح تجربة البلقان، مقارنة بها، نزهة عابرة، لذا من المرجح أن ترفض غالبية دول المنطقة حصول مثل ذلك، وقد نشهد في المرحلة المقبلة استنفارا سياسيا على مستوى المنطقة بأكملها.
x.com/ghazidahman1
الأمم المتحدة.. ثمانون عامًا : السقف الأخير للعالم المفتوح على المجهول