كشف سلسلة هجمات إلكترونية تستهدف شركات التقنية في الشرق الأوسط

مجرمي الإنترنت OilRig المتخصصة في التهديدات المتقدمة، من خلال تنفيذ نصوص برمجية من نوع PowerShell.

وتستهدف المجموعة الوصول إلى الخوادم الطرفية في شركات تقنية المعلومات في الشرق الأوسط وتركيا وأفريقيا، حتى تتمكن من جمع بيانات الاعتماد والبيانات الحساسة حول أهدافهم.

أخبار متعلقة

ديدان «ميراي» الخبيثة تستهدف أجهزة إنترنت الأشياء ببرنامج RapperBot

تزايد هجمات الاحتيال بحُلّة "شات جي بي تي"

50 شركة تكنولوجيا الأسرع نمواً في الشرق الأوسط

تحديث ترسانة الأدوات الخبيثة

وفي العادة، تستخدم المجموعة التخريبية تكتيكات الهندسة الاجتماعية، كما تستغل البرامج ونقاط الضعف التقنية في شبكات ضحاياها، ومع ذلك، لاحظ خبراء كاسبرسكي أن المجموعة قامت بتحديث ترسانة أدواتها، إذ تلجأ إلى طرق خبيثة وأكثر سرية لاختراق أهدافها من خلال شركات سلسلات التوريد لتكنولوجيا المعلومات التابعة لضحاياها.

واستخدمت المجموعة المعلومات المسروقة للتسلل إلى أهدافها ونشر عينات من البرامج الخبيثة التي اعتمدت على واجهة تطبيقات البرامج Microsoft Exchange Web Services لإجراء اتصالات القيادة والتحكم (C2) ومن ثم سرقة البيانات.

وتبيّن أن البرنامج الذي استهدفه التحقيق يعتبر نوعاً من البرامج الخبيثة القديمة التي تستخدمها مجموعة OilRig.

تصفية كلمات المرور

ولضمان الوصول بطريقة متخفية ومستمرة، نشرت المجموعة عامل تصفية جديد لكلمات المرور (password filter) يعتمد على مكتبة الرموز والبيانات (DLL)، ليتمكنوا في نهاية المطاف من اعتراض أي محاولات لتغيير كلمات المرور إن تم تغييرها.

وأتاحت هذه العملية للمهاجمين تلقي كلمات مرور محدثة، إلى جانب بيانات أخرى مسروقة وحساسة مرسلة من خدمات البريد الإلكتروني لأهدافهم إلى عناوين على منصتي البريد الإلكتروني Protonmail و Gmail التي يتحكم فيها المهاجمون.

سرية هجمات الطرف الثالث

وقال ماهر يموت، الباحث الأمني، إن مجموعة OilRig نجحت بالتخفي بمستوى أعلى بالاعتماد على تكتيكاتها وتقنياتها وإجراءاتها المعقدة والمعدلة بشكل كبير، الأمر الذي أتاح لها استغلال شركات تكنولوجيا المعلومات التابعة لجهات خارجية.

وأضاف، أن التحقيق الذي أجرته شركته، لاحظ أن هجمات الطرف الثالث تكون أكثر سرية وخفية، وتبقى غير مكتشفة مقارنة بالتكتيكات الأخرى، لتشكل بذلك خطراً جسيماً على عمل المؤسسات الحكومية في هذه المنطقة.

وأستطرد: وبناءً على ذلك، يعتبر التحول الجذري في سبل التسلل إلى شركات تكنولوجيا المعلومات التي تشكل جزءاً من سلسلة التوريد، مؤشراً على أن المؤسسات الحكومية الإقليمية تكثف جهودها في مجال الأمن السيبراني، الأمر يدفع مجموعات التهديدات المتقدمة المستمرة إلى التفكير بطرق مبتكرة.