خبراء يحذرون من زيادة هجمات مجموعة مجرمي الإنترنتOilRig APT بالشرق الأوسط وتركيا
كشف خبراء أمن المعلومات عن سلسلة من الهجمات من جانب مجموعة مجرمي الإنترنت OilRig المتخصصة في التهديدات المتقدمة المستمرة والتي تمارس نشاطها في الشرق الأوسط وتركيا لأكثر من عقد من الزمان وتركز المجموعة على استهداف الجهات الحكومية في جميع أنحاء الشرق الأوسط وتركيا وإفريقيا لأغراض التجسس الإلكتروني.
مجموعة مجرمي الإنترنت
وفي العادة، تستخدم مجموعة مجرمي الإنترنت ذاتها تكتيكات الهندسة الاجتماعية، كما تستغل البرامج ونقاط الضعف التقنية في شبكات ضحاياها. ومع ذلك، لاحظ خبراء كاسبرسكي أن المجموعة قامت بتحديث ترسانة أدواتها، إذ تلجأ إلى طرق خبيثة وأكثر سرية لاختراق أهدافها من خلال شركات سلسلات التوريد لتكنولوجيا المعلومات التابعة لضحاياها.
واكتشف الخبراء أن هذه المجموعة قامت بتنفيذ نصوص برمجية من نوع PowerShell، بهدف الوصول إلى الخوادم الطرفية في شركات تكنولوجيا المعلومات في المنطقة، حتى تتمكن من جمع بيانات الاعتماد والبيانات الحساسة حول أهدافهم. واستخدمت المجموعة المعلومات المسروقة للتسلل إلى أهدافها ونشر عينات من البرامج الخبيثة التي اعتمدت على واجهة تطبيقات البرامج Microsoft Exchange Web Services لإجراء اتصالات القيادة والتحكم (C2) ومن ثم سرقة البيانات. وتبيّن أن البرنامج الذي استهدفه التحقيق يعتبر نوعًا من البرامج الخبيثة القديمة التي تستخدمها مجمعة OilRig.
ولضمان الوصول بطريقة متخفية ومستمرة، نشرت المجموعة عامل تصفية جديد لكلمات المرور (password filter) يعتمد على مكتبة الرموز والبيانات (DLL)، ليتمكنوا في نهاية المطاف من اعتراض أي محاولات لتغيير كلمات المرور إن تم تغييرها. وأتاحت هذه العملية للمهاجمين تلقي كلمات مرور محدثة، إلى جانب بيانات أخرى مسروقة وحساسة مرسلة من خدمات البريد الإلكتروني لأهدافهم إلى عناوين على منصتي البريد الإلكتروني Protonmail وGmail عبر الإنترنت التي يتحكم فيها مجرمى الإنترنت.
استغلال شركات تكنولوجيا المعلومات
وقال ماهر يموت، باحث أمني أول في فريق البحث والتحليل العالمي لدى كاسبرسكي: " لقد نجحت مجموعة OilRig بالتخفي بمستوى أعلى بالاعتماد على تكتيكاتها وتقنياتها وإجراءاتها المعقدة والمعدلة بشكل كبير، الأمر الذي أتاح لها استغلال شركات تكنولوجيا المعلومات التابعة لجهات خارجية.
وأظهر التحقيق الذي أجريناه أن هجمات الطرف الثالث تكون أكثر سرية وخفية، وتبقى غير مكتشفة مقارنة بالتكتيكات الأخرى، لتشكل بذلك خطرًا جسيمًا على عمل المؤسسات الحكومية في هذه المنطقة. وبناءً على ذلك، يعتبر التحول الجذري في سبل التسلل إلى شركات تكنولوجيا المعلومات التي تشكل جزءًا من سلسلة التوريد، مؤشرًا على أن المؤسسات الحكومية الإقليمية تكثف جهودها في مجال الأمن السيبراني، الأمر يدفع مجموعات التهديدات المتقدمة المستمرة إلى التفكير بطرق مبتكرة".
ونقدم لكم من خلال موقع (فيتو)، تغطية ورصدًا مستمرًّا على مدار الـ 24 ساعة لـ أسعار الذهب، أسعار اللحوم، أسعار الدولار، أسعار اليورو، أسعار العملات، أخبار الرياضة، أخبار مصر، أخبار الاقتصاد، أخبار المحافظات، أخبار السياسة، أخبار الحوادث، ويقوم فريقنا بمتابعة حصرية لجميع الدوريات العالمية مثل الدوري الإنجليزي، الدوري الإيطالي، الدوري المصري، القسم الثاني، دوري أبطال أوروبا، دوري أبطال أفريقيا، دوري أبطال آسيا، والأحداث الهامة والسياسة الخارجية والداخلية بالإضافة للنقل الحصري لـ أخبار الفن والعديد من الأنشطة الثقافية والأدبية.
