قالت شركة «كاسبرسكي لاب» إنها اكتشفت موجة جديدة من الهجمات التي تستهدف القطاعات الصناعية والهندسية في عدة بلدان حول العالم، مشيرة إلى العصابة الالكترونية انتحلت صفة بنك في دولة الإمارات، وأرسلت برمجيات خبيثة للضحايا بهدف السطو على مجموعة بيانات جديدة مهمة مخزنة لدى شبكات المؤسسات المستهدفة.
وبحسب الشركة الروسية المتخصصة في أمن المعلومات فإنه وباستخدام رسائل التصيد الإلكتروني والبرمجيات الخبيثة من خلال حزمة برمجيات التجسس، تحاول عصابة الكترونية تم رصدها استهداف مئات الشركات حول العالم، ونجحت بالفعل في تنفيذ هجمات ضد أكثر من 130 شركة تنتمي إلى 30 بلداً في العالم، بينها دول عربية.
وحسب «كاسبرسكي لاب» فإن الهجمات الناجحة حتى الآن استهدفت منشآت صناعية في كل من الإمارات ومصر والسعودية وبريطانيا وإسبانيا وباكستان.
وفي شهر يونيو الماضي عثر باحثو الشركة على موجة من رسائل التصيد الإلكتروني تحمل مرفقات ملغمة ببرمجيات خبيثة، وكان يتم توجيه هذه الرسائل على الأغلب إلى العديد من المدراء في الشركات.
وكانت رسائل البريد الإلكتروني الخبيثة المرسلة من قبل المهاجمين تبدو أنها موجهة من أحد البنوك في دولة الإمارات العربية المتحدة: بمعنى أنها كانت تبدو على شكل استشارات تتعلق بعمليات الدفع الواردة من أحد البنوك مرفق معها رمز الـSWIFT إلا أن الأرشيف المرفق في الواقع يتضمن برمجية خبيثة.
وبإجراء المزيد من التحقيقات من قبل الباحثين في «كاسبرسكي لاب» تبين أن حملة رسائل التصيد الإلكتروني كان على الأرجح قد تم إعدادها وتنظيمها من قبل مجموعة من مجرمي الانترنت، إلا أن باحثي الشركة قد تمكنوا اكتشافها وتتبعها منذ آذار/مارس 2015. كما تبين أن هجمات يونيو كانت أحدث الهجمات الموجهة التي شنت من قبل هذه العصابة.
وتستند البرمجيات الخبيثة المتضمنة في مرفقات البريد الإلكتروني على برنامج التجسس التجاري المعروف باسم HawkEye والذي يباع علنًا عبر منصة Darkweb ويوفر للقراصنة مجموعة متنوعة من الأدوات التي تساعدهم على شن تلك الهجمات.
وبعد الانتهاء من تثبيت هذا البرنامج، يتمكن أفراد العصابة الإلكترونية من جمع بيانات مهمة من كومبيوتر الضحية، بما فيها: نقرات المفاتيح، وبيانات الحافظة، وبيانات التعريف الأمنية للخادم (FTP) وبيانات الحساب من المتصفحات.
كما تشمل البيانات المهمة كشوفات الحساب من عملاء التراسل وكشوفات الحساب من العملاء المدرجين في جهات الاتصال عن طريق رسائل البريد الإلكتروني، ومعلومات عن التطبيقات المثبتة.
وأشارت «كاسبرسكي لاب» إلى أن جميع الشركات المستهدفة تحتفظ بمعلومات قيمة من الممكن بيعها لاحقا في السوق السوداء، وبالتالي فإن المكاسب المالية هي الدافع الرئيسي للمهاجمين الذين يقفون وراء الحملة.
وقد أطلق باحثو «كاسبرسكي لاب» على هذه الحملة اسم (Operation Ghoul) وهي ليست سوى واحدة فقط من بين العديد من الحملات الخبيثة الأخرى التي يفترض أنه يتم التحكم بها من قبل العصابة ذاتها. وهذه العصابة لا تزال نشطة حتى الآن.
وقال الخبير الأمني في الشركة محمد أمين حاسبيني «إن كلمة (غول) تعني في التراث الشعبي القديم، الروح الشريرة التي تفترس اللحم البشري وتطارد الأطفال. واليوم، يتم استخدام هذا المصــطلح في بعض الأحيان لوصف الفرد الجشع أو المادي. وهذا في الواقع هو الوصف الدقيق للعصابة التي تقف وراء حملة (Operation Ghoul).
وأضاف إن الدافع الرئيسي لها هو تحقيق مكاسب مالية ناتجة إما من مبيعات الملكية الفكرية أو استخبارات الأعمال أو اختراق الحسابات المصرفية لضحاياها. وعلى عكس الحملات الخبيثة التي ترعاها جهات حكومية، والتي تختار أهدافها بعناية فائقة، فإن هذه العصابة الإلكترونية وغيرها من العصابات المماثلة قد تقوم بشن هجمات على أي شركة.
وأوضح أنه «وعلى الرغم من أنها تستخدم أدوات خبيثة تتسم بالبساطة نوعًا ما، إلا أنها فعالة جدًا في تلك الهجمات. وبالتالي، إن أي شركة لم تقم بعد باتخاذ الاستعدادات اللازمة لمنع تلك الهجمات، معرضة لمواجهة مخاطر جدية مع الأسف».