“أظهرت المجموعة التي تتخذ من إيران مقراً لها نشاطاً متزايداً، بعدما استهدفت الاتصالات وسلاسل التوريد لدعم مراقبة الأهداف على نطاق واسع”.

فريق الاستجابة لتهديدات الأمن الإلكتروني في سيمانتك

 

قامت مجموعة Chafer، مجموعة القراصنة الإلكترونيين التي تتخذ من إيران مقراً لها، بالمزيد من الهجمات في العام 2017، بعدما هاجمت المزيد من المؤسسات داخل منطقة الشرق الأوسط وخارجها، ونشرت أدوات جديدة عدة. وشنت Chafer مجموعة من الهجمات الجديدة الطموحة في العام الماضي، من بينها اختراق مجموعة من مزودى خدمات الاتصال الرئيسيين في المنطقة، بالإضافة إلى وجود أدلة تشير إلى قيامها بمهاجمة شركة دولية كبرى لحجوزات السفر. ومن طبيعة الهجمات، يبدو أن Chafer تعمل في الاساس على مراقبة الأفراد وتتبعهم، حيث أن معظم هجماتها تكون بهدف جمع معلومات عن الأهداف أو تسهيل المراقبة.

ونشطت المجموعة منذ العام 2014، وكانت سيمانتك  أول من كشف عن نشاطها في العام 2015، عندما وجدت أنها تقوم بمراقبة أهداف محلية وعالمية. وكانت العديد من أهداف المجموعة في هذا الوقت داخل إيران وكانت بدأت بالفعل في اختراق مزودي خدمات الاتصال وشركات الطيران في منطقة الشرق الأوسط.

عمليات المجموعة وتوسعها

ولم تتأثر المجموعة بتعرضها للكشف في العام 2015، واستمرت في نشاطها الذي ازداد في العام 2017 مستخدمة أدوات وبنية تحتية جديدة ومهاجمة تسع مؤسسات جديدة في المنطقة في دول مثل المملكة الأردنية ودولة الإمارات العربية المتحدة والمملكة العربية السعودية وتركيا.

واستهدفت الهجمات قطاعات مثل خطوط الطيران وخدمات الطائرات والبرامج وخدمات تكنولوجيا المعلومات التي تعمل مع شركات النقل البحرية والجوية وخدمات الاتصالات وخدمات الرواتب والاستشارات الهندسية وبرامج إدارة الوثائق.

أهداف جديدة طموحة

وتعرض أحد مزودي خدمات الاتصالات في منطقة الشرق الأوسط، الذي يعمل في مجال بيع حلول لمشغلى الاتصالات المتعددة في المنطقة، إلى هجوم في العام 2017 من قبل مجموعة Chafer، وكان الهدف الأساسي من الهجمة، هو مراقبة عملاء مشغلي الاتصالات، وهو ما يعني صعود المجموعة درجتين في سلسلة التوريد وسهولة مراقبة عدد كبير من المستخدمين النهائيين.

ووجدت سيمانتك، بجانب الدلائل الموجودة على حدوث اختراق في هذه المؤسسة، نسخة من ملفات الشركة متعلقة بأحد برامج المراسلة الخاصة بها على خادم يخص بمجموعة Chafer، جنبا إلى جنب مع أدوات القرصنة التي يستخدمها المهاجمون.

كيف نجحت Chafer في اختراق أهدافها

وجدت سيمانتك أنه في هجمات المجموعة  في العام 2015، يوجد دلائل على قيام Chafer بالهجوم عل خوادم الشبكة الخاص بالمؤسسة عن طريق هجمات حقن SQL (حقن تعليمات الاستعلام البنيوية)، من أجل تثبيت أحد البرمجيات الخبيثة على أحد هذه الخوادم. وفي العام 2017 أضافت المجموعة مجموعة أدوات اختراق جديدة، تساعدها على استخدام ملفات وثائق مصابة، من المرجح أنه يتم نشرها بأسلوب رسائل التصيد الاحتيالي الإلكترونية، التي يتم إرسالها إلى الأفراد العاملين في المؤسسة المستهدفة.

أدوات جديدة لاختراق الشبكات

ووجدت سيمانتك أن مجموعة Chafer تستخدم سبع أدوات جديدة في هجماتها الأخيرة بالإضافة إلى البرمجيات الخبيثة التي سبق واستخدمتها في هجمات أخرى، وهي أدوات مجانية متاحة تم استغلالها في الاختراقات:

  • Remcom: برمجية مفتوحة المصدر بديلة لبرمجية PsExes من مايكروسوفت الخاصة بإيقاف المعالجة في الأنظمة الأخرى.
  • – Non-sucking Service Manager (NSSM):
  • خدمة مفتوحة المصدر بديلة لخدمة Windows Service Manager والتي تعمل على إزالة الخدمات أو إعادة تشغيل الخدمات في حال تعطلها.
  • – أداة مخصصة لتصوير الشاشة.
  • – أدوات SMB للاختراق:
  • تعمل بتنسيق مع أدوات أخرى لاختراق الشبكات المستهدفة، وتشمل هذه الأدوات EternalBlue التي تم استخدامها في هجمات الفدية الأخيرة WannaCry وPetya.
  • – GNU HTTPTunnel:
  • أداة مفتوحة المصدر قادرة على فتح نفق HTTP ثنائي الاتجاه في أجهزة الحاسوب التي تعمل بأنظمة Linux، من أجل إتاحة اتصالات تتجاوز جدار الحماية الخاص بالمؤسسة.
  • – UltraVNC:
  • أداة مفتوحة المصدر للتحكم عن بعد تعمل على نظام ويندوز من مايكروسوفت.
  • -NBTScan:
  • أداة مجانية تقوم بعمل مسح لبروتوكل الإنترنت الخاص بالشبكات من أجل الحصول على معلومات تخص إسم NetBIOS.

تنامي التهديدات التي تواجه مؤسسات منطقة الشرق الأوسط

وأظهرت المجموعة نشاطاً كبيراً في الفترة الأخيرة، وتعمل باستمرار على ترقية وتطوير أدواتها وأسلوبها، بالإضافة إلى أنها أصبحت أكثر جرأة في اختيارها للأهداف. وعلى الرغم من أن المجموعة نشطة إقليمياً، إلا أنها اتبعت توجهات عالمية في هجماتها، ويرجع هذا إلى أن الأدوات المستخدمة في الهجمات العالمية متاحة بشكل مجاني وحر، وتعمل المجموعة بأسلوب “العيش بعيداً عن الأرض”، حيث تقلل من استخدامها للبرمجيات الضارة ليصعب اكتشافها على شبكة الضحية، وحتى في حال اكتشاف الهجوم سيصبح من الصعب تحديد المجموعة المهاجمة.

الحماية

تمتلك سيمانتك الأدوات التالية من أجل توفير الحماية اللازمة لعملائها أمام الهجمات:

حماية قائمة على الملفات:

 

حماية قائمة على الشبكة:

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s