«بالو ألتو نتوركس» ترصد هجمات إلكترونية تستهدف الهيئات الحكومية في الشرق الأوسط

شركة بالو ألتو نتوركس

رصدت بالو ألتو نتوركس، المتخصصة في تطوير الجيل التالي للحلول الأمنية، هجمات جديدة ومتعدّدة لمجموعة مجموعة أويلريغ OilRig المتخصصة في الجرائم الإلكترونية في الفترة ما بين شهري مايو ويونيو 2018 والتي بدت وكأنها تصدر من هيئة حكومية تقع في منطقة الشرق الأوسط.

وبناءً على مجموعة من تكتيكات أويلريغ التي تم رصدها سابقاً، من المحتمل جداً أن تكون مجموعة التهديد قد استفادت من بيانات الاعتماد والحسابات التي قامت باختراقها، لاستخدام الهيئة الحكومية المستهدفة كمنصة لإطلاق هجماتها الحقيقية. 

استهدفت هذه الهجمات إحدى الهيئات الحكومية، بالإضافة إلى شركة متخصصة في تزويد الخدمات التكنولوجية، وكلاهما في نفس البلد، فضلاً عن ذلك، عمدت مجموعة إويلريغ على إظهار الهجمات ضد هذه الأهداف على أنها صادرة عن هيئات أخرى من نفس البلد.

لكن المهاجمين الفعليين المنفذين للهجمات كانوا خارج البلد بالطبع، وقد استخدموا على الأرجح بيانات اعتماد مسروقة من المؤسسة التي حولوها إلى وسيط لتنفيذ هجماتهم. 

وحمّلت المجموعة خلال هجومها برمجية تسلل من الباب الخلفي backdoor، تحتوي على نص برمجي ضارPowerShell، تُدعى QUADAGENT، وقد نسبت كل من شركة كليرسكاي سايبر سكيورتي و فايرآي هذه البرمجية الخبيثة إلى مجموعة أويلريغ.

وقد تمكنا أيضاً، من خلال تحليلاتنا الخاصة، من تأكيد إسناد هذه البرمجية إلى مجموعة أويلريغ وذلك عن طريق فحص أدوات وأساليب محددة تم استخدامها من قبل مجموعة أويلريغ في السابق، بالإضافة إلى فحص التكتيكات التي أعيد استخدامها في هجمات سابقة أيضاً.

أضافت الشركة إن استخدام برمجيات التسلل من الباب الخلفي backdoors والقائمة عن البرامج النصية الضارة هي طريقة شائعة تستخدمها مجموعة أويلريغ حسب الهجمات التي قمنا بتوثيقها في وقت سابق، لكن ضم هذه النصوص مع بعضها في ملف واحد قابل للتنفيذ PE يعتبر تكتيكاً جديداً لم نشهد مجموعة أويلريغ تقوم به بشكل متكرر في السابق.

ويمكن الحصول على التحليل التفصيلي لبرمجية QUADAGENT وعلاقتها بمجموعة أويلريغ من خلال الملحق في نهاية هذه المدونة. البرمجية QUADAGENT هي البرمجية الثانية عشرة التي تم تصميمها حسب الطلب، وقد قامت الوحدة 42 بتوثيق استخدام مجموعة أويلريغ لهذه البرمجية في هجماتها. 

ولاتزال مجموعة أويلريغ OilRig المتخصصة في الجرائم الإلكترونية مستمرة في تغيير تكتيكاتها وتكييفها، بالإضافة إلى قيامها بتعزيز مجموعة الأدوات التي تستخدمها وذلك من خلال إضافة أدوات جديدة ومطوّرة حديثاً.

 مجموعة أويلريغ، والتي تسمى أيضاً بـ APT34 أو Helix Kitten، هي عبارة عن مجموعة تهديد إلكترونية متخصصة بعمليات التجسس، تنشط في منطقة الشرق الأوسط في المقام الأول.

وقد اكتشفت بالو ألتو نتوركس هذه المجموعة لأول مرة في منتصف عام 2016 على الرغم من أنها قد تكون بدأت أنشطتها التجسسية قبل ذلك التاريخ. وقد أظهر أعضاء هذه المجموعة أنفسهم على أنهم خصوم لا يُستهان بهم، يعملون بشكل متواصل، وبوتيرة مستمرة، ولا يظهرون أية بوادر لإبطاء هجماتهم. وبمقارنة سلوكياتها السابقة مع الحوادث والهجمات الحالية، تبين أن عمليات مجموعة أويلريغ مستمرة، ومن المرجح أن تتسارع بشكل أكبر في المستقبل القريب. 

قال براين لي، المحلل المتخصص في استقصاء التهديدات الإلكترونية لدى بالو ألتو نتوركس، إن ماتزال مجموعة أويلريغ متواجدة بقوة كمجموعة تهديد تنشط باستمرار في منطقة الشرق الأوسط. وعلى الرغم من أن تقنيات هذه المجموعة التي تستخدمها بسيطة إلى حد ما، إلا أن الأدوات المختلفة التي نعتبرها جزء من ترسانتها تكشف عن تطور واسع تشهده هذه المجموعة.

ومثالاً على ذلك، قامت المجموعة بإظهار سلوك نموذجي تتبعه عادة مجموعات التهديد الأخرى، إلا أنها أعادت استخدام الأداة ذاتها في هجمات متعددة، لكن كان لكل هجمة تعديلاتها الخاصة من خلال تغيير البنية التحتية أو إضافة مزيد من مستويات التضليل، وإعادة تجميع الأدوات بحيث تظهر كل عينة مختلفة بدرجة كافية لتجاوز برامج الحماية الأمنية.

أضاف أن إحدى السمات الأساسية التي يجب تذكرها دوماً عندما يتعلق الأمر بمثل مجموعات التهديد هذه، هي أنها دوماً تتبع المسارات الدفاعية الأقل مقاومة في هجماتها، طالما باستطاعتها تنفيذ مهمتها في نهاية الأمر. 

 

اترك تعليقاً

البريد الالكترونى الخاص بك لن يتم نشره. حقول مطلوبة *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>