• ×

07:20 مساءً , الجمعة 17 جمادي الثاني 1440 / 22 فبراير 2019

مجموعتا قرصنة سيئتا السمعة تتشاركان البنية التحتية التخريبية نفسها

زيادة حجم الخط مسح إنقاص حجم الخط
جدة - علي السعدي 
حدّد خبراء لدى كاسبرسكي لاب تداخلاً في الهجمات الإلكترونية بين مجموعتي قرصنة خطرتين وسيئتي السمعة، هما GreyEnergy، التي يُعتقد أنه حلّت محلّ مجموعة BlackEnergy، ومجموعة Sofacy الشهيرة بالتجسس الإلكتروني. وتستخدم المجموعتان الخوادم نفسها، وبالتزامن، من أجل الوصول إلى أغراض مختلفة.
وتعتبر مجموعتا القرصنة BlackEnergy وSofacy اثنتين من المجموعات التخريبية الناشطة في المشهد الإلكتروني الحديث. وقد أدّت أنشطتهما في كثير من الأحيان إلى عواقب وخيمة على المستوى الوطني. وتسببت BlackEnergy في واحدة من أكثر الهجمات الإلكترونية ضرراً في التاريخ والتي استهدفت منشآت الطاقة الأوكرانية في العام 2015، مسببة انقطاعات واسعة في التيار الكهربائي. وفي الوقت نفسه، شنّت مجموعة Sofacy هجمات تخريبية مدمرة على العديد من الجهات الحكومية الأمريكية والأوروبية، إلى جانب أجهزة تابعة للأمن القومي والمخابرات. وكان يشتبه في السابق بوجود علاقة بين المجموعتين، ولكن هذا الأمر لم يثبت حتى الآن، بعد أن كُشف النقاب عن أن مجموعة GreyEnergy التخريبية، التي خلَفت BlackEnergy، تستخدم برمجيات تخريبية للهجوم على أهدافٍ ضمن البنية التحتية الصناعية والحيوية، غالباً في أوكرانيا، مُظهرة تشابهاً كبيراً في التركيبة الهيكلية مع BlackEnergy.
وعثر فريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية ICS CERT لدى كاسبرسكي لاب، وهو الفريق المسؤول عن الأبحاث المتعلقة بالتهديدات المحدقة بالنظم الصناعية وإزالتها، خادمين في أوكرانيا والسويد يستُخدمان بالتزامن من قبل المجموعتين التخريبيتين منذ يونيو 2018. استخدمت مجموعة GreyEnergy الجهازين الخادمين في حملة تصيّد لتخزين ملف خبيث يتمّ تنزيله على أجهزة المستخدمين عند فتحهم مستنداً نصياً مرتبطاً بالبريد الإلكتروني التصيّدي. وفي الوقت نفسه، استخدمت Sofacy الخادمين كمركز للقيادة والتحكم ببرمجياتها الخبيثة. ويمكن القول إن الاستخدام المشترك بين المجموعتين التخريبيتين لفترة قصيرة يعني أن الخادمين شكّلا بنية تحتية مشتركة لهما. وقد تأكّد هذا الأمر بعد ملاحظة استهداف إحدى المجموعتين شركة ما بعد أسبوع من استهدافها من المجموعة الأخرى برسائل بريد إلكتروني تصيدية موجهة. كذلك استخدمت المجموعتان وثائق تصيد مماثلة أرسلت تحت ستار رسائل بريد إلكتروني واردة من وزارة الطاقة في جمهورية كازاخستان.
وقالت ماريا غارنيفا الباحثة الأمنية في فريق ICS CERT لدى كاسبرسكي لاب، إن البنية التحتية التي تمّ استغلالها وتبيّن أنها مشتركة بين هاتين المجموعتين قد تشير إلى "تعاون قائم بين المجموعتين التخربيتين الناطقتين باللغة الروسية"، وأضافت: "يقدّم هذا الأمر فكرة وصورة أوضح عن القدرات المشتركة والأهداف التي يمكن الوصول إليها والأغراض المحتمل تحقيقها، وتثري هذه النتائج التي توصلنا إليها المعرفة العامة حول GreyEnergy وSofacy، اللتين كلما استطعنا في مجال الأمن الإلكتروني معرفة المزيد عن تكتيكاتهما وأساليبهما وإجراءاتهما، أمكن لخبرائنا تحسين مستوى التعامل معهما وحماية العملاء من شرور هجماتهما المتطورة".
وتنصح كاسبرسكي لاب الشركات باتخاذ الإجراءات التالية من أجل حماية نفسها من هجمات هذه المجموعات التخريبية بتدريب الموظفين تدريباً متخصّصاً على الأمن الإلكتروني لتمكينهم من التحقق دائماً من عنوان الرابط والبريد الإلكتروني للمرسلين قبل النقر على أي شيء في الرسائل الواردة وتقديم مبادرات أمنية توعوية تشمل التدريب بطريقة ترفيهية مع تقييم المهارات وتعزيزها من خلال تكرار محاكاة هجمات التصيد وتفعيل التحديث المؤتمت لأنظمة التشغيل وبرمجيات التطبيقات والحلول الأمنية على الأنظمة التي تعد جزءاً من شبكات تقنية المعلومات والشبكات الصناعية في الشركات والمؤسسات وتوظيف حلول حماية متخصصة، مزوّدة بتقنيات مكافحة التصيّد القائمة على السلوك، وتقنيات مكافحة الهجمات الموجهة، فضلاً عن تغذية الأنظمة بالمعلومات المتعلقة بالتهديدات، وذلك مثل حلّ Kaspersky Threat Management and Defense solution للتعامل مع التهديدات والتصدي لها، فهذه الحلول قادرة على اكتشاف الهجمات الموجهة المتقدمة ومنعها من خلال تحليل أي سلوك شاذّ في حركة البيانات عبر الشبكة ومنح فرق الأمن الإلكتروني رؤية كاملة في أنحاء الشبكة وأتمتة الاستجابة عند اقتضاء الحاجة.
بواسطة : علي السعدي
 0  0  68
التعليقات ( 0 )