تطورات تقنية جديدة .. عصابتا تجسس إلكتروني هاجم بعضهما بعضا في 2014
تمكنت شركة كاسبر سكي لاب من رصد حالة نادرة وغير مألوفة وهي قيام قراصنة الإنترنت بمهاجمة بعضهم بعضا في عام 2014. حيث تعرضت "هيلسينج" وهي عصابة تجسس عبر الإنترنت صغيرة الحجم وغالبا ما تستهدف الجهات الحكومية والمنظمات الدبلوماسية في آسيا لهجوم تصيد إلكتروني من قبل عصابة قراصنة آخرين فما كان منها إلا أن قامت بشن هجوم معاكس على المصدر. حيث وصفت "كاسبر سكي لاب" هذه الحالة ببداية ظهور نزعة جديدة في عالم الجريمة الإلكترونية، التي تعرف باسم حروب الهجمات المتقدمة المستمرة APT.
وجاء هذا الاكتشاف عن طريق مختصي "كاسبر سكي لاب" أثناء قيامهم بإجراء بحث حول نشاط "نيكون" وهي عصابة تجسس إلكتروني تستهدف منظمات في آسيا والمحيط الهادئ. ولاحظ المختصون أن أحد أهداف "نيكون" هو تمكنها من رصد هجوم يستهدف إصابة أنظمتها عن طريق رسالة بريد إلكتروني تحتوي على مرفقات خبيثة.
ولاحظ الباحثون أن الهدف قد تحقق من صحة البريد الإلكتروني من المرسل ولكنه على ما يبدو كان غير مقتنع بالرد الذي تلقاه من المرسل وبالتالي امتنع عن فتح المرفق. وبعد ذلك بوقت قصير قام الهدف بإرسال رسالة عبر البريد الإلكتروني تحمل البرمجية الخبيثة نفسها، التي يستعملها الهدف. وقد شكلت هذه الحالة حافزا قويا لتكثيف التحقيق في "كاسبر سكي لاب"، الذي أدى إلى اكتشاف عصابة التجسس الإلكتروني "هيلسينج". ويشير تكتيك الهجوم المضاد إلى أن عصابة "هيلسينج" قد أرادت تحديد هوية عصابة "نيكون" وجمع معلومات استخباراتية عنها.
وكشفت التحليلات المتعمقة التي أجرتها "كاسبر سكي لاب" حول مخاطر هجمات عصابة "هيلسينج" عن وجود سلسلة من وسائل التصيد الاحتيالي عبر رسائل البريد الإلكتروني تحتوي على برمجيات خبيثة صممت بهدف نشر برمجيات التجسس في مؤسسات مختلفة. وبالتالي عندما تقوم الضحية بفتح المرفق المحمل بالبرمجية الخبيثة يصاب نظامها بهذه البرمجية الخبيثة المزودة بخاصية تشغيل برنامج التسلل Backdoor القادر على تحميل الملفات وتحديث وإلغاء تثبيته ذاتيا. ووفقا لإحصائيات توصلت إليها "كاسبر سكي لاب" بلغ عدد المؤسسات المستهدفة من قبل عصابة "هيلسينج" نحو 20 مؤسسة.
وتمكنت "كاسبر سكي لاب" من رصد ومنع برمجيات خبيثة لعصابة "هيلسينج" في ماليزيا والفلبين والهند وإندونيسيا والولايات المتحدة، علما بأن معظم الضحايا يتركزون في ماليزيا والفلبين. وما يميز المهاجمين أيضا أنهم انتقائيون للغاية من حيث نوع المؤسسات المستهدفة حيث يركزون في الأغلب على استهداف الجهات الحكومية والدبلوماسية.
وقال كوستين ريو مدير فريق الأبحاث والتحليل العالمي في "كاسبرسكي لاب"، إن استهداف عصابة "نيكون" من قبل عصابة "هيلسينج" هو اكتشاف مثير للدهشة. لقد شهدنا في الماضي قيام عصابات APT بمهاجمة بعضهم بعضا من غير قصد من حين لآخر وذلك أثناء محاولات سرقة دفاتر عناوين من الضحايا ومن ثم إرسال رسائل عشوائية عبر البريد الإلكتروني لكل شخص مدرج في هذه القوائم. إلا أنه وبالمقارنة بين الجهة الهدف ومصدر الهجوم يتبين أن هذه الحالة متعمدة". الجدير بالذكر أن مهاجمي عصابة "هيلسينج" ينشطون منذ عام 2012 وهم لا يزالون كذلك حتى الآن وفقاً لتحليل "كاسبر سكي لاب".
وقدمت "كاسبر سكي لاب" نصائح لطرق الحماية من هذه التهديدات قائلة: تجنبوا فتح المرفقات المشبوهة المرسلة إليكم من أشخاص مجهولين. واحذروا من مكتبات الأرشيف المحمية بكلمات مرور التي تحتوي بداخلها على ملفات بصيغة SCR، أو غيرها من الملفات القابلة للتنفيذ. وفي في حال كنتم غير متأكدين من المرفق، حاولوا فتحه في Sandbox. وتأكدوا من وجود نظام تشغيل حديث مثبت لديكم مزود بمزايا الحماية الأمنية كافة. وقوموا بتحديث تطبيقات الطرف الثالث كافة مثل، مايكروسوفت أوفيس جافا أدوبي فلاش بلاير وبرنامج أدوبي ريدر.