قامت مجموعة Chafer مجموعة القراصنة الإلكترونيين التي تتخذ من إيران مقراً لها، بالمزيد من الهجمات في العام 2017، بعدما هاجمت المزيد من المؤسسات داخل منطقة الشرق الأوسط وخارجها، ونشرت أدوات جديدة عدة.
وشنت Chafer مجموعة من الهجمات الجديدة الطموحة في العام الماضي، من بينها اختراق مجموعة من مزودى خدمات الاتصال الرئيسيين في المنطقة، بالإضافة إلى وجود أدلة تشير إلى قيامها بمهاجمة شركة دولية كبرى لحجوزات السفر.
ومن طبيعة الهجمات، يبدو أن Chafer تعمل في الأساس على مراقبة الأفراد وتتبعهم، حيث أن معظم هجماتها تكون بهدف جمع معلومات عن الأهداف أو تسهيل المراقبة.
ونشطت المجموعة منذ العام 2014، وكانت سيمانتك أول من كشف عن نشاطها في العام 2015، عندما وجدت أنها تقوم بمراقبة أهداف محلية وعالمية، وكانت العديد من أهداف المجموعة في هذا الوقت داخل إيران وكانت بدأت بالفعل في اختراق مزودي خدمات الاتصال وشركات الطيران في منطقة الشرق الأوسط.
عمليات المجموعة وتوسعها
لم تتأثر المجموعة بتعرضها للكشف في العام 2015، واستمرت في نشاطها الذي ازداد في العام 2017 مستخدمة أدوات وبنية تحتية جديدة ومهاجمة تسع مؤسسات جديدة في المنطقة في دول مثل المملكة الأردنية ودولة الإمارات العربية المتحدة والمملكة العربية السعودية وتركيا.
واستهدفت الهجمات قطاعات مثل خطوط الطيران وخدمات الطائرات والبرامج وخدمات تكنولوجيا المعلومات التي تعمل مع شركات النقل البحرية والجوية وخدمات الاتصالات وخدمات الرواتب والاستشارات الهندسية وبرامج إدارة الوثائق.
أهداف جديدة طموحة
تعرض أحد مزودي خدمات الاتصالات في منطقة الشرق الأوسط، الذي يعمل في مجال بيع حلول مشغلي الاتصالات المتعددة في المنطقة، إلى هجوم في العام 2017 من قبل مجموعة Chafer وكان الهدف الأساسي من الهجمة، هو مراقبة عملاء مشغلي الاتصالات، وهو ما يعني صعود المجموعة درجتين في سلسلة التوريد وسهولة مراقبة عدد كبير من المستخدمين النهائيين.
ووجدت سيمانتك، بجانب الدلائل الموجودة على حدوث اختراق في هذه المؤسسة، نسخة من ملفات الشركة متعلقة بأحد برامج المراسلة الخاصة بها على خادم يخص بمجموعة Chafer، جنبًا إلى جنب مع أدوات القرصنة التي يستخدمها المهاجمون.
كيف نجحت Chafer في اختراق أهدافها
وجدت سيمانتك أنه في هجمات المجموعة في العام 2015، يوجد دلائل على قيام Chafer بالهجوم على خوادم الشبكة الخاص بالمؤسسة عن طريق هجمات حقن SQL “حقن تعليمات الاستعلام البنيوية”، من أجل تثبيت أحد البرمجيات الخبيثة على أحد هذه الخوادم.
وفي العام 2017 أضافت المجموعة مجموعة أدوات اختراق جديدة، تساعدها على استخدام ملفات وثائق مصابة، من المرجح أنه يتم نشرها بأسلوب رسائل التصيد الاحتيالي الإلكترونية، التي يتم إرسالها إلى الأفراد العاملين في المؤسسة المستهدفة.
أدوات جديدة لاختراق الشبكات
ووجدت سيمانتك أن مجموعة Chafer تستخدم سبع أدوات جديدة في هجماتها الأخيرة بالإضافة إلى البرمجيات الخبيثة التي سبق واستخدمتها في هجمات أخرى، وهي أدوات مجانية متاحة تم استغلالها في الاختراقات:
- Remcom: برمجية مفتوحة المصدر بديلة لبرمجية PsExes من مايكروسوفت الخاصة بإيقاف المعالجة في الأنظمة الأخرى.
- Non-sucking Service Manager” NSSM“: خدمة مفتوحة المصدر بديلة لخدمة Windows Service Manager والتي تعمل على إزالة الخدمات أو إعادة تشغيل الخدمات في حال تعطلها.
- أداة مخصصة لتصوير الشاشة.
- أدوات SMB للاختراق: تعمل بتنسيق مع أدوات أخرى لاختراق الشبكات المستهدفة، وتشمل هذه الأدوات EternalBlue التي تم استخدامها في هجمات الفدية الأخيرة WannaCry وPetya.
- GNU HTTPTunnel: أداة مفتوحة المصدر قادرة على فتح نفق HTTP ثنائي الاتجاه في أجهزة الحاسوب التي تعمل بأنظمة Linux، من أجل إتاحة اتصالات تتجاوز جدار الحماية الخاص بالمؤسسة.
- UltraVNC: أداة مفتوحة المصدر للتحكم عن بعد تعمل على نظام ويندوز من مايكروسوفت.
- NBTScan: أداة مجانية تقوم بعمل مسح لبروتوكل الإنترنت الخاص بالشبكات من أجل الحصول على معلومات تخص إسم NetBIOS.
تنامي التهديدات التي تواجه مؤسسات منطقة الشرق الأوسط
أظهرت المجموعة نشاطاً كبيراً في الفترة الأخيرة، وتعمل باستمرار على ترقية وتطوير أدواتها وأسلوبها، بالإضافة إلى أنها أصبحت أكثر جرأة في اختيارها للأهداف، وعلى الرغم من أن المجموعة نشطة إقليمياً، إلا أنها اتبعت توجهات عالمية في هجماتها، ويرجع هذا إلى أن الأدوات المستخدمة في الهجمات العالمية متاحة بشكل مجاني وحر، وتعمل المجموعة بأسلوب “العيش بعيداً عن الأرض”، حيث تقلل من استخدامها للبرمجيات الضارة ليصعب اكتشافها على شبكة الضحية، وحتى في حال اكتشاف الهجوم سيصبح من الصعب تحديد المجموعة المهاجمة.