الارشيف / تكنولوجيا / البوابة العربية للأخبار التقنية

عصابة سوفاسي تحول اهتمامها نحو الهيئات العسكرية والدبلوماسية

لاحظ باحثون في شركة كاسبرسكي لاب أن عصابة الجريمة الإلكترونية الشهيرة Sofacy سوفاسي الناطقة بالروسية، بدأت تحول اهتمامها إلى استهداف هيئات ومنظمات عسكرية ودفاعية ودبلوماسية عاملة في منطقة الشرق الأقصى، فضلاً عن المنظمات المرتبطة بحلف الناتو والتي تشكل أهدافاً تقليدية لها.

ووجد الباحثون أن العصابة المعروفة أيضًا بالأسماء APT28 أو فانسي بير Fancy Bear،  تتداخل في نشاطها الإجرامي أحيانًا مع مجموعات أخرى، بينها تورلا Turla الناطقة بالروسية ودانتي Danti الناطقة بالصينية.

ومن بين أكثر الأمور إثارة للاهتمام مما كشف عنه الباحثون، وجود أبواب خلفية على خادم تابع لجهة عسكرية فضائية في الصين، كان قد تعرض للاختراق من قبل المجموعة التخريبية الناطقة بالإنجليزية والتي تقف وراء عائلة برمجيات Lamberts الخبيثة.

وتتألف عصابة سوفاسي من مجموعة قوية من الناشطين في مجال التجسس الإلكتروني الذين يتابع الباحثون في كاسبرسكي لاب نشاطهم منذ سنوات عديدة، وكانت كاسبرسكي لاب نشرت في فبراير، موجزاً عاماً عن أنشطة هذه العصابة في العام 2017، كشفت فيه عن انتقالها التدريجي بعيداً عن الأهداف المتعلقة بالناتو تجاه الشرق الأوسط وآسيا الوسطى وما بعدها.

وتستخدم سوفاسي هجمات التصيّد وأحيانًا الهجمات المعروفة باسم “فتحات المياه” التي تنتظر فيها المجموعة التخريبية وصول الضحية إلى مواقع ويب أصلية ملغمة للإيقاع بها بهدف سرقة المعلومات، بما يشمل بيانات اعتماد الدخول للحسابات، والاتصالات والمستندات الحساسة، كما يُشتبه في إيصالها حمولات مدمرة إلى أهداف مختلفة.

وتظهر النتائج الجديدة أن سوفاسي ليست الجهة المتصيّدة الوحيدة التي تتربص بهذه المناطق، وأن هناك تداخلاً في الأهداف يحدث أحياناً بين عدة جهات تهديد، ووجد الباحثون في حالة سوفاسي سيناريوهات شهدت تنافساً على الوصول إلى الضحايا بين البرمجية الخبيثة Zebrocy التابعة للعصابة وبرمجيات أخرى تابعة لعصابة موسكيتو تورلا Mosquito Turla الناطقة بالروسية، أو تنافساً بين هجمات SPLM التابعة لها والهجمات التقليدية التي تشنها كل من تورلا ودانتي الناطقة بالصينية، وشملت الأهداف المشتركة دوائر حكومية ومؤسسات تقنية وعلمية وعسكرية، من منطقة آسيا الوسطى أو عاملة فيها.

وقد بدا في بعض الحالات أن الأهداف تتعرض لهجمات متزامنة ومنفصلة من كل من SPLM وZebrocy، ومع ذلك، فإن التداخل الأكثر إثارة للفضول كان على الأرجح ذلك الذي حدث بين سوفاسي والمجموعة التخريبية الناطقة بالإنجليزية والتي تقف وراء هجمات Lamberts.

موضوعات ذات صلة بما تقرأ الآن:

وتم اكتشاف الصلة بين الهجومين إثر عثور الباحثين على حضور لسوفاسي على خادم كانت معلومات سابقة أشارت إلى كونه مخترقاً من قِبل برمجية Grey Lambert الخبيثة، ويتبع هذا الخادم شركة صينية تقوم بتصميم تقنيات لأغراض الطيران والدفاع الجوي وتصنيعها.

ومع ذلك، يبقى الناقل الأصلي لهجوم SPLM، في هذا المثال مجهولاً، الأمر الذي يثير عددًا من الفرضيات المحتملة، مثل حقيقة أن سوفاسي يمكن أن تستغل ثغرة لم يتم اكتشافها بعد أو سلالة جديدة من الأبواب الخلفية، أو أنها تمكنت بطريقة ما من تسخير قنوات الاتصال في Grey Lambert لتنزيل برمجياتها الخبيثة.

وقد يعني ذلك أيضاً أن المؤشرات إلى وجود سوفاسي يمكن أن تمثل رايات زائفة زرعت أثناء الحضور السابق لبرمجيات Lambert على الخادم، ويواصل الباحثون عملهم في ظل اعتقاد سائد بأن الاحتمال الأكبر يتمثل في كون برمجية PowerShell جديدة مجهولة أو تطبيق ويب أصلياً لكنه ضعيف، تم استغلالهما لتحميل برمجيات SPLM وتنفيذها في هذه الحالة.

وأشار كيرت بومغارتنر، الباحث الأمني المسؤول لدى كاسبرسكي لاب، إلى أن البعض يصوّر سوفاسي أحياناً كعصابة وحشية ومتهورة، لكنه أكد أن ما يمكن ملاحظته من خلال مراقبة نشاطها هو أن المجموعة “تتسم بالواقعية وتتحلى بالمرونة”، وقال: “لم ترد تقارير وافية بشأن نشاط المجموعة في بلدان الشرق الأقصى، ولكن من الواضح أنها ليست الجهة التخريبية الوحيدة التي تهتم بتلك المنطقة أو حتى بالأهداف نفسها، وقد نواجه مزيداً من الأمثلة على الأهداف المتداخلة، لا سيما في ظل التعقيدات المتزايدة في مشهد التهديدات الإلكترونية، وهذا ما قد يعلل قيام العديد من الجهات التخريبية بالتحقق من أي وجود لجهات أخرى في أنظمة الضحايا قبل استهدافها وشنّ هجماتهم عليها”.

كذلك وجد الباحثون أن سوفاسي تحتفظ الآن بتقسيمات فرعية متميزة لكل أداة من أدواتها التخريبية الرئيسية، مع مجموعات عنقودية للبرمجة والتطوير والتوجيه لكل من SPLM “المعروفة أيضاً بالاسمين CHOPSTICK وXagent” وGAMEFISH وZebrocy.

وتعتبر SPLM الأداة الأساسية التي غالباً ما يقع عليها الاختيار من سوفاسي لتنفيذ هجمات في مرحلتها الثانية، في حين تستخدم Zebrocy لشن هجمات كبيرة الحجم، ووفقاً للباحثين، استهدفت عصابة سوفاسي في أوائل العام 2018 مؤسسات تجارية كبيرة في مجال الدفاع الجوي بالصين عبر SPLM، فيما استخدمت Zebrocy على نطاق أوسع في كل من أرمينيا وتركيا وكازاخستان وطاجيكستان وأفغانستان ومنغوليا والصين واليابان.

وتوصي كاسبرسكي لاب المؤسسات التي تدير عمليات لها صلة بالأنشطة العسكرية والدفاعية والدبلوماسية في المناطق المتأثرة، بتنفيذ الإجراءات التالية لتجنب الوقوع ضحية لهجوم موجه متقدم:

  • استخدام حل أمني مثبت وممتاز مع تقنيات مكافحة الهجمات الموجهة ومعلومات التهديدات.
  • إتاحة المجال أمام موظفي الأمن للوصول إلى أحدث بيانات التهديدات، ما من شأنه تسليحهم بأدوات مفيدة للبحث والوقاية من الهجمات الموجهة، مثل مؤشرات الاختراق ومنصة YARA والتقارير الخاصة بالتهديدات المتقدمة.
  • إذا تم تحديد مؤشرات مبكرة على وقوع هجوم موجه، على المستخدم أن يضع في اعتباره خدمات الحماية المدارة التي تسمح له باكتشاف التهديدات المتقدمة بشكل استباقي، وتقليل الوقت الذي يستغرقه الانتظار وترتيب التجاوب مع الحوادث في الوقت المناسب.

اشترك فى النشرة البريدية لتحصل على اهم الاخبار بمجرد نشرها

تابعنا على مواقع التواصل الاجتماعى