أعلن باحثو كاسبرسكي عن اكتشاف سلسلة هجمات تقوم بها مجموعة مجرمي الإنترنت OilRig المتخصصة في التهديدات المتقدمة المستمرة، والتي تمارس نشاطها في الشرق الأوسط وتركيا لأكثر من عقد من الزمان.
وتركز المجموعة على استهداف الجهات الحكومية في جميع أنحاء الشرق الأوسط وتركيا وإفريقيا لأغراض التجسس الإلكتروني.
وجاء ذلك خلال الملتقى السنوي الثامن للأمن السيبراني لمنطقة الشرق الأوسط وتركيا وإفريقيا (Cyber Security Weekend – META 2023) الذي عُقد مؤخراً في مدينة ألماتي الكزخية.
وفي العادة، تستخدم المجموعة ذاتها تكتيكات الهندسة الاجتماعية، كما تستغل البرامج ونقاط الضعف التقنية في شبكات ضحاياها، ومع ذلك، لاحظ خبراء كاسبرسكي أن المجموعة قامت بتحديث ترسانة أدواتها، إذ تلجأ إلى طرق خبيثة وأكثر سرية لاختراق أهدافها من خلال شركات سلسلات التوريد لتكنولوجيا المعلومات التابعة لضحاياها.
واكتشف خبراء كاسبرسكي خلال تحقيق بدأت به في أواخر العام الماضي 2022، أن هذه المجموعة قامت بتنفيذ نصوص برمجية من نوع PowerShell، بهدف الوصول إلى الخوادم الطرفية في شركات تكنولوجيا المعلومات في المنطقة، حتى تتمكن من جمع بيانات الاعتماد والبيانات الحساسة حول أهدافهم.
واستخدمت المجموعة المعلومات المسروقة للتسلل إلى أهدافها ونشر عينات من البرامج الخبيثة التي اعتمدت على واجهة تطبيقات البرامج Microsoft Exchange Web Services لإجراء اتصالات القيادة والتحكم (C2) ومن ثم سرقة البيانات، وتبيّن أن البرنامج الذي استهدفه التحقيق يعتبر نوعاً من البرامج الخبيثة القديمة التي تستخدمها مجمعة OilRig.
ولضمان الوصول بطريقة متخفية ومستمرة، نشرت المجموعة عامل تصفية جديد لكلمات المرور (password filter) يعتمد على مكتبة الرموز والبيانات (DLL)، ليتمكنوا في نهاية المطاف من اعتراض أي محاولات لتغيير كلمات المرور إن تم تغييرها.
وأتاحت هذه العملية للمهاجمين تلقي كلمات مرور محدثة، إلى جانب بيانات أخرى مسروقة وحساسة مرسلة من خدمات البريد الإلكتروني لأهدافهم إلى عناوين على منصتي البريد الإلكتروني Protonmail و Gmail التي يتحكم فيها المهاجمون.
وقال ماهر يموت، الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي: “لقد نجحت مجموعة OilRig بالتخفي بمستوى أعلى بالاعتماد على تكتيكاتها وتقنياتها وإجراءاتها المعقدة والمعدلة بشكل كبير، الأمر الذي أتاح لها استغلال شركات تكنولوجيا المعلومات التابعة لجهات خارجية، وأظهر التحقيق الذي أجريناه أن هجمات الطرف الثالث تكون أكثر سرية وخفية، وتبقى غير مكتشفة مقارنة بالتكتيكات الأخرى، لتشكل بذلك خطراً جسيماً على عمل المؤسسات الحكومية في هذه المنطقة”.
وتابع بقوله: “بناءً على ذلك، يعتبر التحول الجذري في سبل التسلل إلى شركات تكنولوجيا المعلومات التي تشكل جزءاً من سلسلة التوريد، مؤشراً على أن المؤسسات الحكومية الإقليمية تكثف جهودها في مجال الأمن السيبراني، الأمر يدفع مجموعات التهديدات المتقدمة المستمرة إلى التفكير بطرق مبتكرة”.
ويوصي باحثو كاسبرسكي الحكومات والشركات بضرورة اتباع النصائح التالية لحماية أنفسهم من الوقوع ضحايا لهجمات سلسلة التوريد الخاصة بطرف ثالث:
• الاستثمار في بناء نهج شامل ومتكامل للأمن السيبراني لحماية البيانات والأصول التي تتجاوز معايير مؤسستك.
• ضرورة الاستفادة من معلومات التهديد كممارسة مهمة، ويساعد استخدام بعض الحلول، مثل Kaspersky Threat Intelligence Portal إلى تزويد فرق تكنولوجيا المعلومات ببيانات وإحصاءات بصورة آنية، وإتاحة الوصول إلى مصدر غني من الخبرة لبناء دفاعات قوية.
• إجراء اختبارات الاختراق داخل مؤسستك، وأن تشمل مزودي الخدمة الخارجيين أيضاً.
• يجب أن تكون دفاعاتك الإلكترونية قوية مثل موظفيك الذين يعتبرون خط الدفاع الأول. وينبغي تزويدهم بالمعلومات من خلال الحلول المناسبة، مثل Kaspersky Automated Security Awareness Platform التي تعمل على أتمتة تدريب التوعية الإلكترونية للشركات من مختلف الأحجام.
• نسخ بياناتك احتياطياً بانتظام، واتباع عملية المسح الضوئي من وقت لآخر للحفاظ على سلامتها.