الأهداف الجيوسياسية وحملات الهجوم الجديدة في آسيا تُظهر انشغال الجهات التخريبية في الربع الثاني من 2018

لاحظ باحثون في شركة كاسبرسكي لاب، خلال الربع الثاني من العام 2018، نشاطاً واضحاً في مشهد العمليات المتعلقة بالتهديدات المستمرة المتقدمة APT، التي اتخذت من القارة الآسيوية مسرحاً رئيساً، وانخرطت فيها مجموعات تخريبية معروفة وأخرى مغمورة. ووجّه عدد من هذه المجموعات التخريبية حملاتها باتجاه أحداث جيوسياسية حساسة أو شنّوا تلك الحملات بالتزامن مع هذه الأحداث. وعرضت كاسبرسكي لاب هذه التوجهات وغيرها في أحدث تقاريرها المعلوماتية الفصلية.

وواصل باحثو كاسبرسكي لاب، في الربع الثاني من 2018، اكتشاف الأدوات والأساليب الجديدة التي لجأت إليها المجموعات التخريبية الكامنة وراء حملات التهديدات المستمرة المتقدمة، والتي ظلّ بعضها هادئًا لسنوات. وبقيت قارة آسيا مركز استهداف لهذه الحملات، التي انشغلت فيها مجموعات تخريب إقليمية معروفة، مثل Lazarus وScarcruft الناطقين باللغة الكورية، واكتشف باحثون قيام مجموعة Turla الناطقة باللغة الروسية بزرع أداة تخريبية تسمى LightNeuron، تستخدمها في استهداف جهات في آسيا الوسطى والشرق الأوسط.

وشمل أبرز ما ورد في تقرير الربع الثاني للعام 2018:

عودة الجهة التخريبية الكامنة وراء هجوم Olympic Destroyer؛ فبعد الهجوم الذي وقع في يناير الماضي على بطولة الألعاب الأولمبية الشتوية التي أقيمت في بيونغ تشانغ، اكتشف الباحثون ما اعتقدوا أنه نشاط جديد من قبل هذه الجهة، استهدف مؤسسات مالية في روسيا ومختبرات وقاية من الأخطار البيوكيميائية في أوروبا وأوكرانيا. ويشير عدد من المؤشرات إلى وجود رابط بقوّة بين المنخفضة والمتوسطة بين المدمر الأولمبي وممثل التهديد الناطق بالروسية، Sofacy.

Lazarus/BlueNoroff. ظهور مؤشرات على أن هذا التهديد المستمر المتقدم البارز كان يستهدف مؤسسات مالية في تركيا كجزء من حملة أكبر للتجسس الإلكتروني، فضلاً عن كازينوهات في أمريكا اللاتينية. وتشير هذه العمليات إلى استمرار النشاط المدفوع مالياً لهذه المجموعة، بالرغم من استمرار محادثات السلام بشأن كوريا الشمالية.

لاحظ الباحثون نشاطاً مرتفعاً نسبياً للتهديد المعروف باسم Scarcruft APT، إذ قامت الجهة التخريبية الكامنة وراءه باستخدام برمجية خبيثة تعمل على أجهزة “أندرويد” وإطلاق عملية ذات باب خلفي جديد أطلق عليه الباحثون اسم POORWEB.

التهديد LuckyMouse. وتقف وراءه مجموعة تهديد ناطقة بالصينية تُعرف باسم APT 27، لوحظ سابقاً أنها أساءت استغلال مقدمي خدمات الإنترنت في آسيا لشنّ هجمات على مواقع حكومية بارزة في كازاخستان ومنغوليا بالتزامن مع عقد البلدين اجتماعات حكومية في الصين، وذلك وفق الأسلوب المعروف باسم “بِرك الشرب” Waterholes.

حملة VPNFilter، التي كشف عنها Cisco Talos ونسبتها المباحث الفدرالية الأمريكية FBI إلى مجموعة Sofacy أو Sandworm، كشفت وجود ثغرات هائلة أمام الهجمات التي شُنّت على شبكات محلية وحلول التخزين. ويمكن لهذا التهديد حقن برمجيات خبيثة في حركة البيانات من أجل إصابة أجهزة حاسوب تقع وراء الأجهزة الشبكية المصابة. وأكدت تحليلات كاسبرسكي لاب أن آثار هذه الحملة يمكن العثور عليها في كل بلد تقريباً.

وقال ڤيسنتي دياز، الباحث الأمني الرئيسي لدى فريق كاسبرسكي لاب العالمي للأبحاث والتحليلات GReAT، إن الربع الثاني من العام 2018 كان مثيراً للاهتمام من ناحية نشاط الجهات والمجموعات التخريبية الكامنة خلف التهديدات المستمرة المتقدمة، التي انطوى بعضها على حملات ملحوظة أكّد أنها “تذكرنا بمدى تحوّل بعض التهديدات التي كنا نتوقعها على مدى السنوات القليلة الماضية إلى حقيقة واقعة”، وأضاف: “حذّرنا مراراً من أن أجهزة الشبكات تشكّل أهدافاً مثالية للهجمات الموجهة، وأبرزنا وجود أنشطة متقدمة ومنتشرة تركز على هذه الأجهزة”.

ويلخص تقرير توجهات التهديدات المستمرة المتقدمة للربع الثاني في 2018، الذي نشر حديثاً، النتائج التي توصلت إليها تقارير كاسبرسكي لاب الخاصة بمعلومات التهديدات والتي تُقدّم حصرياً إلى المشتركين.