عصابة الإنترنت التخريبية “Muddy Water” توسع نطاق هجماتها لتطال أهدافاً حكومية في آسيا وأوروبا وإفريقيا
اكتشف باحثون لدى كاسبرسكي لاب يراقبون نشاط عصابة الإنترنت التخريبية Muddy Water، المختصة بالتهديدات الإلكترونية المتقدمة والتي شوهدت تعمل أول مرة في العراق والمملكة العربية السعودية في العام 2017، عملية مكثفة تنفذها العصابة على جهات حكومية وخاصة في الأردن وتركيا وأذربيجان وباكستان وأفغانستان، إلى جانب أهدافها المعتادة. وتوزّع هذه العصابة في هجماتها المستمرة برمجيات تخريبية عبر حملة شخصية للتصيد الموجّه تستخدم فيها مستندات مكتبية وتطلب من المستخدمين تمكين وحدات الماكرو المضمنة فيها عند فتحها.
وتُعتبر Muddy Water مصدر تهديد جديد نسبياً ظهر لأول مرّة في العام 2017 بحملة تركز على أهداف حكومية في العراق والمملكة العربية السعودية. وفي وقت سابق من هذا العام، اكتشف الباحثون في كاسبرسكي لاب موجة مستمرة من رسائل التصيد الموجّه عبر البريد الإلكتروني تستهدف مجموعة أوسع من البلدان التي اعتادت هذه العصابة الخطرة استهدافها. وبلغت الحملة ذروتها في مايو ويونيو الماضيين، ولكنها ما زالت مستمرة.
وتشير محتويات رسائل التصيد الموجه إلى أن الأهداف الرئيسة المقصودة هي جهات حكومية وعسكرية، وشركات اتصالات ومؤسسات تعليمية. وتحمل رسائل البريد الإلكتروني ملف MS Office 97-2003 مرفقاً، ويتم تنشيط الإصابة بمجرد تمكين المستخدم وحدات الماكرو التي يتضمنها الملف.
ويُجري الباحثون في كاسبرسكي لاب حالياً تحليلاً للمراحل الأولى من الهجوم ويعملون على نشر نتائجهم لمساعدة الجهات التي يُحتمل استهدافها من القطاع الحكومي وغيره في المناطق المستهدفة، على حماية أنفسها. ويستمر التحقيق في ترسانة المهاجمين من جميع أنواع البرمجيات والأدوات وتروجانات الوصول عن بعد، التي تتضمّن PowerShell وVBS وVBA وPython وC#.
وتُنشئ البرمجية الخبيثة، بمجرد تنشيط الإصابة، اتصالاً بخادم القيادة الذي تتبعه عن طريق اختيار عنوان ويب URL عشوائي من قائمة مدمجة. وبعد المسح بحثاً عن أية برمجيات أمنية، تقوم البرامج الضارة بإنزال عدد من النصوص البرمجية في جهاز الحاسوب الضحية، فيما تُنشئ الحمولة النهائية المتمثلة بشيفرة PowerShell وظائف “باب خلفي” أساسية مع إمكانيات تخريبية تتمثل بالقدرة على حذف الملفات. ويمكّن استخدام ملفات “مايكروسوفت” هذه البرمجية الخبيثة من تجاوز أي من قوائم الحظر، نظراً للسلامة الظاهرية لتلك الملفات. وإضافة إلى ذلك، تعمل شيفرة PowerShell على تعطيل مزايا “التحذير من وحدات الماكرو” و”المشاهدة المحمية” لضمان عدم حصول أي تفاعل من المستخدم في أية هجمات مستقبلية. وتشتمل البنية الأساسية للبرمجيات الخبيثة على مجموعة من المضيفين الذين تعرضوا للاختراق.
تم الكشف عن أهداف للهجمات في كل من تركيا والأردن وأذربيجان والعراق والمملكة العربية السعودية، علاوة على مالي والنمسا وروسيا وإيران والبحرين.
ولا يُعرف على وجه التحديد ممن تتألف عصابة Muddy Water، التي يعني اسمها “المياه المُوحِلة”، بالرغم من أن هجماتها ذات دوافع جغرافية واضحة، باستهدافها أفراداً ومنظمات حساسة. وتحمل الشيفرة المستخدمة في الهجمات الحالية عدداً من المزايا التي تبدو مصممة لإلهاء المحققين وتضليلهم، كإدخال اللغة الصينية في الشيفرة واستخدام أسماء مثل Leo وPooPak وVendetta وTurk في البرمجية الخبيثة.
وقال أمين حاسبيني، الباحث الأمني الأول في فريق البحث والتحليل العالمي التابع لشركة كاسبرسكي لاب، إن مجموعة Muddy Water شوهدت تنفذ عدداً كبيراً من الهجمات خلال العام الماضي، مشيراً إلى انتهاجها “تطوّراً مستمراً في الأساليب وتقنيات”، وأضاف: “لدى هذه العصابة مطورون نشطون يحرصون على تحسين مجموعة أدواتهم من أجل تقليل تعرّض الحلول الأمنية لها، ما يُرجّح انتشاراً مكثفاً لهذا النوع من الهجمات على المدى القصير، ولهذا السبب قرّرنا نشر نتائجنا الأولى علناً بُغية رفع مستوى الوعي بشأن التهديد لتتمكن جميع الجهات من اتخاذ إجراءات مناسبة للدفاع عن نفسها، وما زلنا نحلّل ترسانة المهاجمين وسنراقب عن كثب تقدمهم واستراتيجياتهم وأخطاءهم”.
وتوصي كاسبرسكي لاب الجهات الحكومية والشركات بأخذ الإجراءات التالية في الاعتبار للحدّ من خطر الوقوع ضحايا لعمليات من هذا القبيل:
تنفيذ نهج شامل للكشف عن الهجمات الموجهة والوقاية منها والتحقيق فيها، بما يشمل استخدام حلول أمنية متقدمة مضادة للهجمات الموجهة، وتدريباً للمعنيين.
تزويد موظفي الأمن بالقدرة على الوصول الفوري إلى أحدث المعلومات المتعلقة بالتهديدات، والكفيلة بتسليحهم بالأدوات المفيدة للوقاية من الهجمات الموجهة واكتشافها، مثل المؤشرات على حدث اختراق أمني وقواعد YARA.
التأكد من تأسيس إجراءات مؤسسية لإدارة الإصلاحات البرمجية.
التحقق من جميع إعدادات النظام وضمان تطبيق أفضل الممارسات.
تعريف الموظفين بكيفية تمييز رسائل البريد الإلكتروني المريبة وكيفية التصرّف بشأنها.