عملية جديدة تشنها مجموعة القرصنة العربية Gaza Cybergang

أطلقت مجموعة القرصنة الإلكترونية الشهيرة Gaza Cybergang في عام 2018 – والتي أصبحت معروفة بأنها تضم عدة مجموعات متباينة التطور – عملية تجسس إلكتروني استهدفت أفرادًا ومنظمات ومؤسسات لها مصالح سياسية في الشرق الأوسط.

واستخدمت الحملة المسماة SneakyPastes عناوين بريد إلكتروني لنشر الأضرار من خلال التصيد، ويمكن التخلص منها بعد الاستخدام، قبل تنزيل البرمجيات الخبيثة في مراحل متسلسلة عبر عدة مواقع مجانية.

وقد ساعد هذا الأسلوب الفعال والمتسم بالتكلفة المنخفضة Gaza Cybergang على الوصول إلى نحو 240 ضحية من جهات وأفراد بارزين في 39 دولة بجميع أنحاء العالم، بينها كيانات سياسية، ودبلوماسية، وإعلامية، وناشطون، وغيرهم. وقد أطلعت كاسبرسكي لاب الجهات المعنية بإنفاذ القانون على نتائج تحقيقاتها، فأزالت جزءًا كبيرًا من البنية التحتية للعملية التخريبية.

وتنطلق مجموعة Gaza Cybergang الناطقة باللغة العربية في عملياتها من دوافع سياسية، وتتألف من مجموعة من جماعات التهديد المترابطة، التي تنشط في استهداف الشرق الأوسط، وشمال إفريقيا، مع التركيز بشكل خاص على الأراضي الفلسطينية. وحددت كاسبرسكي لاب ثلاث جماعات على الأقل داخل المجموعة، ذات أهداف وغايات متشابهة تتمثل في التجسس عبر الإنترنت على جهات لها مصالح سياسية في الشرق الأوسط، إلا أنها تستخدم أدوات وأساليب متباينة التطور والتعقيد، مع وجود عناصر مشتركة ومتداخلة بينهما.

تشمل المجموعة التخريبية كلًا من المجموعتين المتقدمتين Operation Parliament، وDesert Falcons، المعروفتين منذ العامين 2018 و2015 على التوالي، فضلًا عن مجموعة بسيطة أقل تقدمًا تُعرف باسم MoleRats، وتنشط منذ العام 2012، أو قبله. وكانت هذه المجموعة أطلقت في ربيع العام 2018 عملية SneakyPastes.

بدأت SneakyPastes بهجمات تصيد ذات طابع سياسي، وانتشرت باستخدام عناوين بريد إلكتروني، وأسماء نطاق يمكن التخلص منها بعد النقر على روابط، وتنزيل مرفقات، ثم تثبيت الإصابات على أجهزة الضحايا.

ويتم تنزيل برمجيات خبيثة إضافية على أجهزة الضحايا في مراحل متسلسلة باستخدام عدد من المواقع المجانية، مثل: Pastebin وGithub، بُغية تجنب اكتشاف موقع خادم القيادة والسيطرة. واستخدَمت المواد الخبيثة التي زُرعت في أجهزة الضحايا أدوات، مثل: PowerShell، وVBS، وJS، وdotnet؛ لضمان الحماية لها، وثباتها داخل الأنظمة المصابة. وتمثلت المرحلة الأخيرة من التسلل في تروجان للوصول عن بعد، يجري الاتصال اللازم بخادم القيادة والسيطرة، ثم يجمع، ويضغط، ويشفّر، ويحمل مجموعة كبيرة من المستندات، وجداول البيانات المسروقة. وقد استُمد الاسم SneakyPastes من استخدام للمهاجمين الكثيف لمواقع اللصق، من أجل تمكين تروجان الوصول عن بعد من التسلل التدريجي إلى الأنظمة المستهدفة.

وعمل باحثو كاسبرسكي لاب مع جهات إنفاذ القانون للكشف عن دورة الهجوم والتسلل الكاملة في عملية SneakyPastes. وقد أدت هذه الجهود إلى فهم مفصَّل للأدوات، والأساليب، والأهداف التي تنطوي عليها العملية، كما ساهمت في إزالة جزء كبير من بنيتها التحتية التخريبية.

وبلغت عملية SneakyPastes أوج نشاطها في الفترة بين أفريل / نيسان ومنتصف نوفمبر/ تشرين الثاني 2018، التي انصب خلالها التركيز على قائمة صغيرة من الأهداف ضمت كيانات دبلوماسية وحكومية، ومنظمات غير حكومية، ووسائل إعلام. وباستخدام أدوات كاسبرسكي لاب الخاصة بالقياس عن بعد، وبالاستعانة بمصادر أخرى، ظهر أن هناك حوالي 240 ضحية لهذه العملية من الأفراد المهمين، والمنظمات البارزة في 39 بلدًا بجميع أنحاء العالم، كان للسلطة الفلسطينية، والأردن، و الكيان الصهيوني، ولبنان، حصة الأسد منها. وشملت قائمة ضحايا الهجمات سفارات، وجهات حكومية، ومؤسسات إعلامية، وصحفيين، وناشطين، وأحزابًا سياسية، وأفرادًا، فضلًا عن مؤسسات تعليمية وبنوك، ومنشآت للرعاية الصحية، وشركات مقاولات.

وقال رئيس مركز أبحاث الشرق الأوسط التابع لفريق البحث والتحليل العالمي لدى كاسبرسكي لاب، أمين حاسبيني، إن اكتشاف مجموعة Desert Falcons في العام 2015 شكل “نقطة تحول مهمة” في مشهد التهديدات العالمي، مشيرًا إلى كونها “أول مجموعة للتهديدات الثابتة المتقدمة ناطقة باللغة العربية”، وأضاف: “بتنا نعلم الآن أن هذه المجموعة تتبع مجموعة Gaza Cyberang التي تستهدف بنشاط مصالح شرق أوسطية منذ العام 2012، وكانت تعتمد في البداية على أنشطة يمارسها فريق بسيط إلى حد ما، ولكن بلا هوادة، وهو نفسه الفريق الذي أطلق في العام الماضي عملية SneakyPastes، التي تؤكد أن نقص البنية التحتية والأدوات المتقدمة ليس عائقًا أمام نجاح العمليات التخريبية”.

وتوقع حاسبيني أن تكثِّف المجموعات الثلاث المنضوية تحت مظلة Gaza Cyberang أنشطتها التخريبية، وأن يصل مدى هجماتها إلى المناطق الأخرى، يُفترض أن تكون على صلة بالقضية الفلسطينية، مؤكدًا أن جميع منتجات كاسبرسكي لاب قادرة على اكتشاف هذا التهديد وحظره بنجاح.