خبر

سيمانتك: استهداف مزودي تكنولوجيا المعلومات في السعودية

رصدت شركة سيمانتك مجموعة مهاجمة غير موثقة مسبقًا تستهدف أنظمة مزودي تكنولوجيا المعلومات في المملكة العربية السعودية، فيما توصف بأنها هجمات على سلسلة التوريد تستهدف الإضرار بعملاء هؤلاء المزودين.

وتستخدم المجموعة، التي أطلقت عليها شركة سيمانتك اسم (Tortoiseshell)، البرمجيات الخبيثة الجاهزة وغير الجاهزة، وقد نشطت منذ شهر يوليو 2018 على الأقل.

ورصدت سيمانتك 11 مؤسسة ألحقت هذه المجموعة بأنظمتها أضرارًا، وتتركز غالبيتها في المملكة العربية السعودية، وتشير الأدلة في مؤسستين على الأقل إلى أن المهاجمين حصلوا على حق الوصول إلى مستوى مسؤول النطاق.

وأبرز ما اتسمت به هذه الهجمات، لاسيما بالنسبة لشبكتين تعرضتا للهجوم، أن عدة مئات من أجهزة الحاسب قد أصيبت بالبرمجيات الخبيثة.

ويعد هذا العدد كبيرًا على نحو غير عادي بالنسبة لأجهزة الحاسب المُخترقة في هجوم مستهدف، وربما اضطر المهاجمون إلى إصابة العديد من الأجهزة قبل العثور على الأهداف المحددة الأكثر أهمية بالنسبة لهم.

موضوعات ذات صلة بما تقرأ الآن:

وقد بدأ فريق تحقيقات الهجمات في شركة سيمانتك في ملاحظة نشاط مجموعة (Tortoiseshell) من جديد في شهر يوليو 2019.

وتبين من خلال فحص أحد الأجهزة أن مجموعة (Tortoiseshell) تقوم بنشر عدد من الأدوات لجمع المعلومات وسرقة البيانات من الجهاز، مثل إعدادات بروتوكول الإنترنت؛ والتطبيقات النشطة؛ ومعلومات حول نظام التشغيل؛ وخصائص الاتصال الشبكي.

أدوات OilRig:

ورصد فريق تحقيقات الهجمات في شركة سيمانتك في أحد الأجهزة المصابة وجود أداة يُطلق عليها اسم (Poison Frog)، والتي انتشرت على الشبكات قبل شهر من ظهور أدوات (Tortoiseshell).

وتعد (Poison Frog) برمجية خبيثة تتسلل من خلال ثغرات خلفية، وتضم مجموعة متنوعة تحتوي على أداة يُطلق عليها اسم (BondUpdater)، والتي تم رصدها سابقاً في هجمات ضد شبكات تابعة لشركات في الشرق الأوسط.

وقد تسللت هذه الأدوات على برنامج التراسل تيليجرام في شهر أبريل الماضي، وهي مرتبطة بمجموعة تُسمى (APT34)؛ أو (OilRig).

ولم يُحدد بعد ما إذا كان السبب نفسه هو الذي يقف وراء نشر كل من (Poison Frog)؛ و (Tortoiseshel)، إلا أنه في ظل وجود فجوة زمنية بين الأداتين المستخدمتين ودون أي دليل إضافي، فالافتراض القائم حالياً هو أن هذا النشاط يتم بشكل منفصل.

ويبدو أن أداة (Poison Frog) قد انتشرت في وقت سابق قبل إصابتها لهذا الجهاز، لذا، فمن الممكن أنها قد استخدمت من قبل مجموعة لا علاقة لها بمجموعة (APT34)؛ أو (OilRig).

دوافع الهجوم:

إن استهداف مزودي تكنولوجيا المعلومات يشير بشكل وثيق إلى هذه الهجمات التي تستهدف سلسلة التوريد، والتي يحتمل أنه قد شُنت بهدف اختراق الشبكات الخاصة بعملاء هؤلاء المزودين.

ويأتي ذلك في الوقت الذي شهدت السنوات الأخيرة تزايداً في أعداد الهجمات على سلسلة التوريد، مرتفعة بنسبة 78 في المئة خلال عام 2018، وذلك وفقًا للنسخة الرابعة والعشرون من تقرير سيمانتك “تهديدات أمن الإنترنت”.

وتتخذ هذه التهديدات، التي تستغل خدمات وبرمجيات الطرف الثالث لاختراق هدف نهائي، أشكالاً متعددة، بما في ذلك السطو على تحديثات البرمجيات، ونشر تعليمات برمجية خبيثة في البرنامج المرخص.

ويُعد مزودو تكنولوجيا المعلومات هدفاً مثالياً للمهاجمين، حيث يمتلك هؤلاء المزودون مستوى مرتفع من الوصول إلى أجهزة حواسيب العملاء.

وقد تمنح هذه الصلاحيات القراصنة القدرة على إرسال تحديثات البرامج الضارة إلى الأجهزة المستهدفة.

وربما يوفر لهم الوصول عن بُعد إلى أجهزة العملاء وشبكات الضحايا دون الحاجة إلى المساس بالشبكات نفسها، وهو ما قد لا يكون ممكناً إذا توفرت بنية تحتية أمنية قوية لدى الضحايا المستهدفين، كما يقلل أيضًا من خطر اكتشاف الهجوم.

كما أن استهداف مزود الخدمة التابع لجهة خارجية يجعل من الصعب تحديد هوية الأهداف الحقيقية للمهاجمين.

وتُعد هويات عملاء شركات تكنولوجيا المعلومات المستهدفة غير معروفة، غير أن (Tortoiseshell) ليست المجموعة الأولى التي تستهدف المؤسسات في الشرق الأوسط، وهو ما أشارت إليه سيمانتك في تدوينات سابقة.

ومع ذلك، فإنه لا يتوفر في الوقت الحالي أي دليل يجعل سيمانتك تلقي بالمسؤولية إزاء نشاط (Tortoiseshell) على أي مجموعة معروفة أو دولة ما.