تقرير: هجمات إلكترونية جديدة تستهدف الهيئات الحكومية فى الشرق الأوسط

رصدت بالو ألتو نتوركس، الشركة المتخصصة فى تطوير الجيل التالى للحلول الأمنية، هجمات جديدة ومتعددة لمجموعة أويلريج OilRig المتخصصة فى الجرائم الإلكترونية فى الفترة ما بين شهرى مايو ويونيو 2018، والتى بدت وكأنها تصدر من هيئة حكومية تقع فى منطقة الشرق الأوسط.

وبناء على مجموعة من تكتيكات أويلريج التى تم رصدها سابقا، من المحتمل جداً أن تكون مجموعة التهديد قد استفادت من بيانات الاعتماد والحسابات التى قامت باختراقها، لاستخدام الهيئة الحكومية المستهدفة كمنصة لإطلاق هجماتها الحقيقية.

واستهدفت هذه الهجمات إحدى الهيئات الحكومية، بالإضافة إلى شركة متخصصة فى تزويد الخدمات التكنولوجية، وكلاهما فى نفس البلد، فضلاً عن ذلك، عمدت مجموعة إويلريج على إظهار الهجمات ضد هذه الأهداف على أنها صادرة عن هيئات أخرى من نفس البلد، لكن المهاجمين الفعليين المنفذين للهجمات كانوا خارج البلد بالطبع، وقد استخدموا على الأرجح بيانات اعتماد مسروقة من المؤسسة التى حولوها إلى وسيط لتنفيذ هجماتهم.

وحملت المجموعة خلال هجومها برمجية تسلل من الباب الخلفى backdoor، تحتوى على نص برمجى ضار  PowerShell، تدعى  QUADAGENT، وقد نسبت كل من شركة كليرسكاى سايبر سكيورتى  وفايرآى هذه البرمجية الخبيثة إلى مجموعة أويلريج.

وقد تمكنا أيضا من خلال تحليلاتنا الخاصة، من تأكيد إسناد هذه البرمجية إلى مجموعة أويلريج، وذلك عن طريق فحص أدوات وأساليب محددة تم استخدامها من قبل مجموعة أويلريج فى السابق، بالإضافة إلى فحص التكتيكات التى أعيد استخدامها فى هجمات سابقة أيضاً.

ولا تزال مجموعة أويلريج المتخصصة فى الجرائم الإلكترونية مستمرة فى تغيير تكتيكاتها وتكييفها، بالإضافة إلى قيامها بتعزيز مجموعة الأدوات التى تستخدمها وذلك من خلال إضافة أدوات جديدة ومطورة حديثاً. مجموعة أويلريج، والتى تسمى أيضا بـ APT34 أو Helix Kitten، هى عبارة عن مجموعة تهديد إلكترونية متخصصة بعمليات التجسس، تنشط فى منطقة الشرق الأوسط فى المقام الأول.

وقد اكتشفت بالو ألتو نتوركس هذه المجموعة لأول مرة فى منتصف عام 2016 على الرغم من أنها قد تكون بدأت أنشطتها التجسسية قبل ذلك التاريخ.

وقد أظهر أعضاء هذه المجموعة أنفسهم على أنهم خصوم لا يستهان بهم، يعملون بشكل متواصل، وبوتيرة مستمرة، ولا يظهرون أية بوادر لإبطاء هجماتهم. وبمقارنة سلوكياتها السابقة مع الحوادث والهجمات الحالية، تبين أن عمليات مجموعة أويلريج مستمرة، ومن المرجح أن تتسارع بشكل أكبر فى المستقبل القريب.