حملة تجسس إلكتروني تستهدف المؤسسات الحكومية في الشرق الأوسط

اكتشف فريق البحث والتحليل العالمي لدى كاسبرسكي حملة جديدة من التهديدات المتقدمة المستمرة، نفذتها مجموعة تُعرف باسم "تروبك تروبر" (Tropic Trooper)، حيث استهدفت إحدى المؤسسات الحكومية في الشرق الأوسط لمدة تجاوزت العام، بهدف التجسس الإلكتروني.

تفاصيل الحملة

استخدم المهاجمون برامج شبكية خبيثة من نوع غلاف الويب "تشاينا تشوبر" (China Chopper) للوصول إلى هدفهم بطريقة غير مشروعة والحفاظ على وجودهم داخل الشبكة المستهدفة، وتم اكتشاف هذه البرامج على خادم ويب مفتوح المصدر يمكن الوصول إليه على نطاق عام، ويستخدم بشكل أساسي لإدارة المحتوى.

خلفية المجموعة

تعتبر "تروبك تروبر" واحدة من المجموعات المتخصصة في التهديدات المتقدمة المستمرة، والمعروفة أيضًا بأسماء "كي بوي" (KeyBoy) و"بايريت باندا" (Pirate Panda)، وتنشط في مجال الهجمات الإلكترونية منذ عام 2011 على الأقل، وركزت خلال فترات نشاطها على عدة قطاعات، بما في ذلك الحكومة، والرعاية الصحية، والنقل، والصناعات عالية التقنية، وطالت هجماتها مناطق متعددة حول العالم، مثل تايوان، والفلبين، وهونغ كونغ.

النشاط الأخير

كشفت التحقيقات الأخيرة التي أجرتها كاسبرسكي، أن المجموعة أطلقت في عام 2024 حملات إلكترونية مستمرة تستهدف مؤسسة حكومية في الشرق الأوسط، حيث تم تحديد تاريخ انطلاق هذه الحملة بدءً من يونيو 2023 على الأقل.

في يونيو 2024، اكتشفت كاسبرسكي نوعًا جديدًا من أغلفة الويب يسمى “تشاينا تشوبر”، وأظهر تحقيق آخر أن هذا الغلاف كان مدمجًا كجزء من خادم الويب العام (Umbraco CMS)، الذي يُستخدم على نطاق واسع لاستضافة نظام إدارة المحتوى. 

استغل المهاجمون هذه المنصة لاكتساب مجموعة واسعة من القدرات بطريقة خبيثة، بما في ذلك:

• سرقة البيانات: جمع المعلومات الحساسة من الشبكة المستهدفة.
• التحكم الكامل عن بعد: تمكين المهاجمين من التحكم في الأنظمة المستهدفة.
• نشر البرامج الضارة: إدخال برمجيات خبيثة إضافية لتعزيز الهجمات.
• التهرب من الكشف: استخدام تقنيات متقدمة لتجنب رصد الأنشطة الخبيثة.

استهداف مؤسسات حكومية

أعلن الباحث الأمني الأول في فريق البحث والتحليل العالمي التابع لكاسبرسكي، شريف مجدي، اكتشاف هجمات جديدة من قبل مجموعة “تروبك تروبر”، تستهدف مؤسسات حكومية في الشرق الأوسط وماليزيا، ما يشير إلى تحول استراتيجي في عمليات المجموعة.

وأوضح مجدي، أنه يوجد تباين في مجموعات المهارات المستخدمة خلال المراحل المختلفة من هذا الهجوم، ناهيك عن التكتيكات التي اتبعتها المجموعة بعد أن تعرضت للفشل، مشيرًا إلى أن المهاجمين حاولوا تحميل إصدارات أحدث من البرمجيات الخبيثة لتجنب الاكتشاف، ما زاد من احتمال رصد هذه العينات الجديدة في المستقبل.

كما اكتشفت كاسبرسكي برامج خبيثة جديدة تستغل طرق بحث النظام في مكتبة الارتباط الديناميكي (DLL) من خلال ملفات شرعية قابلة للتنفيذ، تهدف إلى نشر أداة برمجية خبيثة تُدعى "Crowdoor loader"، التي تحمل اسم "الباب" لارتباطها بالبرمجيات الخبيثة من نوع "SparrowDoor".

عندما أدت التدابير الأمنية لكاسبرسكي إلى حظر الأداة الأولية، انتقل المهاجمون بسرعة إلى نسخة أخرى لم يتم الإبلاغ عنها سابقًا، ويعرب خبراء كاسبرسكي عن ثقتهم الكبيرة في أن هذا النشاط يعود إلى الجهة التخريبية الناطقة باللغة الصينية المعروفة باسم "تروبك تروبر".

كشف التحليل أن هذه الحوادث تتوافق مع الأهداف النموذجية والتركيز الجغرافي الذي أظهرته التقارير السابقة حول نشاط المجموعة. وتستهدف مجموعة "تروبك تروبر" عادةً قطاعات الحكومة والرعاية الصحية والنقل والصناعات التكنولوجية الفائقة، ما يشير إلى تحول استراتيجي في عملياتها.

نصائح للوقاية من الهجمات

لتجنب الوقوع ضحية للهجمات التي تنفذها جهات تهديد معروفة أو غير معروفة، يوصي باحثو كاسبرسكي باتباع التدابير التالية:

1. توفير المعلومات الحديثة: يجب منح فريق مركز العمليات الأمنية في مؤسستك إمكانية الوصول إلى أحدث المعلومات حول التهديدات.

2. تطوير المهارات: ينبغي تعزيز مهارات فريق الأمن السيبراني في مؤسستك من خلال التدريب على أحدث التهديدات المستهدفة.

3. تطبيق حلول EDR: يُنصح بتطبيق أحد حلول اكتشاف نقطة النهاية والاستجابة لها (EDR) مثل Kaspersky Next، للكشف عن الحوادث والتحقيق فيها وإصلاحها في الوقت المناسب.

4. تنفيذ حلول أمنية شاملة: يجب اعتماد حل أمني على مستوى الشركة قادر على اكتشاف التهديدات المتقدمة للشبكة في مراحل مبكرة، بالإضافة إلى توفير الحماية الأساسية لنقطة النهاية.

5. توعية الفريق: تبدأ العديد من الهجمات بتقنيات التصيد الاحتيالي أو الهندسة الاجتماعية، لذا ينبغي تنظيم جلسات تدريب توعوية حول مختلف جوانب الأمن، وتعليم الفريق المهارات العملية.