تستخدم أدوات لجمع معلومات حساسة.. وتوقعات بأهداف «محتملة» في الخليج
كشف باحثون عن معلومات تتعلق بحملة طويلة تقف وراءها جهة تهديد ناشطة في استهداف المؤسسات في الشرق الأوسط.
وتركز العصابة التي يطلق عليها اسم «وايرت» WIRTE، على استهداف المؤسسات الحكومية والهيئات الدبلوماسية في الأردن وتركيا وسوريا وفلسطين ولبنان ومصر، فيما يحتمل أن تكون لها أهداف في دول الخليج.
ووجد الباحثون أيضا ضحايا لهذه العصابة ضمن شركات المحاماة والجهات العسكرية والشركات التقنية.
ووفقا لباحثي كاسبرسكي، الذين أعلنوا عن الحملة التهديدية، تعمل «وايرت» بدافع التجسس الرقمي، إذ شوهدت تستخدم أدوات لجمع البيانات والمعلومات الحساسة من ضحاياها.
وقالوا إن هذه المجموعة التخريبية لا تعد متطورة تقنيا، وإنما تعتمد على مجموعة أدوات أساسية وأساليب للتخفي، مثل استخدام ثنائيات الهجوم المعروف بالاسم Living off the Land (LotL)، الذي تلجأ فيه إلى استخدام برمجيات وأدوات رقمية رسمية سليمة لتحقيق دوافعها التخريبية، موضحين أن العصابة استخدمت في بعض الحالات رسائل بريد إلكتروني مخادعة لاستدراج ضحاياها لفتح مستندات «إكسل» و»وورد» خبيثة، وتستعين بخبرتها في خداع الضحايا ودفعهم إلى تنزيل الملفات باستخدام شعارات وموضوعات شائعة في منطقة الشرق الأوسط.
وقال ماهر يموت الباحث الأمني الأول لدى كاسبرسكي، إن ثمة جهات تهديد جديدة ومتطورة تنشأ في أنحاء الشرق الأوسط في ضوء التغيرات الديناميكية الحاصلة في المنطقة، مشيرا إلى أن أهدافها تظل متمثلة في «جمع المعلومات الحساسة»، مشددا على ضرورة أن تحرص المؤسسات الحكومية والشركات على حماية أصولها وبياناتها الحساسة من أي تهديد موجه ناشئ. وأضاف الخبير الأمني: «يتمثل أبرز تكتيك تتبعه العصابة في تثبيت برمجيات خبيثة مبدئية على لغة Visual Basic Script و PowerShell، وبعد أن تنجح في اختراق الضحية، تبدأ في استكشاف الشبكة وتوظيف برمجيات خبيثة أكثر تعقيدا من أجل البقاء خارج نطاق المراقبة والتمكن من جمع أكبر قدر من المعلومات الحساسة».
وأوصت «كاسبرسكي» باتباع عدد من التدابير التالية للبقاء في مأمن من تهديدات «وايرت»، تضمنت تعطيل منصات PowerShell و VBS ما أمكن، والتحري عن أي وجود غير اعتيادي في حركة البيانات عبر الشبكة، مؤكدة أهمية إجراء تدقيق للأمن الرقمي للشبكات ومعالجة أي ثغرات تُكتشف في محيط الشبكة أو داخلها، وتثبيت حلول مكافحة التهديدات المتقدمة المستمرة وحلول الكشف عن التهديدات والاستجابة لها عند أجهزة المستخدمين، ما يتيح اكتشاف التهديدات والتحقيق فيها ومعالجتها في الوقت المناسب.
وتركز العصابة التي يطلق عليها اسم «وايرت» WIRTE، على استهداف المؤسسات الحكومية والهيئات الدبلوماسية في الأردن وتركيا وسوريا وفلسطين ولبنان ومصر، فيما يحتمل أن تكون لها أهداف في دول الخليج.
ووجد الباحثون أيضا ضحايا لهذه العصابة ضمن شركات المحاماة والجهات العسكرية والشركات التقنية.
ووفقا لباحثي كاسبرسكي، الذين أعلنوا عن الحملة التهديدية، تعمل «وايرت» بدافع التجسس الرقمي، إذ شوهدت تستخدم أدوات لجمع البيانات والمعلومات الحساسة من ضحاياها.
وقالوا إن هذه المجموعة التخريبية لا تعد متطورة تقنيا، وإنما تعتمد على مجموعة أدوات أساسية وأساليب للتخفي، مثل استخدام ثنائيات الهجوم المعروف بالاسم Living off the Land (LotL)، الذي تلجأ فيه إلى استخدام برمجيات وأدوات رقمية رسمية سليمة لتحقيق دوافعها التخريبية، موضحين أن العصابة استخدمت في بعض الحالات رسائل بريد إلكتروني مخادعة لاستدراج ضحاياها لفتح مستندات «إكسل» و»وورد» خبيثة، وتستعين بخبرتها في خداع الضحايا ودفعهم إلى تنزيل الملفات باستخدام شعارات وموضوعات شائعة في منطقة الشرق الأوسط.
وقال ماهر يموت الباحث الأمني الأول لدى كاسبرسكي، إن ثمة جهات تهديد جديدة ومتطورة تنشأ في أنحاء الشرق الأوسط في ضوء التغيرات الديناميكية الحاصلة في المنطقة، مشيرا إلى أن أهدافها تظل متمثلة في «جمع المعلومات الحساسة»، مشددا على ضرورة أن تحرص المؤسسات الحكومية والشركات على حماية أصولها وبياناتها الحساسة من أي تهديد موجه ناشئ. وأضاف الخبير الأمني: «يتمثل أبرز تكتيك تتبعه العصابة في تثبيت برمجيات خبيثة مبدئية على لغة Visual Basic Script و PowerShell، وبعد أن تنجح في اختراق الضحية، تبدأ في استكشاف الشبكة وتوظيف برمجيات خبيثة أكثر تعقيدا من أجل البقاء خارج نطاق المراقبة والتمكن من جمع أكبر قدر من المعلومات الحساسة».
وأوصت «كاسبرسكي» باتباع عدد من التدابير التالية للبقاء في مأمن من تهديدات «وايرت»، تضمنت تعطيل منصات PowerShell و VBS ما أمكن، والتحري عن أي وجود غير اعتيادي في حركة البيانات عبر الشبكة، مؤكدة أهمية إجراء تدقيق للأمن الرقمي للشبكات ومعالجة أي ثغرات تُكتشف في محيط الشبكة أو داخلها، وتثبيت حلول مكافحة التهديدات المتقدمة المستمرة وحلول الكشف عن التهديدات والاستجابة لها عند أجهزة المستخدمين، ما يتيح اكتشاف التهديدات والتحقيق فيها ومعالجتها في الوقت المناسب.