الكشف عن عصابة سيبرانية تتجسس على الكيانات الدبلوماسية بالشرق الأوسط وجنوب آسيا
كشف خبراء امن المعلومات عن اكتشاف عصابة سيبرانية جديدة من مجرمي الإنترنت تحمل اسم "جولدن جاكال" GoldenJackal، تبين أنها تنشط منذ العام 2019، لكنها لا تحمل ملفًا تعريفيًا عامًا، بقيت تعمل خلف الكواليس وبناءً على المعطيات التي خرج بها التحقيق تبين أن هذه عصابة جولدن جاكال تستهدف عادة الكيانات الحكومية والدبلوماسية في الشرق الأوسط وجنوب آسيا.
عصابة سيبرانية خطيرة
وبدأت مراقبة هذه عصابة جولدن جاكال السيبرانية في منتصف العام 2020، ولاحظت أنشطة بانتظام، بعد أن تبيّن لها وجود جهة فاعلة قادرة على التخفي بشكل دائم. ومن أهم هذه الميزات التي تتسم بها العصابة، استخدام مجموعة أدوات محددة تركز على التحكم في أجهزة ضحاياها، والانتشار عبر الأنظمة باستخدام محركات أقراص قابلة للإزالة، إضافة إلى تهريب ملفات معينة منهم، في إشارة قاطعة إلى أن التجسس يعتبر المهمة الأساسية التي تقوم بها.
وأظهر التحقيق أن العصابة تستخدم أدوات تثبيت وهمية لبرنامج الاتصال "سكايب"، إضافة إلى وثائق خبيثة بنسق "وورد" كنواقل أولية لهجماتهم. وكانت أدوات تثبيت "سكايب" المزيفة عبارة عن ملف قابل للتنفيذ يبلغ حجمه 400 ميغابايت تقريبًا. أما الملف فهو عبارة عن برنامج مساعد صغير الحجم يحتوي على مصدرين، وهما: تروجان يحمل اسم "جاكال كونترول"، إضافة إلى مثبت سكايب مستقل للأعمال التجارية. وتم تتبع أول استخدام لهذه الأداة حتى العام 2020، بينما كان ناقل العدوى الآخر عبارة عن مستند خبيث يستخدم تقنية الحقن عن بُعد لتنزيل صفحة HTML خبيثة، ويستغل ثغرة تسمى Follina.
وأطلق على المستند اسم "مستند معرض الضباط الذين حصلوا على جوائز وطنية وأجنبية". ويظهر كنشرة معتمدة تطلب معلومات حول الضباط الذين تم تكريمهم من قبل الحكومة الباكستانية. وتم نشر أول وصف لثغرة Follina في 29 مايو 2022، ويبدو أن هذا المستند قد تم تعديله في 1 يونيو، أي بعد يومين من النشر، واكتشف لأول مرة في 2 يونيو.
وتم إنشاء المستند لتحميل ملف خارجي من موقع إلكتروني شرعي ولكنه مخترق. وحال إتمام تحميل ذلك الملف القابل للتنفيذ، يتم تشغيله، حيث يحتوي على برنامج خبيث من تروجان "جاكال كونترول".
ويسمح تروجان الرئيسي "جاكال كونترول" للمهاجمين بالتحكم في الجهاز المستهدف عن بعد، ويوظفون في هذه العملية مجموعة من الأوامر المحددة والمدعومة مسبقًا. وقام المهاجمون على مر السنين بتوزيع أنواع مختلفة من هذه البرامج الخبيثة، إذ يتضمن بعضها رمزًا للحفاظ على الثبات، بينما تم إنشاء البعض الآخر لغرض التشغيل من دون إصابة النظام. وعادةً ما يصاب الجهاز بمكونات أخرى، مثل برنامج حزمة النص.
وتوجد هناك أداة مهمة ثانية تستخدمها عصابة "جولدن جاكال"، وهي "جاكال ستيل" التي يمكن استخدامها لمراقبة محركات الأقراص USB القابلة للإزالة والمشاركة عن بُعد، إضافة إلى جميع محركات الأقراص المنطقية في النظام المستهدف. ويمكن أن تعمل البرامج الخبيثة كعملية قياسية أو كخدمة، وبما أنها لا تتمكن من الحفاظ على الثبات، يستدعى الأمر الاستعانة بمكوّن آخر من أجل تثبيتها.
وتستخدم عصابة "جولدن جاكل" السيبرانية أيضًا عددًا من الأدوات الإضافية، ومنها JackalWorm وJackalPerInfo وJackalScreenWatcher، حيث تقوم بنشرها في حالات محددة تمكن الباحثون من رصدها، وتهدف تحديدًا إلى التحكم في أجهزة الضحايا، وسرقة بيانات اعتمادهم، وتصوير لقطات لسطح المكتب وما إلى ذلك، بينما يبقى التجسس الهدف النهائي لهذه العصابة.
ويقول جيامباولو ديدولا، باحث أمني أول في فريق البحث والتحليل العالمي لدى كاسبرسكي: "تعتبر عصابة "جولدن جاكال" مثيرة للاهتمام في مجال التهديدات المتقدمة المستمرة، ومحاولاتها الابتعاد عن الأنظار.
برامج خبيثة متقدمة
ورغم اكتشاف أول عملية لها في يونيو 2019، إلا أنها نجحت في التخفي. ونظرًا لامتلاكها مجموعة أدوات برامج خبيثة متقدمة، تمكنت من شن هجمات على الكيانات الحكومية والدبلوماسية في الشرق الأوسط وجنوب آسيا. ولا تزال بعض عمليات زرع البرامج الخبيثة في مراحل التطوير، الأمر الذي يحتّم على فرق الأمن السيبراني البقاء على يقظة تامة من أي هجمات محتملة قد تقوم بها هذه العصابة، ونأمل أن يساعد تحليلنا في منع نشاطها".
نقدم لكم من خلال موقع (فيتو)، تغطية ورصدًا مستمرًّا على مدار الـ 24 ساعة لـ أسعار الذهب، أسعار اللحوم ، أسعار الدولار ، أسعار اليورو ، أسعار العملات ، أخبار الرياضة ، أخبار مصر، أخبار اقتصاد ، أخبار المحافظات ، أخبار السياسة، أخبار الحوادث ، ويقوم فريقنا بمتابعة حصرية لجميع الدوريات العالمية مثل الدوري الإنجليزي ، الدوري الإيطالي ، الدوري المصري، دوري أبطال أوروبا ، دوري أبطال أفريقيا ، دوري أبطال آسيا ، والأحداث الهامة و السياسة الخارجية والداخلية بالإضافة للنقل الحصري لـ أخبار الفن والعديد من الأنشطة الثقافية والأدبية.
