بدأت شركة «بالو ألتو نتوركس» بتتبع حملة هجومية ظهر في البداية أنها تستهدف مؤسسات في إحدى دول الشرق الأوسط. غير أن التحليل اللاحق كشف احتمال أن النشاط الهجومي هذا هو جزء من حملة أكبر بكثير لا تستهدف منطقة الشرق الأوسط فحسب، بل الولايات المتحدة وبعض أرجاء أوروبا وآسيا أيضاً.
وكشف تحليل الشركة للمستندات الالكترونية المستخدمة في توصيل الفيروس أنها صممت لتحميل ماكرو برمجي خبيث عن بعد من خادم شبكي بانتهاج أسلوب حقن قوالب المستندات. ويستغل الماكرو النشرات في موقع التدوين «بلوج سبوت» BlogSpot لاستجلاب نص برمجي يستخدم بدوره عدة نصوص برمجية ملصوقة على موقع «بايست بين» Pastebin لغرض تنزيل نصوص برمجية إضافية، الأمر الذي يؤدي بالمحصلة إلى تلقيم حمولة برمجية من فيروس «ريفينج» لولوج الأجهزة عن بعد، وذلك بمؤازرة خادم تحكم وقيادة هجومي يحمل اسم نطاق مسجل لدى خدمة duckdns[.]org.
وأثناء بحث الشركة، وجدنا عدة مستندات توصيل تنتهج نفس الإجراءات التي تؤدي إلى تثبيت فيروس «ريفينج» للدخول عن بعد والمستضاف على موقع «بايست بين»، مما يشير إلى اتباع الجهة المعادية التكتيكات والأساليب والإجراءات ذاتها في كافة مراحل حملتها الهجومية.
ذهبت بالو ألتو نتوركس في البداية إلى احتمال ارتباط هذا النشاط المعادي بجماعة «جورجون»، وارتكزت الفرضية هذه على المستوى العالي في التكتيكات والأساليب والإجراءات الهجومية، بما في ذلك استخدام فيروس «ريفينج» للدخول عن بعد. لكن االشركة لم تحدد بعد قواسم مشتركة مباشرة ومتطابقة تشير إلى جماعة «جورجون». لذلك لا نستطيع إسناد هذا النشاط الهجومي إلى جماعة «جورجون» بدرجة مناسبة من اليقين.
مواضيع أخرى لها علاقة بشركة بالو ألتو نتوركس:
-
برمجية لوكر جوجا تشنُّ عدة هجمات إلكترونية على عدد من الشركات العالمية
-
برمجية ميراي الخبيثة تستهدف أجهزة الراوتر وأجهزة تسجيل الفيديو الرقمي وكاميرات المراقبة المتصلة بالإنترنت وأجهزة التلفاز
في ضوء ما ورد، أطلقت بالو ألتو نتوركس على النشاط الموصوف في هذه النشرة اسم حملة «أجّاه» Aggah بالنظر إلى الاسم المستعار للجهة المعادية hagga، والذي استخدم لتوزيع البيانات المرسلة إلى خادم التحكم والقيادة الهجومي لفيروس «ريفينج»، فضلاً عن كونه الاسم المستخدم في حسابات موقع «بايست بين»Pastebin لاستضافة الحمولة البرمجية للفيروس.
وقامت الشركة بتحليل مستند توصيل أُرسل بالبريد الالكتروني إلى منظمة في إحدى دول الشرق الأوسط بتاريخ 27 مارس 2019. وتبين أن منشأ البريد هو مؤسسة مالية كبرى في الدولة ذاتها، مع احتمال أنه قد تم انتحال صفتها. وحمل البريد موضوع “جرى قفل حسابكم”.
هذا وقد أرسل مستند التوصيل الأولي في البداية إلى إحدى المنظمات العاملة في دولة شرق أوسطية، وعلى وجه التحديد إلى منظمة تعمل في إحدى القطاعات الرئيسة في التعليم/الإعلام/التسويق. وبعد أربعة أيام، أي بتاريخ 31 مارس، لاحظت بالو ألتو نتوركس إرسال بريد التوصيل ذاته إلى منظمة مالية في بلد شرق أوسطي آخر.
موضوع جدير بالاهتمام: الإمارات والمملكة العربية السعودية تشهدان الموجة الأسرع في تبني تقنيات إنترنت الأشياء في الشرق الأوسط
واكتشفنا لاحقًا أن مستند التوصيل هذا كان واحدًا من عدة مستندات منخرطة في حملة أكبر، وقد جرى إرسالها إلى منظمات في الولايات المتحدة وأوروبا وآسيا لاستهداف القطاع الرئيس ذاته كما حصل في الشرق الأوسط، إضافة إلى قطاعات التكنولوجيا والتجزئة والتصنيع والحكومة والضيافة والطب وغيرها من الأعمال المهنية. ومن ناحية وظيفية، كانت المستندات ذات الصلة متشابهة فيما بينها، لذلك سنتجه إلى توصيف النموذج الأصلي الذي تم تحليله.
من اختيارات أسرة التحرير:
-
هل تقوم أمازون حقاً بزراعة الجواسيس في منازلنا؟
-
ما هو ذلك الشيء الذي ساهم في ظهور أول هاتف آيفون على مستوى العالم؟
-
كيف نتخلص من القلق والتوتر؟
-
برنامج يسمح للقراصنة بالتجسس عليك من خلال كاميرا الهاتف الذكي الخاص بك