كشف باحثون في كاسبرسكي، خلال تحقيق طويل بدأ في يناير 2019 واستهدف حملة تجسسية مستمرة أطلقتها عصابة رقمية تعرف بالاسم Transparent Tribe لتوزيع تروجان الوصول عن بُعد Crimson RAT، عن أن الحملة استهدفت أكثر من 1000 هدف في حوالي 30 دولة خلال عام واحد فقط. وكانت الهجمات التي شُنّت خلال الحملة بدأت بإرسال مستندات Microsoft Office خبيثة إلى الضحايا عبر رسائل بريد إلكتروني تصيدية موجهة. وكشف البحث أيضًا عن مكونات جديدة لم تكن معروفة في السابق للتروجان Crimson RAT، ما يشير إلى أنه ما زال قيد التطوير. ووردت هذه النتائج وغيرها في تقرير الجزء الأول من التحقيق الذي نشرته كاسبرسكي.
وتُعتبر عصابة Transparent Tribe الرقمية (المعروفة أيضًا بالاسمين PROJECTM وMYTHIC LEOPARD) مجموعة نشطة عالية الإنتاجية، وتشتهر في أوساط قطاع الأمن الرقمي بحملات التجسس الضخمة. وظلّت كاسبرسكي منذ العام 2016 تراقب المجموعة التي يعود نشاطها إلى العام 2013.
ويُعدّ تفخيخ المستندات بشيفرات خبيثة الطريقة المفضلة لدى العصابة لإصابة أهدافها، في حين أن أبرز برمجياتها الخبيثة هو تروجان .NET RAT الخاضع للتعديل والذي يتيح الدخول عن بُعد إلى الأنظمة المستهدفة، ويُعرف بالاسم Crimson RAT. وتتألف هذه الأداة من مكونات مختلفة تسمح للمهاجمين بتنفيذ أنشطة متعددة على الأجهزة المصابة، بينها إدارة أنظمة الملفات البعيدة، والحصول على لقطات للشاشة، والمراقبة الصوتية بالميكروفون، وتسجيل تدفقات الفيديو الواردة من كاميرات الويب، وسرقة الملفات من وسائط التخزين المنقولة.
وقد حافظت العصابة على اتساق تكتيكاتها وأساليبها طوال السنين الماضية، بالرغم من أن أبحاث كاسبرسكي أظهرت أنها قد حرصت باستمرار على تطوير برمجيات خبيثة جديدة لحملات محددة. ووجد الباحثون خلال تحقيقهم في أنشطة العصابة في العام الماضي، ملف .NET كانت تقنيات كاسبرسكي الأمنية اكتشفته وعرفته بوصفه تروجان Crimson RAT. لكن تحقيقًا أعمق أظهر أنه في الواقع شيء مختلف؛ مكوِّن جديد من مكونات Crimson RAT العاملة في جهة الجهاز الخادم، يستخدمه المهاجمون للتحكّم في الأجهزة المصابة. وكان هذا المكوّن البرمجي، الذي عُثر عليه في نسختين، جرى تجميعه في الأعوام 2017 و2018 و2019، ما يشير إلى أنه خاضع للتطوير المستمر.
وتمكنت كاسبرسكي من مراقبة تطوّر عصابة Transparent Tribe من خلال القائمة المحدّثة للمكونات التي تستخدمها، وعبر تتبّع الطرق التي تتنامى بها أنشطتها وتبدأ بها حملات تخريبية واسعة وتطوّر أدوات جديدة. ووجد باحثو كاسبرسكي 1,093 هدفًا للعصابة في 27 دولة، أخذًا في الاعتبار جميع المكونات التي اكتُشفت بين يونيو 2019 ويونيو 2020. وجاءت أفغانستان وباكستان والهند وإيران وألمانيا على رأس قائمة البلدان الأكثر تضررًا.
شكل يُظهر أكثر الدول استهدافًا بين يونيو 2019 ويونيو 2020، من ناحية أعداد المستخدمين.
وقال غيامباولو ديدولا الخبير الأمني لدى كاسبرسكي إن تحقيق الشركة يُشير إلى أن عصابة Transparent Tribe تواصل تنفيذ "أنشطة تخريبية واسعة ضد أهداف متعددة"، لافتًا إلى أن الاثني عشر شهرًا الماضية شهدت حملة واسعة جدًا ضد أهداف عسكرية ودبلوماسية باستخدام بنية تحتية كبيرة لدعم عملياتها والتحسينات المستمرة في ترسانتها من البرمجيات التخريبية، وأضاف: "تواصل العصابة الاستثمار في تروجانها الأساسي الخاص بالوصول عن بُعد، Crimson، لتنفيذ أنشطة استخباراتية وتجسسية على أهداف حساسة، ونتوقع عدم حدوث أي تباطؤ في نشاط هذه المجموعة التخريبية في المستقبل القريب، لكننا سنواصل جهودنا في مراقبة أنشطتها عن كثب".
ويمكن الوصول إلى معلومات تفصيلية حول مؤشرات الاختراق المتعلقة بهذه العصابة، بما يتضمّن تجزئات الملفات وخوادم القيادة والسيطرة، عبر بوابة Kaspersky Threat Intelligence Portal.
وتوصي كاسبرسكي باتخاذ الإجراءات الأمنية التالية للبقاء في مأمن من التهديدات:
· تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات. وتُعدّ بوابة Kaspersky Threat Intelligence Portal منصة واحدة يمكن للمؤسسات عبرها الوصول إلى أحدث المعلومات الخاصة بالتهديدات، حيث تتاح البيانات المتعلقة بالهجمات الإلكترونية والرؤى التي جمعتها كاسبرسكي بشأنها على مدار أكثر من 20 عامًا.
· الحرص على توظيف حلول مثل Kaspersky Endpoint Detection and Response، الذي يتيح اكتشاف التهديدات عند مستوى النقاط الطرفية والتحقيق فيها والاستجابة لها في الوقت المناسب.
· توظيف حل أمني على المستوى المؤسسي، مثل Kaspersky Anti Targeted Attack Platform، القادر على اكتشاف التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة من حصولها.
· تزويد الموظفين بالتدريب على أساسيات الأمن الرقمي، نظرًا لأن العديد من الهجمات الموجّهة تبدأ بالتصيّد وتعتمد على تقنيات الهندسة الاجتماعية الأخرى. ويمكن تنفيذ عملية محاكاة لهجوم تصيد للتأكّد من قدرة الموظفين على تمييز رسائل البريد الإلكتروني المخادعة.
يمكن الاطلاع على التقرير الكامل على الصفحة Securelist.
