كتب : نهله مقلد – عادل فريج

لا تستفيد الشركات والموظفين فقط من خدمات التخزين السحابي، فوفقاً لباحثي الأمن السيبراني في الوحدة 42 في شركة Palo Alto Networks فإن هذا هو بالضبط ما يفعله الهاكرز الذين يعملون نيابة عن مجموعة التهديد المستمر المتقدم التي يسمونها Cloaked Ursa.
ويُعتقد على نطاق واسع أن المجموعة مرتبطة بخدمة الاستخبارات الخارجية الروسية المسؤولة عن العديد من الهجمات الإلكترونية الكبرى، بما في ذلك هجوم سلسلة التوريد ضد سولار ويندز واختراق اللجنة الوطنية الديمقراطية الأمريكية، وحملات التجسس التي تستهدف الحكومات والسفارات في جميع أنحاء العالم.
ويحاول الهاكرز الآن استخدام الخدمات السحابية المشروعة، بما في ذلك جوجل درايف ودروب بوكس، و استخدموا بالفعل هذا التكتيك كجزء من الهجمات التي وقعت بين مايو (أيار) ويونيو (حزيران) من هذا العام.
وتبدأ الهجمات برسائل بريد إلكتروني تصيدية يتم إرسالها إلى أهداف في السفارات الأوروبية ، متظاهرة بأنها دعوات لحضور اجتماعات مع السفراء، مع استكمال جدول الأعمال المفترض المرفق كملف بي دي إف.
ويعد ملف بي دي إف ضاراً، وإذا كان يعمل على النحو المنشود، فإنه يستدعي حساب دروب بوكس يديره المهاجمون لتوصيل أداة اختراق سرية إلى جهاز الضحية. ومع ذلك، لم تنجح هذه الحيلة في وقت سابق من هذا العام، وهو أمر يقترح الباحثون أنه يرجع إلى السياسات التقييدية على شبكات الشركات حول استخدام خدمات الجهات الخارجية.
لكن المهاجمين تكيفوا، وأرسلوا رسائل بريد إلكتروني احتيالية مماثلة كإغراء ثانٍ، ولكن بدلاً من ذلك استخدموا التواصل مع حسابات غوغل درايف لإخفاء نشاطهم ونشر أداة الاختراق والبرامج الضارة في البيئات المستهدفة. ويبدو أن هذه المخالفة لم يتم حظرها، على الأرجح لأن العديد من أماكن العمل تستخدم تطبيقات غوغل كجزء من العمليات اليومية، لذلك يُنظر إلى حظر غوغل درايف على أنه غير فعال بالنسبة للإنتاجية.