علم باحثون الأمن العاملون لدى كاسبرسكي بوقوع آلاف الهجمات على بنوك كبيرة واقعة في منطقة جنوب الصحراء الكبرى بالقارة الإفريقية. ويُرجّح بناء على البرمجية الخبيثة المستخدمة في الهجمات أن تكون الجهةالتخريبية الكامنة وراءها مجموعة قرصنة سيئة السمعة، وعُرفت في السابق بمسؤوليتها عن سرقة ملايين الدولارات من بنوك في جميع أنحاء العالم.
وتُعد مجموعة Silence واحدة من أخطر الجهات التخريبية في مجال التهديدات المتقدمة المستمرة، والتي نفذت حملات ناجحة استهدفت بنوكًا ومؤسسات مالية في جميع أنحاء العالم. ويبدأ السيناريو المعتاد للهجوم بمخطّط قائم على الهندسة الاجتماعية، إذ يُرسل المهاجمون بريدًا إلكترونيًا تصيّديًا يحتوي على برمجية خبيثة إلى موظف في البنك. ومن هناك، تدخل البرمجية المرسلة في محيط المجال الأمني للبنك وتستكين لبعض الوقت،جامعة معلومات عن المؤسسة ونشاطها اليومي عبر لقطاتٍلشاشة الجهاز المصاب وتسجيلات فيديو للنشاط اليومي الذي يجري عبره. وبمجرد أن يصبح المهاجمون على استعداد لاتخاذ إجراء، يعملون على تنشيط جميع إمكانات البرمجية الخبيثة ويسرقون الأموال من أجهزة الصراف الآلي، مثلًا، لتصل الخسائر في بعض الأحيان إلى ملايين الدولارات.
وكانت الهجمات المكتشفة قد بدأت في الأسبوع الأول من شهر يناير الجاري، في إشارة إلى أن الجهةالتخريبية التي تهدّدها على وشك البدء في المرحلة النهائية من عملياتها وسرقة الأموال. وما زالت الهجمات متواصلة حتى الآن وتستهدف بنوكًا كبيرة في العديد من البلدان الإفريقية.
ويُرجع الباحثون الهجمات إلى مجموعة Silenceالناطقة بالروسية، بناءً على البرمجية الخبيثة المستخدمة فيها، والتي لم تُستخدم سابقًا سوى في عمليات المجموعة، كما أناللغة التي كُتبت بها البرمجية هي اللغة الروسية: حاول ممثلو التهديد التغطية قليلًا على هذه الحقيقة عن طريق كتابة الكلمات الروسية باستخدام لوحة مفاتيح بتوزيع إنجليزي.
وقال سيرجي غولوفانوف الباحث الأمني في كاسبرسكي، إن مجموعة Silenceاتسمت بالنشاط في السنوات الماضية، مشيرًا إلى أن نشاطها الذي يتطلب فترة غير قصيرة من الهدوء والمراقبة الصامتة التي تسبق سرقات منسقة وسريعة "يعكس اسمها بوضوح"، وأضاف: "لاحظنا اهتمامًا متزايدًا من هذه المجموعة بالمؤسسات المصرفية في العام 2017 وأنها تتطور منذ ذلك الوقت باستمرار، فتصل إلى مناطق جديدة وتحدّث أساليبها الخاصة بالهندسة الاجتماعية، لذلكنحثّ جميع البنوك على التزام اليقظة وتوخّي الحذر، نظرًا لأن المجموعة لا تكتفي بسرقة الأموال وإنما تسرق المعلومات الحساسة أيضًا أثناء مراقبة نشاط البنوك، وهو ما يُعدّانتهاكًا خطرًا للخصوصية قد يكلّف خسائر تفوق قيمتها الأموال المسروقة".
يُشار إلى أن حلول كاسبرسكي قادرة على اكتشاف البرمجيات الخبيثة المستخدمة في العملية بالاسمينHEUR:Trojan.Win32.Generic، PDM:Exploit.Win32.Generic.
وتدعو كاسبرسكي المؤسسات المالية إلى تطبيق التدابير التالية حمايةً من هذه الهجمات وغيرها:
• تقديم التدريب الأساسي لرفع الوعي الأمني لدى جميع الموظفين حتى يتمكنوا من تمييز محاولات الخداع.
• مراقبة النشاط في مراكز العمليات ومراكز أمن المعلومات المؤسسية.
• تزويد فريق الأمن بإمكانية الوصول إلى البيانات المحدثة لمعلومات التهديدات، من أجل تمكينه من مواكبة أحدث الأساليب والأدوات التي يستخدمها مجرمو الإنترنت.
• إعداد خطة للاستجابة للحوادث لتكون جاهزة للحوادث المحتمل وقوعها في بيئة الشبكة المؤسسية.