بالو ألتو نتوركس ترصد هجمات إلكترونية على المؤسسات الحكومية في الشرق الأوسط

رصدت بالو ألتو نتوركس، الشركة المختصة في تطوير الجيل التالي من الحلول الأمنية، هجمات مستمرّة لمجموعة أويلريج OilRig ضد المؤسسات الحكومية في منطقة الشرق الأوسط متّبعة تكتيكات مراوغة وأدوات مختلفة عن تلك التي استخدمتها في الهجمات السابقة. وفي أحدث هجماتها، قامت مجموعة أويلريغ بإرسال بريد إلكتروني احتيالي يحتوي على طُعم تم تصميمه بعناية لاستدراج متلقّي الرسالة لفتح الملف المرفق المتمثل في برمجية خبيثة.

وتم التعرف على الملف المرفق على أنه نسخة من فيروس تروجان OopsIE والذي تم اكتشافه أول مرّة في فبراير 2018. وتضم هذه النسخة من OopsIE الخصائص ذاتها، إلّا أن الجديد هو إضافة إمكانيات مراوغة ضد وسائل التحليل والأجهزة الافتراضية بهدف تجاوز أنظمة الدفاع الآلية ضد الهجمات الإلكترونية. 

وقد سبق لمجموعة أويلريغ في شهر يوليو 2018 أن أطلقت موجة من الهجمات اعتمدت فيها على برمجية خبيثة تسمىQUADAGENT، واستهدفت إحدى المؤسسات الحكومية في الشرق الأوسط، ولاحظت بالو ألتو نتوركس خلال تلك الموجة من الهجمات أن المجموعة اعتمدت على حسابات بريد إلكتروني مسروقة من المؤسسة ذاتها لإرسال البريد الإلكتروني الاحتيالي مزوداً بفيروس تروجان OopsIE كحمولة خبيثة عوضاً عن برمجية QUADAGENT، كما أن الهجمة التي اعتمدت علىOopsIE استهدفت مؤسسة حكومية أخرى في نفس البلد تختلف عن تلك التي تم استهدافها بالاستعانة ببرمجيةQUADAGENT، وقد حمل البريد الإلكتروني المرسل العنوان التالي باللغة العربية “البرنامج التدريبي لاستمرارية الأعمال”، وقد تم إرسال البريد الإلكتروني إلى مجموعة من المستخدمين وليس إلى عنوان شخص معيّن، واعتماداً على المعلومات المتاحة يبدو أن هذه المجموعة التي تم استهدافها سبق وأصدرت منشورات عدة تتعلق باستمرارية الأعمال على شبكة الإنترنت، مما يعني أن الطُعم المستخدم في البريد الإلكتروني تم تصميمه بعناية لهذه الهجمة. 

وأكدت بالو ألتو نتوركس أن مجموعة أويلريج تمثل تهديداً حقيقياً للمؤسسات في منطقة الشرق الأوسط. وتعمل المجموعة باستمرار على تكرار هجماتها ورفع سوية إمكانيات أدواتها، بينما تحافظ على تكتيكات الهجوم ذاتها تباعاً في كل هجمة. بينما نتابع عن كثب نشاطات مجموعة أويلريج، نلاحظ أنهم على استعداد دائم لإضافة إمكانيات غير شائعة لأدواتهم.

من الأمثلة على ذلك استخدامهم لتكتيك تزويد برمجيات التسلل الخلفي بميزة تحميل البرمجيات الخبيثة ضمن حُزم الاستجابة لخادم DNS، أو تزويد برمجيات webshell الخبيثة بمزايا التوثيق، وهذه الهجمة التي نتحدث عنها هنا لا تختلف من حيث المبدأ، إذ عملت المجموعة على تزويد أدواتها بإمكانيات المراوغة ضد وسائل التحليل، وما من شك أن هذه المجموعة تزخر بإمكانيات عالية وقدرات على التكيّف مع مرور الوقت، ومع ذلك لا بد من القول أيضاً أن التكتيكات التي تعتمدها المجموعة تعتبر بدائية نوعاً ما ويمكن للمؤسسات التحصّن ضدها من خلال اعتماد وسائل حماية بسيطة.