سيمانتيك بلوغ: هجمات تستهدف شبكات تزويد المعلومات السعودية

نشر موقع "سيمانتيك بلوغ" تقريرا، يقول فيه إن مجموعة "تورتيوزشل" استهدفت مزودي تكنولوجيا المعلومات في السعودية، في محاولة لاستهداف سلسلة الإمدادات.

ويشير التقرير، الذي ترجمته "عربي21"، إلى أن هجوما لم يتم توثيقه من قبل استخدم برمجية خبيثة وأدوات جاهزة لاستهداف مزودي تكنولوجيا المعلومات، فيما يبدو أنها هجمات على سلسلة الإمدادات؛ بهدف إفساد عملية تزويد المعلومات. 

ويلفت الموقع إلى أن هذه المجموعة، التي تعمل منذ تموز/ يوليو 2018، يطلق عليها "تورتيوزشل"، واستهدفت ما مجموعه 11 منظمة معظمها في السعودية، مشيرا إلى أن المهاجمين استطاعوا في حالتين الوصول إلى الحساب الرئيسي. 

ويكشف التقرير عن أن واحدا من العناصر البارزة في الهجمات هو أن الشبكتين اللتين تعرضتا للخطر تمت فيها إصابة مئات أجهزة الحاسوب ببرمجية خبيثة، وهو عدد كبير من أجهزة الحاسوب تتم إصابتها بالعدوى في هجوم واحد، مشيرة إلى أنه من الممكن أن يكون المهاجمون قد أجبروا على إصابة أكبر عدد ممكن من أجهزة الحاسوب قبل الوصول إلى الأجهزة التي يريدونها. 

ويورد الموقع نقلا عن المنظمة، قولها إنها شاهدت نشاطات "تورتيوزشل" في تموز/ يوليو 2019، مشيرا إلى أن البرمجية الخبيثة التي استخدمتها المنظمة اسمها "باكدور سكايكت"، ويمكن تحميلها وتشغيلها من خلال أدوات إضافة ولوحات التحكم. 

وينوه التقرير إلى أن الجهات التي تقف وراءها قامت بتطويرها في برنامجي "ديلفي" و"نيت"، فيما لم يتم تحديد الطريقة التي تم فيها إفساد الأجهزة بالبرمجية الخبيثة، وربما تعريض مزود للإنترنت للخطر من أجل تمرير البرمجية الخبيثة إلى بقية الشبكة. 

ويقول الموقع إن هذا يكشف عن أن المهاجمين استطاعوا السيطرة على الحساب الرئيسي للوصول إلى الشبكات التابعة له، مشيرا إلى أنه عند الدخول إلى حاسوب الضحية فإن "تورتويزشل" تقوم بنشر أدوات لجمع المعلومات، واستعادة كم واسع من المعلومات، مثل تنظيم المزود وكيفية إدارة التطبيقات ونظام المعلومات والروابط التي تربط الشبكة. 

ويفيد التقرير بأن شبكتين كانتا ضحية، نشرت مجموعة "تورتوزشل" أدوات لجمع المعلومات إلى ملف "نتلوغون" في مجال التحكم، وهو ما أدى إلى قيام أدوات جمع المعلومات بالتحرك بطريقة أوتوماتيكية عندما يقوم مستخدم بالدخول إلى حسابه، ما يعني أن الهجوم وصل إلى مستوى التحكم في الحساب الرئيسي، أي صار للمجموعة منفذ إلى الشبكة. 

ويذكر الموقع أن منظمة "سيمانتيك" لاحظت على واحدة من الشبكات التي تعرضت للهجوم وجود أداة اسمها "بويزون فروغ" تم نشرها قبل ظهور أدوات "تورتوزشل"، لافتا إلى أن "بويزون فروغ" يعد نوعا آخر من "باكدور سكايكت" وأداة أخرى اسمها "بونديو أبديت"، التي استخدمت في السابق في هجمات على الشرق الأوسط. 

وبحسب التقرير، فإنه تم تسريب الأدوات هذا العام من خلال تطبيق "تلغرام" في نيسان/ أبريل، وهي مرتبطة بمجموعة معروفة بـ"إي بي تي 34" أو "أويلرغ"، لافتا إلى أنه لا يوجد ما يشير إلى أن الفاعل في "تورتوزشل" و"بويزن فروغ" واحد، والأدلة المتوفرة تشير لعدم وجود روابط بينهما. 

ويختم "سيمانتيك بلوغ" تقريره بالإشارة إلى أنه يعتقد أن الدافع وراء الهجوم على مزودي المعلومات هو تعطيل شبكة الإمدادات، التي تعاني من زيادة هجمات في السنوات القليلة الماضية، التي زادت في عام 2018 بنسبة 78%.

لقراءة النص الأصلي اضغط (هنا)