استمع إلى المقال

هجوماً إلكترونياً

اكتشف فريق “Talos” التابع لشركة “Cisco” هجوماً إلكترونياً خفيّاً استهدف منظمة خيرية إسلامية غير ربحية في المملكة العربية السعودية.
تم استخدام برنامج تجسس جديد يُسمى “Zardoor” للوصول إلى البيانات والتّحكم فيها.
ويُعتقد أن هذا الهجوم بدأ على الأقل منذ أذار/مارس 2021، وتم تحديد منظمة مستهدفة واحدة فقط حتى الآن، ولكن يُشتبه في وجود ضحايا آخرين.
وأيضاً قدم تقرير الفريق “Talos” التابع لشركة “Cisco” تحليلاً عميقاً لأساليب الهجوم، الأدوات المستخدمة، وتوصيات للحماية ضد التهديدات المتقدمة، مع التأكيد على أهمية الاستجابة السريعة والحماية الشاملة ضد التهديدات السيبرانية

تحليل الحادثة

اختراق المنظمة:

لم يتم تحديد كيفية اختراق المنظمة في البداية، ولكن من المرجّح أن يكون ذلك قد تمّ من خلال أحد الطرق التالية:

  • استغلال ثغرة أمنية في أحد البرامج أو الأنظمة المستخدمة من قِبل المنظمة.
  • استخدام هجمات التصيّد الاحتيالي لخداع موظفي المنظمة للكشف عن معلومات سرّية أو تنزيل برامج ضارة.
  • شنّ هجوم القوة الغاشمة على كلمات المرور الخاصة بحسابات المستخدمينَ.

 نشر برنامج “Zardoor”

بعد الحصول على موطئ قدم داخل المنظمة، قام المهاجمون بنشر برنامج “Zardoor” للحفاظ على الوصول.
“Zardoor”، هو برنامج تجسس جديد تم تصميمه خصيصاً لهذه الحملة.
وهو قادر على:

  • سرقة البيانات الحساسة من المنظمة، مثل أسماء الموظفينَ وعناوينهم وأرقام هواتفهم وتبرعاتهم.
  • تنفيذ أوامر خارجية من قِبل المهاجمينَ، مثل تحميل وتثبيت برامج ضارة أخرى.
  • تحديث عنوان IP الخاص بقناة الاتصال بين البرنامج والجهاز المُصاب.
  • حذف نفسه من الجهاز المُصاب لتجنّب الكشف.

إنشاء قنوات اتصال

كذلك قام المهاجمون بإنشاء قنوات اتصال باستخدام أدوات مجانية مثل Fast Reverse Proxy و sSocks و Venom.
هذه الأدوات تسمح للمهاجمينَ بالاتصال بالجهاز المُصاب عن بُعد والتحكّم به.

استخدام أداة Windows Management Instrumentation) WMI)

بمجرد إنشاء الاتصال، استخدم المهاجمون أداة Windows Management Instrumentation) WMI) للتوسّع ونشر أدواتهم، بما في ذلك “Zardoor” على نظام المستهدف.
“WMI” هي أداة مدمجة في نظام التشغيل “Windows” تسمح للمسؤولين بإدارة الأجهزة والشبكات.

استخراج البيانات:

تم استخراج البيانات من المنظمة المستهدفة بشكل دوري، حوالي مرتَين في الشهر.
تم إرسال البيانات المسروقة إلى خادم مُتحكّم به من قبل المهاجمينَ.

وراء هجمات “Zardoor”

تحليلاتٌ تشير إلى أن هجمات “Zardoor”، المتقدمة والدقيقة، تنفّذها جهة مجهولة ذات مهارة عالية.
عدم القدرة على ربط هذه الحملات بأي مجموعة تهديد معروفة يلمّح إلى استخدام تقنيات فريدة ومعقّدة. الأساليب المستخدمة تكشف عن إمكانيات تجاوز المجرمينَ الإلكترونيينَ العاديينَ، مما يرجّح أن الدوافع وراء هذه الحملات تحمل أبعاداً جيوسياسية، ربما كجزءٍ من استراتيجيات تهدف إلى التأثير على السياسة الدولية أو تعزيز مصالح دولية محددة.
الاستهداف المتخصص واستخدام تكتيكات تجنّب الكشف المتطورة تؤكد على ضرورة تطوير الدفاعات السيبرانية لمواجهة هذه التهديدات المعقّدة والمدفوعة بدوافع جيوسياسية.

التأثير

لا يزال من غير المعروف ما هو التأثير الكامل لهذا الهجوم.

في الختام

في النهاية الأبواب الخلفية مثل “Zardoor” تكشف عن واقع مرير في عالم الأمن السيبراني؛ الخطر الخفي الذي يمكن أن يستشري في الأنظمة لمُدد طويلة دون اكتشاف.

لذلك هذه البرمجيات الضارة لا تسلط الضوء فقط على براعة التقنية للمهاجمين، بل تبرز أيضًا الثغرات العميقة في دفاعاتنا الإلكترونية.
القدرة على الوصول غير المرئي إلى المعلومات والسيطرة عليها لفترات طويلة تعتبر سلاحًا قويًا يستخدم في الظل، مما يجعلنا عرضة للخطر بشكل دائم دون علم أو استعداد كافٍ.
في عصر يزداد فيه الاعتماد على الفضاء السيبراني، يبرز التهديد الدائم للاختراقات طويلة الأمد كتذكيرٍ قوي بأن الأمان يبدأ بالوعي والفهم العميق للمخاطر المُحدقة في كل لحظة من تفاعلاتنا الرقمية.

هل أعجبك المحتوى وتريد المزيد منه يصل إلى صندوق بريدك الإلكتروني بشكلٍ دوري؟
انضم إلى قائمة من يقدّرون محتوى إكسڤار واشترك بنشرتنا البريدية.
5 1 صوت
قيم المقال
Subscribe
نبّهني عن
0 تعليقات
Inline Feedbacks
مشاهدة كل التعليقات