استمع إلى المقال

كشف تقرير “أفق التهديد” (Threat Horizon) الأخير، الذي نشره فريق الأمن السيبراني في شركة جوجل منذ بضعة أيام عن ثلاثة أمورٍ جوهرية تتعلق بالاختراقات الأمنية مؤخرًا؛ وهي أن المتسللين يستهدفون منصة جوجل السحابية (Google Cloud Platform) بشكلٍ رئيسي لأغراض تعدين العملات المشفرة، بينما أطلقت روسيا حملة تصيد احتيالي على Gmail، وتظاهرت كوريا الشمالية بأنها شركة سامسونج من أجل الإيقاع ببعض الضحايا في جارتها الجنوبية.

التسلل في سبيل التعدين

يعد تعدين العملات المشفرة نشاطًا ربحيًا يتطلب في غالب الأوقات كمياتٍ كبيرة من قوة الحوسبة، والتي يمكن لعملاء “سحابة جوجل” (Google Cloud) الوصول إليها بتكلفةٍ معينة. وسحابة جوجل هي عبارة عن نظام أساسي للتخزين عن بُعد حيث يمكن للعملاء الاحتفاظ بالبيانات والملفات خارج المواقع الإلكترونية.

قالت جوجل إن 86% من 50 حسابًا تم اختراقها مؤخرًا على سحابة جوجل تم استخدامها لأداء عمليات تعدين العملة المشفرة. وأوضحت الشركة أنه في معظم حالات الاختراق، تم تنصيب برامج تعدين العملات المشفرة في غضون 22 ثانية فقط من اختراق الحساب.

كما تم استخدام حوالي 10% من الحسابات المخترقة لإجراء عمليات مسح للموارد الأخرى المتاحة للعامة على الإنترنت لتحديد نقاط ضعف الأنظمة المعرضة للخطر، بينما تم استخدام 8% من الحالات لمهاجمة أهداف أخرى.

يُذكر أن بيتكوين، العملة المشفرة الأكثر شهرة والأعلى قيمةً في العالم، تعرّضت لانتقاداتٍ واسعة لكونها كثيفة الاستخدام للطاقة. إذ يستخدم تعدين البيتكوين طاقةً أكثر من بعض البلدان بأكملها، مثل سويسرا والنرويج.

التصيّد الروسي

في التقرير نفسه، حذرت عملاقة البحث الأمريكي من هجوم إلكتروني قاده مجموعة قراصنة روس تدعى “فانسي بير” (Fancy Bear) استهدف مستخدمي Gmail. إذ قالت إن الحملة تهدف إلى سرقة بيانات اعتماد تسجيل دخول الأشخاص باستخدام رسائل البريد الإلكتروني الهاتفية المرسلة إلى صناديق البريد الوارد الخاصة بهم.

استهدف الهجوم أكثر من 12 ألف حساب على Gmail، لكن جوجل أوقفت الرسائل الخبيثة قبل أن تتسبب في أي ضرر، بحسب زعمها. وهذه هي الأحدث في سلسلة الهجمات التي نفذتها “فانسي بير”، مجموعة القراصنة التي تعمل لحساب وكالة المخابرات الروسية العليا، وتنفذ حملات قرصنة ترعاها الدولة ضد أهدافٍ بارزة مثل الشخصيات السياسية والنشطاء.

قام المهاجمون بمحاولة استخلاص بيانات تسجيل دخول الأشخاص المستهدفين باستخدام بريد إلكتروني للتصيد الاحتيالي؛ وهو هجوم يخدع فيه مجرمو الإنترنت الضحايا لتسليم معلوماتٍ شخصية حساسة. إذ احتوى سطر موضوع البريد الإلكتروني -أي العنوان- على عبارة “تنبيه أمان مهم”، وتم تزييفه ليبدو كما لو كان من جوجل.

تقول الرسالة: “هناك احتمال أن يكون هذا إنذارًا خاطئًا، لكننا نعتقد أن مهاجمون مدعومون من قبل بعض الحكومات يحاولون خداعك للحصول على كلمة سر حسابك. لا يمكننا الكشف عما وصلنا من معلومات لأن هؤلاء المهاجمين سيتصرفون بموجب هذه المعلومات، ولكن هذا التصيّد يحدث لأقل من 0.1 في المائة من جميع المستخدمين. وإذا نجحوا، يمكنهم التجسس عليك أو الوصول إلى بياناتك أو اتخاذ إجراءاتٍ أخرى باستخدام حسابك. نوصي بتغيير كلمة المرور الخاصة بك.”

تم تشجيع الضحايا المستهدفين على النقر فوق رابط لتغيير كلمة المرور الخاصة بهم، والذي ينقلهم إلى موقع ويب ضار يديره المتسللون. كان موقع الويب ذاك يشبه صفحة تسجيل الدخول إلى Gmail، وبمجرد كتابة بيانات دخولهم، كان لدى المحتالين الروس ما يريدون.

وأوضح باحثو جوجل أن المناطق المستهدفة بشدة في هذه الحملة كانت تشمل الولايات المتحدة والمملكة المتحدة والهند. وشملت المناطق الأخرى الجديرة بالملاحظة كندا وروسيا نفسها والبرازيل وأعضاء الاتحاد الأوروبي.

يُذكر أن مجموعة “فانسي بير”، المعروفة أيضًا باسم “سترونتيوم” (Strontium)، عملت على إحداث فوضى في الانتخابات الرئاسية الأمريكية لعام 2016. إذ اقتحم المتسللون اللجنة الوطنية الديمقراطية واستهدفوا حملة هيلاري كلينتون.

لتجنب هجمات التصيد الاحتيالي، ينصح الخبراء بعدم النقر فوق روابط من أشخاص لا تعرفهم وتجنب إعطاء معلوماتك إلى موقع غير آمن. وابحث عن الأخطاء الإملائية والروابط أو المرفقات المشبوهة، فهي علامات كلاسيكية تحتويها عادةً الرسالة الاحتيالية. كما أن عناوين البريد الإلكتروني الغريبة وغير العادية هي أيضًا علامة يجب عليك الحذر منها. فإذا لم تكن متأكدًا مما إذا كانت الرسالة أو موقع الويب شرعيًا، فمن الأفضل أن تكون في الجانب الآمن وتتجنب التفاعل معه نهائيًا.

التنكّر الكوري الشمالي

قالت جوجل في تقريرها إن قراصنة من كوريا الشمالية ترعاهم الدولة تظاهروا بأنهم مسئولو توظيف في سامسونج، وأرسلوا عروض عمل مزيفة للموظفين في شركات الأمن الكورية الجنوبية التي تبيع برامج مكافحة البرامج الضارة.

تضمنت رسائل البريد الإلكتروني ملف PDF يُزعم أنه وصف وظيفي لوظيفة في سامسونج، ومع ذلك، فإن ملفات PDF كانت مشوهة ولم تفتح في قارئ PDF قياسي، بحسب جوجل. لكن في تلك الحالة، إذا اشتكى المستهدَفون من عدم تمكنهم من فتح ملف عرض العمل، عرض المتسللون عليهم المساعدة من خلال تزويدهم برابط لتطبيق “Secure PDF Reader” الذي يمكن للمستخدمين تثبيته.

لكن جوجل تقول إن هذا الملف كان نسخةً معدلةً من PDFTron؛ وهو قارئ PDF شرعي، تم تعديله لتثبيت برنامج حصان طروادة خلفي على أجهزة كمبيوتر الضحية؛ ويعني برنامج شرعي يحتوي بداخله على برمجيات خبيثة تنتشر في جهاز الضحية بمجرد التثبيت.

عزا فريق أمان جوجل الذي اكتشف رسائل البريد الإلكتروني الضارة، الهجمات إلى نفس فريق المتسللين الكوريين الشماليين الذين استهدفوا سابقًا الباحثين الأمنيين على تويتر والشبكات الاجتماعية الأخرى في أواخر عام 2020 وطوال عام 2021.

كما قامت مايكروسوفت بتتبع المجموعة ذاتها تحت الاسم الرمزي “زينك” (Zinc)، وقد أربكت تكتيكات هذا الفريق ​​المجتمع الأمني​​، الذي يعتقد أن المجموعة حاولت التسلل من خلال ثغراتٍ أمنية لم يتم الكشف عنها سابقًا.

ومع ذلك، قد يكون هذا الهجوم على صانعي برامج مكافحة الفيروسات في كوريا الجنوبية مختلفًا بعض الشيء، لأن تعريض موظفي تلك الشركات للخطر قد يوفر لمجموعة القراصنة إمكانية الوصول إلى الوسائل اللازمة لتنفيذ “الهجوم على سلسلة التوريد” ضد المنظمات الكورية الجنوبية التي قد تستخدم برامج مكافحة البرمجيات الضارة الخاصة بهذه الشركات.