بالتفاصيل.. عصابة هاكر تستهدف الدبلوماسيين في الشرق الأوسط وإفريقيا
كشف باحثو شركة ESET السلوفاكية لأمن الإنترنت عن عصابة هاكر تحظى برعاية دولة ما، ويطلق عليها اسم BackdoorDiplomacy، بعد أن ارتبط اسمها بتنفيذ هجمات ناجحة ضد وزارات الخارجية في العديد من البلدان الأفريقية والشرق الأوسط وأوروبا وآسيا - إلى جانب مجموعة فرعية أصغر من شركات الاتصالات السلكية واللاسلكية في إفريقيا ومنظمة خيرية واحدة على الأقل في الشرق الأوسط.
ويُعتقد أن عصابة الهاكر BackdoorDiplomacy تعمل منذ عام 2017 على الأقل. وتستهدف مجموعة متعددة من الأنظمة الأساسية بما في ذلك أنظمة التشغيل Linux وWindows ويبدو أنها تفضل استغلال الأجهزة التي تتصل بالإنترنت والأجهزة ذات إعدادات الأمن الضعيفة كأهداف أولية للهجوم.
بمجرد حصولهم على إذن الدخول، يقوم المخترقون بفحص الجهاز وتثبيت باب خلفي مخصص ونشر مجموعة من الأدوات لإجراء المراقبة وسرقة البيانات. يُعتقد أن الباب الخلفي، المعروف باسم Turian، يستند إلى Quarian backdoor - وهو برنامج ضار مرتبط بالهجمات المستخدمة ضد أهداف دبلوماسية في سوريا والولايات المتحدة في عام 2013.
إذا تم العثور على خوادم الويب أو واجهات إدارة الشبكة التي تحتوي على نقاط ضعف، مثل نقاط الضعف في البرامج أو ضعف أمان تحميل الملفات، يتم السيطرة على الجهاز المستهدف بالكامل. ولاحظ الباحثون استخدام خطأ F5 - CVE-2020-5902 - لنشر باب خلفي على نظام Linux، بينما في حالة أخرى، اعتمد الهاكر على اختراق الأجهزة باستغلال أخطاء الخادم من أجل جمع واستخراج بيانات النظام، والتقاط لقطات شاشة، وكذلك الكتابة فوق الملفات أو نقلها أو حذفها أو سرقتها. ومن بين الأدوات المستخدمة برنامج نفق الشبكة EarthWorm وMimikatz وNetCat والبرامج التي طورتها وكالة الأمن القومي الأمريكية وبعض البرامج التي ألغتها مثل EternalBlue وDoublePulsar وEternalRocks.
وحمل الباحثون عصابة الهاكر مسؤولية تشويش أنشطة الأجهزة.
وكشفت الشركة على موقعها الإلكتروني Enjoy Safer Technologyعن تعرض أجهزة الدبلوماسيين في بعض دول الشرق الأوسط للاختراق وتكمن الخطورة في تعامل الدبلوماسيين والمسولين المعتاد مع المعلومات الحساسة التي يتم تسليمها من خلال محركات الأقراص القابلة للإزالة والتخزين. لتوسيع نطاق أنشطة التجسس الإلكتروني، تخترق مجموعة الهاكر BackdoorDiplomacy محركات الأقراص والذاكرة الفلاشية وتحاول نسخ جميع الملفات منها إلى أرشيف محمي بكلمة مرور يتم نقله بعد ذلك إلى مركز القيادة والتحكم عبر الباب الخلفي. وبينما تم تسجيل BackdoorDiplomacy باعتبارها عصابة إنترنت خطيرة في حد ذاته،ا يبدو أن هناك روابط أخرى، أو على الأقل، خيوط مشتركة بينها وبين مجموعات تهديد أخرى.