الكشف عن أول مجموعة تجسس عربية تخترق مؤسسات حكومية

كشف فريق الدراسات والأبحاث العالمي في مختبرات كاسبرسكي عن أول مجموعة اختراق وتجسس إلكتروني عربية تطلق على نفسها اسم "صقور الصحراء" تستهدف المنظمات الرسمية والإعلامية والأفراد رفيعي المستوى في منطقة الشرق الأوسط.

وأكد الخبراء أن المجموعة تعتبر الأولى من نوعها التي يتم التعرف عليها والتي يقف وراءها أشخاص ناطقون بالعربية، والذين يعكفون على تطوير وتشغيل عمليات تجسس إلكترونية واسعة النطاق.

•  العمليات التجسيسة طالت كل من المؤسسات الإعلامية والحكومية والأفراد في السعودية.

•  المؤسسات الإعلامية السعودية لم تقع في دائرة عمليات التجسس التي قامت بها مجموعة صقور الصحراء.

•  عمليات التجسس قائمة ولا تزال على مدار العامين الماضيين. بدأت مجموعة صقور الصحراء بتطوير وبناء عملياتهم في عام 2011، إلا أن حملتهم الأساسية الأضرار الحقيقة بدأت في 2013، وقد تم رصد ذورة نشاطهم في بدايات العام الحالي 2015.

• الأغلبية العظمى من الأهداف هي في مصر وفلسطين وإسرائيل والأردن.

•  بعيداً عن الشرق الأوسط ودول المنطقة التي تم استهدافها في الهجمات والبدايات الأولى للمجوعة، فإن مجموعة صقور الصحراء تقوم بالتصيد خارج المنطقة. فقد تمكنوا إجمالياً من مهاجمة أكثر من 3 آلاف ضحية في أكثر من 50 دولة في العالم، وتمكنوا من سرقة أكثر من مليون ملف إلكتروني.

•  تستخدم مجموعة التجسس الإلكترونية أدوات تخريبية تستهدف مستخدمي الأجهزة العاملة بنظامي ويندوز وأندرويد.

•  لدى خبراء كاسبرسكي العديد من الأسباب تدفعهم للاعتقاد بأن الهاكرز الذين يقفون وراء عصابة "صقور الصحراء" هم من الناطقين الأصليين باللغة العربية (أي أن اللغة العربية هي لغتهم الأم).

وتتضمن القائمة التي استهدفتها مجموعة صقور الصحراء منظمات عسكرية وحكومية، خصوصاً الموظفين المسؤولين عن عمليات مكافحة غسيل الأموال، إضافة إلى العاملين في مجال الصحة والاقتصاد، والمؤسسات الإعلامية الرائدة، والمؤسسات التعليمية ومؤسسات الأبحاث، ومزودي الطاقة وخدمات المرافق العامة، والنشاطين والقادة السياسيين، وشركات الحراسة الأمنية الشخصية، وأهداف أخرى تمتلك معلومات جيوسياسية.

وقد تمكن خبراء مختبرات كاسبرسكي من إيجاد مؤشرات وعلامات لأكثر من 3 ألاف ضحية من أكثر من 50 دولة في العالم، ودلائل أخرى على سرقة أكثر من مليون ملف.

وبالرغم من أن التركيز الأساسي لنشاط مجموعة "صقور الصحراء" يبدو في بلدان مثل مصر وفلسطين وإسرائيل والأردن، فقد تم العثور على ضحايا آخرين في كل من قطر والممكلة العربية السعودية والإمارات العربية المتحدة والجزائر ولبنان والنروج وتركيا والسويد وفرنسا والولايات المتحدة وروسيا والعديد من البلدان الأخرى.

آلية الوصول إلى الضحايا، والإصابة بالملفات الخبيثة والتجسس
وتعتمد الطريقة الأساسية التي استخدمتها مجموعة "صقور الصحراء" في إيصال الملفات التجسسية للضحايا عبر أدوات التصيد عبر البريد الإلكروني والمنشورات عبر الشبكات الاجتماعية، ووسائل برامج وتطبيقات المحادثات (الدردشة). واحتوت الرسائل التصيدية على ملفات ملغومة أو ورابط تؤدي لمفات ملغومة متخفية بوثائق أو تطبيقات رسمية. واستخدمت “صقور الصحراء” العديد من التقنيات لتحفيز الضحايا على تشغيل الملفات الملغومة. وأحد هذه الأساليب هي حيلة أو خدعة امتداد الملفات ذات التنسيق المقلوب أي من اليمين إلى اليسار.

تستغل هذه الطريقة الحرف الخاص في معيار الترميز القياسي الدولي أو ما يعرف بـ Unicode لإعادة استدعاء الحروف في اسم الملف، مخفية امتداد لملف خطير في منتصف اسم الملف وواضعة امتداد لملف يبدو في ظاهره أنه غير مؤذي ولا تخريبي ولا مثير للشكوك وذلك بالقرب من نهاية اسم الملف. باستخدام هذا الأسلوب، الملفات التخريبية التي تحمل امتدادات مثل .exe و.scr ستبدو على أ نها ملفات غير مؤذية أو ملفات عادية من نوع PDF، وحتى المستخدمين الحذرين الذين لديهم خلفية تقنية جيدة يمكن أن يقعوا فريسة وضحية لذلك. على سبيل المثال، ملف ينتهي بـ .fdp أو .scr يبدو مثل .rcs.pdf

بعد النجاح بإصابة جهاز الضحية، تقوم مجموعة "صقور الصحراء" باستخدام واحد من الأبواب الخلفية الاثنين المختلفة: الباب الخلفي الأساسي من نوع حصان طروادة Desert Falcons’ Trojan أو DHS Backdoor، واللذان على ما يبدو تم تطويرهما وبرمجتهما من الصفر، وهما يخضعان لتطوير مستمر. وقد تمكن خبراء كاسبرسكي من تحديد ما مجموعه أكثر من 100 نموذج من البرمجيات الخبيثة التي تم استخدامها من قبل صقور الصحراء في هجماتهم.

الأدوات الخبيثة المستخدمة لديها آلية تشغيل كاملة للأبواب الخلفية، بما في ذلك القدرة على أخذ صور للشاشات Screenshots، وسجلات النقر على لوحة المفاتيح، وتحميل ملفات ورفعها وتنزيلها، وجمع بيانات ومعلومت حول كافة ملفات الورد والإكسل على القرص الصلب للضحية أو الأجهزة المتصلة عبر منفذ USB، وسرقة كلمات السر المخزنة في سجل النظام (إنترنت أكسبلورر و لايف ماسنجر)، وتسجيل ملفات صوتية. وقد تمكن خبراء كاسبرسكي أيضا من العثور على آثار لنشاط برمجية خبيثة والتي اتضح أنها أبواب خلفية لنظام أندرويد قادرة على سرقة مكالمات الموبايل وسجلات الرسائل النصية القصيرة SMS.

معلومات مهمة جداً عن مجموعة "صقور الصحراء" التجسسية
وتمكنت مجموعة “صقور الصحراء” باستخدام هذه الأدوات والأساليب من شن وإدارة على الأقل 3 حملات مختلفة تستهدف مجموعة متنوعة من الضحايا في دول متعددة.

ويقدر الباحثون في مختبرات كاسبرسكي بأنه على الأقل هنالك 30 شخصا، موزعين في ثلاث فرق، يتنشرون في بلدان مختلفة، هم من يقومون بتشغيل حملات صقور الصحراء التجسسية.

قال خبير أمني في فريق التحليل والأبحاث العالمي بمختبرات كاسبرسكي ديميتري بستثزهف "الأشخاص الذين يقفون وراء مثل هذا التهديد الحقيقي هم أشخاص نشطين من ذوي المعرفة والخبرة التقنية ولديهم اطلاع ورؤى سياسية وثقافية. وباستخدام فقط رسائل البريد الإلكتروني الاصطيادية وأدوات مطورة بشكل خاصة وأدوات تعتمد على مفهوم الهندسة الاجتماعية وأدوات الأبواب الخلفية، فقد تمكن صقور الصحراء من إصابة المئات من الضحايا من أصحاب المناصب المهمة والحساسة في منطقة الشرق الأوسط، وذلك عبر استهداف أنظمة الكمبيوتر خاصتهم أو هواتفهم المحمولة، وسرقة بيانات ذات حساسية كبيرة. نحن نتوقع أن تستمر هذه العملية بتطوير ملفات حصان طروادة وتستخدم تقنيات معقدة أخرى. وإذاما توفر التمويل الكافي لهذه المجموعة التجسسية فلربما يتمكنوا أيضا من اكتساب أو تطوير تغرات والتي من المحتمل أن تزيد فعالية هجماتهم".

وأكد ديميتري أن مجموعة "صقور الصحراء" التجسسية تستخدم تقنيات تشفير متطورة جداً وهم على درجة عالية من الدراية والمعرفة التقنية.

وردا على سؤال حول ما إذا كانت هذه الجماعة على صلة بالهجمات الأخيرة التي أدت إلى إغلاق مواقع إعلامية في الإمارات العربية المتحدة، قال ديميتري أن ذلك يتطلب عملية تحقيق دقيقة لتحديد ذلك، إلا أنه أكد من جهة أخرى استهداف مؤسسات إعلامية في الإمارات من قبل مجموعة صقور الصحراء التجسسية.

وقال ديميتري إن مختبرات كاسبرسكي تتعاون عادة مع الإنتربول والجهات الدولية المعتمدة لتقديم بيانات عن جهات تجسسية لها نشاطات مشابهة.

تجدر الإشارة إلى منتجات كاسبرسكي تم تحديثها وهي حاليا قادرة على تحري وحجب البرمجيات الخبيثة المطورة من قبل مجموعة صقور الصحراء.