«آيس فوج» .. مجموعة قراصنة يستهدفون القطاعات العسكرية
كشف مختبر "كاسبرسكي" لأمن المعلومات عن مجموعة جديدة من القراصنة فعالة في التهديدات المستعصية تعرف بـ "APT"، التي تركز على أهداف في كوريا الجنوبية واليابان، كما تهاجم سلسلة الموردين الغربيين الذين يتواصلون بين الشركة وغرب آسيا. وتوصل فريق أبحاث الأمن في "كاسبرسكي لاب" أمس إلى ورقة بحثية جديدة حول اكتشاف أمر "آيس فوج (IceFog)"، وهي مجموعة صغيرة ولكنها فاعلة في التهديدات المستعصية المتقدمة "APT" التي تركز على أهداف في كوريا الجنوبية واليابان، وتهاجم سلسلة الموردين للشركات الغربية. بدأت العملية في عام 2011 وتوسعت من حيث الحجم والنطاق على مدى السنوات القليلة الماضية.
وقال "كوستين ريو"، مدير فريق الأبحاث والتحليل العالمي: "لقد شهدنا على مدى السنوات القليلة الماضية قيام عدد من أفراد التهديدات المستعصية المتقدمة بهجمات كثيرة ومكثفة على مختلف أنواع الضحايا والقطاعات. وفي معظم الحالات، كان المهاجمون يحتفظون بموطئ قدم لهم في شبكات الشركات والمؤسسات الحكومية لسنوات عديدة، وهو ما يتيح لهم تهريب عشرات التيرابايتات من المعلومات الحساسة". وأضاف ريو قائلاً:
"إن طبيعة الكر والفر التي تتسم بها هجمات (آيس فوج) توحي بنشوء توجه جديد يتمثل في تشكيل عصابات كر وفر أصغر حجماً تتركز مهمتها في تتبع المعلومات بدقة متناهية. يستمر الهجوم عادة لبضعة أيام أو أسابيع، وبعد أن يعثروا على ما كانوا يبحثون عنه، يقوم المهاجمون بمسح آثارهم ويغادرون. نتوقع أن ينمو عدد مجموعات (التهديدات المستعصية المتقدمة الممكن استئجارها) ذات الحجم الصغير والمهام المحددة التي تختص بعمليات الكر والفر، وتضم فريقاً من مرتزقة الإنترنت يحسن التعامل مع تكنولوجيا العالم الحديث".
وقال المركز إنه بناءً على المعلومات المستخلصة حول الأهداف المحددة، تبيّن أن المهاجمين يولون أهمية بالقطاعات التالية: القطاع العسكري وبناء السفن والعمليات البحرية والكمبيوتر وتطوير البرمجيات وشركات الأبحاث ومشغلي الاتصالات ومشغلي الأقمار الاصطناعية والإعلام الجماهيري والتلفزيون.
وتشير الأبحاث إلى أن المهاجمين كانوا مهتمين باستهداف مقاولي قطاع الدفاع من أمثال شركة "ليج نكس وان" وشركة "سيلكترون اندستريال"، والشركات المختصة في بناء السفن مثل شركة (دي إس إم إي تك) وشركة "هانجين" للصناعات الثقيلة، إضافة إلى استهداف مشغلي الاتصالات مثل "كوريا تيلكوم"، وشركات الإعلام، مثل "فوجي تي في" وجمعية اليابان والصين الاقتصادية. وحسب خبراء المختبر فإن المهاجمين يقومون بالاستيلاء على مستندات مهمة وحساسة وخطط الشركة وبيانات اعتماد حساب البريد الإلكتروني وكلمات المرور بهدف الوصول إلى المصادر المختلفة داخل وخارج شبكة الضحية.
#2#
وفي أثناء العملية، يستخدم المهاجمون إعدادات "آيس فوج" الخفيّة (تعرف أيضا باسم "فوكوبا" -Fucobha ). وقد حددت شركة كاسبرسكي لاب إصدارات "آيس فوج" لكل من "مايكروسوفت ويندوز" و"ماك أو إس إكس". وبينما أنه في معظم هجمات عصابات التهديدات المستعصية المتقدمة الأخرى، تبقى الضحية مصابة لأشهر أو حتى سنوات، يستمر خلالها المهاجمون في سرقة البيانات، يقوم مشغلو "آيس فوج" بإنجاز الهجمات على الضحايا واحدة تلو الأخرى وتحديد مكان ونسخ المعلومات المعينة المستهدفة فقط. وبمجرد حصولهم على المعلومات المطلوبة يغادرون على الفور. ويعتقد المركز أن مشغلي "آيس فوج" في معظم الحالات يعرفون تمامًا ما يريدون من الضحايا. إنهم يبحثون عن أسماء ملفات محددة يمكن التعرف عليها وإرسال نسخة منها إلى الجهة المعنية بسرعة فائقة.
الهجوم والإنجاز
تمكن باحثو "كاسبرسكي" من التعرف على 13 من أصل ما يزيد على 70 مجالاً مستخدماً من قبل المهاجمين. وأتاح هذا الحصول على معلومات إحصائية عن عدد الضحايا في العالم.
وفضلًا عن ذلك، تحتفظ خوادم "آيس فوج" للقيادة والسيطرة بسجلات مشفرة عن ضحاياها، إلى جانب مختلف العمليات التي أجريت عليها. وتكون هذه السجلات على الأغلب مفيدة في التعرف على الأهداف من وراء الهجمات، وفي بعض الحالات، التعرف على الضحايا. إضافة إلى اليابان وكوريا الجنوبية، تم اكتشاف العديد من قنوات الاتصال المريبة في دول عديدة أخرى، ومن ضمنها تايوان وهونج كونج والصين والولايات المتحدة وأستراليا وكندا والمملكة المتحدة وإيطاليا وألمانيا والنمسا وسنغافورة وروسيا البيضاء وماليزيا. وفي الإجمال، رصدت "كاسبرسكي لاب" أكثر من أربعة آلاف نظام كشف والحماية من الاختراق مصابة وعدة مئات الضحايا (بضع عشرات من ضحايا الـ "ويندوز" وأكثر من 350 من ضحايا "ماك أو إس إكس") .
واستناداً إلى قائمة أنظمة كشف الحماية من الاختراق المستخدمة لمراقبة والتحكم في البنية التحتية، يتوقع خبراء "كاسبرسكي لاب" أن هناك أطرافا تقف وراء عملية التهديد هذه وتتمركز في ثلاث دول على الأقل، وهي الصين وكوريا الجنوبية واليابان.
