كاسبرسكي: مجموعة قرصنة روسية تهاجم بنوكًا في إفريقيا جنوب الصحراء
علم باحثون الأمن العاملون لدى كاسبرسكي بوقوع آلاف الهجمات على بنوك كبيرة واقعة في منطقة جنوب الصحراء الكبرى بالقارة الإفريقية.
ويُرجّح بناء على البرمجية الخبيثة المستخدمة في الهجمات أن تكون الجهة التخريبية الكامنة وراءها مجموعة قرصنة سيئة السمعة، وعُرفت في السابق بمسؤوليتها عن سرقة ملايين الدولارات من بنوك في جميع أنحاء العالم.
وتُعد مجموعة Silence واحدة من أخطر الجهات التخريبية في مجال التهديدات المتقدمة المستمرة، والتي نفذت حملات ناجحة استهدفت بنوكًا ومؤسسات مالية في جميع أنحاء العالم. ويبدأ السيناريو المعتاد للهجوم بمخطّط قائم على الهندسة الاجتماعية، إذ يُرسل المهاجمون بريدًا إلكترونيًا تصيّديًا يحتوي على برمجية خبيثة إلى موظف في البنك.
ومن هناك، تدخل البرمجية المرسلة في محيط المجال الأمني للبنك وتستكين لبعض الوقت، جامعة معلومات عن المؤسسة ونشاطها اليومي عبر لقطاتٍ لشاشة الجهاز المصاب وتسجيلات فيديو للنشاط اليومي الذي يجري عبره.
وبمجرد أن يصبح المهاجمون على استعداد لاتخاذ إجراء، يعملون على تنشيط جميع إمكانات البرمجية الخبيثة ويسرقون الأموال من أجهزة الصراف الآلي، مثلًا، لتصل الخسائر في بعض الأحيان إلى ملايين الدولارات.
وكانت الهجمات المكتشفة قد بدأت في الأسبوع الأول من شهر يناير الجاري،
وفي إشارة إلى أن الجهة التخريبية التي تهدّدها على وشك البدء في المرحلة النهائية من عملياتها وسرقة الأموال. وما زالت الهجمات متواصلة حتى الآن وتستهدف بنوكًا كبيرة في العديد من البلدان الإفريقية.
ويُرجع الباحثون الهجمات إلى مجموعة Silence الناطقة بالروسية، بناءً على البرمجية الخبيثة المستخدمة فيها، والتي لم تُستخدم سابقًا سوى في عمليات المجموعة،
كما أن اللغة التي كُتبت بها البرمجية هي اللغة الروسية: حاول ممثلو التهديد التغطية قليلًا على هذه الحقيقة عن طريق كتابة الكلمات الروسية باستخدام لوحة مفاتيح بتوزيع إنجليزي.
وقال سيرجي غولوفانوف الباحث الأمني في كاسبرسكي، إن مجموعة Silence اتسمت بالنشاط في السنوات الماضية، مشيرًا إلى أن نشاطها الذي يتطلب فترة غير قصيرة من الهدوء والمراقبة الصامتة التي تسبق سرقات منسقة وسريعة “يعكس اسمها بوضوح”.
وأضاف: “لاحظنا اهتمامًا متزايدًا من هذه المجموعة بالمؤسسات المصرفية في العام 2017 وأنها تتطور منذ ذلك الوقت باستمرار، فتصل إلى مناطق جديدة وتحدّث أساليبها الخاصة بالهندسة الاجتماعية، لذلك نحثّ جميع البنوك على التزام اليقظة وتوخّي الحذر، نظرًا لأن المجموعة لا تكتفي بسرقة الأموال وإنما تسرق المعلومات الحساسة أيضًا أثناء مراقبة نشاط البنوك، وهو ما يُعدّ انتهاكًا خطرًا للخصوصية قد يكلّف خسائر تفوق قيمتها الأموال المسروقة”.
يُشار إلى أن حلول كاسبرسكي قادرة على اكتشاف البرمجيات الخبيثة المستخدمة في العملية بالاسمين HEUR:Trojan.Win32.Generic، PDM:Exploit.Win32.Generic.
وتدعو كاسبرسكي المؤسسات المالية إلى تطبيق التدابير التالية حمايةً من هذه الهجمات وغيرها:
تقديم التدريب الأساسي لرفع الوعي الأمني لدى جميع الموظفين حتى يتمكنوا من تمييز محاولات الخداع.
مراقبة النشاط في مراكز العمليات ومراكز أمن المعلومات المؤسسية.
استخدام حلول أمنية ذات وظائف تخصصية تهدف إلى اكتشاف محاولات الخداع ومنعها.
ويمكن للمؤسسات حماية أنظمة البريد الإلكتروني المحلية من خلال التطبيقات الموجهة التي تشتمل عليها حلول مثل Kaspersky Endpoint Detection and Response أو استخدام منصة Kaspersky Anti Targeted Attack.
تزويد فريق الأمن بإمكانية الوصول إلى البيانات المحدثة لمعلومات التهديدات، من أجل تمكينه من مواكبة أحدث الأساليب والأدوات التي يستخدمها مجرمو الإنترنت.
إعداد خطة للاستجابة للحوادث لتكون جاهزة للحوادث المحتمل وقوعها في بيئة الشبكة المؤسسية.