تتعرض الدول العربية إلى العديد من التهديدات والهجمات للعصابات الرقمية التي تستهدف المؤسسات التعليمية والحكومية والهيئات الدبلوماسية وشركات الاتصالات، إلى جانب المؤسسات المالية وشركات تقنية المعلومات ومرافق الرعاية الصحية وشركات المحاماة ومؤسسات الجيش والدفاع. وتقف العديد من العصابات الرقمية خلف هذه الجرائم للتجسس أو لجني المال.
وحضرت «الشرق الأوسط» الأسبوع الماضي ندوة رقمية لخبراء من فريق البحث والتحليل العالمي في شركة «كاسبرسكي» المتخصصة بالأمن الإلكتروني والخصوصية الرقمية حول مشهد التهديدات المتقدمة المستمرة التي تستهدف بلدان الشرق الأوسط منذ اندلاع الجائحة في العام 2020، ونذكر أبرز ما جاء فيها لمختلف البلدان.
السعودية
أعدت الشركة 39 تقريراً استقصائياً حول 12 عصابة رقمية تستهدف المملكة بنشاط عبر ما يُعرف بالتهديدات المتقدمة المستمرة Advanced Persistent Threat APT، وكانت أكثر نواقل الهجوم شيوعا في استهداف البنى التحتية في السعودية «استغلال التطبيقات العامة» و«الحسابات السارية» و«التصيد».
والعصابات الرقمية الأكثر نشاطاً التي تقف وراء التهديدات المتقدمة المستمرة هي Lazarus وMuddyWater وOilRig وSideCopy. واستهدفت عصابة MuddyWater الشرق أوسطية التجسسية الجهات الحكومية وشركات الاتصالات والنفط بهدف استخلاص المعلومات باستخدام الحسابات المخترقة لإرسال رسائل بريد إلكتروني تصيدية مع مرفقات موجهة إلى أشخاص مستهدفين بعينهم. أما تروجان Zeboracy، فيتم توظيفه ضمن حملات التجسس السيبراني لجمع البيانات الأولية من الأنظمة المخترقة. وتُعتبر العصابة OilRig جهة تهديد أخرى ناشطة في الشرق الأوسط تستهدف كيانات لها حضور في العديد من القطاعات الحيوية باستخدام أساليب الهندسة الاجتماعية. وبدورها، تنفذ مجموعة SideCopy التخريبية حملات تجسسية ببرمجيات خبيثة تستهدف الشركات والمؤسسات، فيما تستخدم عصابة Lazarus استراتيجية هجوم يُعرف باسم «حفرة الماء» برصد مواقع الإنترنت التي تتردد عليها جهة ما بكثرة و«تفخخها» ببرمجيات خبيثة.
وتواصل تقنيات الذكاء الصناعي وإنترنت الأشياء و«بلوك تشين» والتقنيات المالية وشبكات الجيل الخامس اكتساب مزيد من الزخم على امتداد القطاعين العام والخاص في المملكة التي باتت مهيأة لتغدو رائدة عالمياً في الاقتصاد الرقمي، وغالباً ما ترتبط زيادة الاتصال بالإنترنت بزيادة التهديدات الرقمية الموجهة. وجهزت المملكة نفسها لمواجهة حتى أكثر هجمات الأمن السيبراني تحدياً، وذلك بوضع الأمن السيبراني في طليعة جهود التحول الرقمي.
ويُعتبر الموظفون في أي شركة، «خط الدفاع الأول» ضد الهجمات الرقمية ويتحملون جانباً من المسؤولية في حماية البيانات التي تُعد من أهم الأصول المؤسسية. ومن الضروري أن تقدم الشركات التدريب المناسب على الأمن الرقمي لجميع موظفيها وتعرفهم بالسبل الآمنة لتشغيل الأجهزة ومشاركة البيانات داخليا وخارجيا، وفهم الطبيعة المتطورة للجرائم الرقمية، من أجل تحصين ذلك الخط الدفاعي. أما خط الدفاع الثاني بعد الموظفين، فيتمثل بمعلومات استخبارية عن التهديدات التي يجب للشركات والمؤسسات أن تحرص على التزود بها.
دول الخليج ومصر
* الإمارات العربية المتحدة. قامت «كاسبرسكي» بإجراء 49 تقريراً استقصائياً مرتبطاً بـ16 عصابة رقمية تستهدف البلاد منذ انتشار الجائحة في عام 2020، ووجدت وقوف مجموعة من العصابات الرقمية سيئة السمعة وراء التهديدات المتقدمة المستمرة، منها SideCopy وMuddyWater وDeathStalker وZeboracy وTurla وLazarus. وتهاجم هذه العصابات الرقمية المؤسسات الحكومية والخاصة بشكل مشابه لما تقوم به في السعودية، يضاف إليها أن عصابة DeathStalker تقدم خدماتها لمن يدفع، وتركز على التجسس الرقمي على شركات المحاماة والمؤسسات المالية وتشتهر باستخدام نهج تكراري سريع لتصميم البرمجيات، ما يجعلها قادرة على تنفيذ حملات فعالة. كما تشتهر عصابة Turla بإجراء حملات تصيد موجهة وهجمات باستراتيجية «حفرة الماء» التي ترصد مواقع الإنترنت التي تتردد عليها جهة ما بكثرة و«تفخخها» ببرمجيات خبيثة.
* الكويت. تم إعداد 21 تقريراً حول 10 عصابات رقمية، ووُجدت عصابات MuddyWater وOilrig وZeboracy وTurla بنشاط يشابه ذلك الذي تنتهجه العصابات في السعودية.
* البحرين. كما أعدت الشركة 6 تقارير مرتبطة بـ3 عصابات رقمية في مملكة البحرين، وهي MuddyWater وOilrig وHades. وتستخدم عصابة Hades أساليب قائمة على الخداع في عملياتها، إذ تتسلل إلى الشبكات المستهدفة لتحديد أفضل موقع لإطلاق الهجوم، وتحرص على صياغة عناصر الهجوم ليبدو وكأنه عمل عصابة أخرى.
* قطر. أعد الفريق 14 تقريراً يشمل 7 عصابات رقمية، مثل Zeboracy وOilrig وTurla، التي يتقاطع نهج عملها مع الدول المذكورة أعلاه. أما بالنسبة لسلطنة عُمان، فقد تم إعداد 21 تقريراً مرتبطاً بـ9 عصابات رقمية، التي تشمل TransparentTribe وMuddyWater وOrigamiElephant وZeboracy. ووجد الفريق أن عصابة TransparentTribe تُنشئ أسماء نطاقات وهمية تحاكي جهات عسكرية ودفاعية لمهاجمة أهدافها، بينما تستخدم OrigamiElephant عناصر Backconfig وSimple Uploader وغرسات الجوال لاستهداف الجهات.
* مصر. جهز الفريق 38 تقريراً استقصائياً مرتبطاً بـ12 عصابة رقمية تنشط فيها، مثل Lazarus وMuddyWater وZeboracy وStrongPity وSideCopy. وتُعتبر عصابة StrongPity مسؤولة عن حملات تجسسية تستخدم فيها هجمات «يوم الصفر» والحيل القائمة على مبادئ الهندسة الاجتماعية وأدوات تثبيت البرمجيات التسللية «تروجان» لإيصال البرمجيات الخبيثة إلى ضحاياها. وبدورها تُنفذ عصابة SideCopy حملات هجوم ببرمجيات خبيثة تستهدف مختلف الكيانات لأغراض تجسسية.
مواجهة الاختراقات
وعلى صعيد ترتيب الدول العربية في التزامها بالأمن السيبراني وفقاً لمؤشر الأمن السيبراني العالمي لدول منطقة الشرق الأوسط وشمال أفريقيا، حصلت المملكة العربية السعودية على المرتبة الأولى عربياً ما يؤكد حرصها على مواصلة التقدم بقدرات الأمن السيبراني. وبالنسبة لبقية الدول، كان ترتيبها بعد السعودية هو الإمارات ثم عُمان ومصر وقطر وتونس والمغرب والبحرين والكويت والأردن والسودان والجزائر، تليها لبنان وليبيا وفلسطين وسوريا والعراق وموريتانيا والصومال وجزر القمر وجيبوتي ثم اليمن. وكان ترتيب الدول العربية عالمياً على الشكل التالي: السعودية في المرتبة الثانية، والإمارات (المرتبة 5) وعُمان (21) ومصر (23) وقطر (27) وتونس (45) والمغرب (50) والبحرين (60) والكويت (65) والأردن (71) والسودان (المرتبة 102) والجزائر (104) ولبنان (109) وليبيا (113) وفلسطين (122) وسوريا (126) والعراق (129) وموريتانيا (133) والصومال (137) وجرز القمر (175) وجيبوتي (179) وعدم وجود بيانات حول اليمن.
وبالنسبة لآخر 10 دول عالمياً في الترتيب، فكانت المالديف في المرتبة 177 عالمياً وهندوراس (178) وجيبوتي (179) وبوروندي (179) وإريتريا (179) وغينيا (180) وكوريا الشمالية (181)، ولتكون اليمن ومايكرونيزيا والفاتيكان في المرتبة الأخيرة بسبب عدم وجود بيانات حولها.
جهة تهديد رقمي تستهدف المؤسسات الحكومية العربية
> نشر باحثون لشركة «كاسبرسكي» تقريراً تضمن معلومات تتعلق بحملة طويلة تقف وراءها جهة تهديد ناشطة في استهداف المؤسسات في الشرق الأوسط. وتُركز العصابة التي يطلق عليها اسم WIRTE على استهداف المؤسسات الحكومية والهيئات الدبلوماسية في الأردن وتركيا وسوريا وفلسطين ولبنان ومصر، فيما يُحتمل أن يكون لها أهداف في دول الخليج. ووجد الباحثون أيضاً ضحايا لهذه العصابة ضمن شركات المحاماة والجهات العسكرية والشركات التقنية.
وتعمل WIRTE بدافع التجسس الرقمي، إذ شوهدت تستخدم أدوات لجمع البيانات والمعلومات الحساسة من ضحاياها. ولا تُعد هذه المجموعة التخريبية متطورة تقنياً، وإنما تعتمد على مجموعة أدوات أساسية وأساليب للتخفي، تشمل استخدام ثنائيات الهجوم المعروف بالاسم Living off the Land (LotL) الذي تلجأ فيه إلى استخدام برمجيات وأدوات رقمية رسمية سليمة لتحقيق دوافعها التخريبية. واستخدمت العصابة في بعض الحالات رسائل بريد إلكتروني مخادعة لاستدراج ضحاياها لفتح مستندات Excel وWord خبيثة، وتستعين بخبرتها في خداع الضحايا ودفعهم إلى تحميل الملفات باستخدام شعارات ومواضيع شائعة في منطقة الشرق الأوسط.
وتؤكد الشركة أنه ثمة جهات تهديد جديدة ومتطورة تنشأ في أنحاء الشرق الأوسط في ضوء التغيرات الديناميكية الحاصلة في المنطقة، وتظل أهدافها متمثلة في جمع المعلومات الحساسة. ومن الضروري أن تحرص المؤسسات الحكومية والشركات على حماية أصولها وبياناتها الحساسة من أي تهديد موجه ناشئ. ويتمثل أبرز تكتيك تتبعه العصابة في تثبيت برمجيات خبيثة مبدئية على لغة Visual Basic Script وPowerShell. وبعد أن تنجح في اختراق الضحية، تبدأ في استكشاف الشبكة وتوظيف برمجيات خبيثة أكثر تعقيدا من أجل البقاء خارج نطاق المراقبة والتمكن من جمع أكبر قدر من المعلومات الحساسة.
ويُنصح باتباع التدابير التالية للبقاء في مأمن من حملات التهديد المتقدمة مثل WIRTE: تعطيل منصات PowerShell وVBS ما أمكن، وتسجيل عمليات تنفيذ الشيفرات في منصة PowerShell على أجهزة المستخدمين، والتحري عن أي وجود غير اعتيادي في حركة البيانات عبر الشبكة، وإجراء تدقيق للأمن الرقمي للشبكات ومعالجة أي ثغرات تُكتشف في محيط الشبكة أو داخلها، وتثبيت حلول مكافحة التهديدات المتقدمة المستمرة وحلول الكشف عن التهديدات والاستجابة لها عند أجهزة المستخدمين ما يتيح اكتشاف التهديدات والتحقيق فيها ومعالجتها في الوقت المناسب، وتزويد الموظفين بالتدريب الأساسي على مبادئ الأمن الرقمي، التي تشمل التصيّد وأساليب الاحتيال الأخرى.
