Desert Falcons أولى شبكات الاختراق العربية.. تهدد آلاف المؤسسات عالميا

كشف فريق أبحاث Kaspersky Lab “الشركة الأكبر في محاربة الاختراق الالكتروني” عن واحدة من أضخم الفرق التجسسية خطراً على معظم المؤسسات الحكومية والاقتصادية في العالم التي اندرجت تحت اسم صقور الصحراء Desert Falcons !
وتعمل هذه الفرقة عربية المنشأ على استهداف مراكز حساسة في المنظمات الحكومية أو بعض الشخصيات المعروفة في الشرق الأوسط بشكل خاص، وفي بعض الأحيان قد تطال مؤسسات وافراد من مختلف أنحاء العالم عموماً.
تم تصنيف تلك المجموعة كواحدة من أخطر أدوات التجسس والتخريب الالكتروني التي مرت على عالم التكنولوجيا إلى الآن، والذي يزيدها خصوصيّةً بأنها أول فرقة تجسس تم تسجيلها على أنها تتحدث العربية كلغةٍ أم وتقوم بتلك الاختراقات عالية المستوى على الصعيد العالمي إلى درجة أظهرت مخاوف عملاق التصدي الالكتروني Kaspersky من مستقبلها على الشبكة وأمانها.
بدأت أعمال الفرقة نشاطها منذ عام 2011 إلّا أن خطواتها الاحترافية قد بدأت في مطلع 2013 لتشكل تهديداً على الساحة الالكترونية ومستوى أمانها خصوصاً على مستخدمي أنظمة ويندوز وأندرويد لإدارة حواسيبهم أو هواتفهم المحمولةو
قد ركزت المجموعة هجماتها على المؤسسات المحلية لمصر، فلسطين، إسرائيل، والأردن، لكن هذا لم يوقف طموح الفرقة الذي تحقق بالوصول إلى أكثر من 3000 ضحية أخرى ضمن ما يزيد عن 50 دولة حول العالم، وسرقة ما يفوق المليون ملف الكتروني في مختلف الاختصاصات.
وفقاً للقوائم الصادرة بخصوص الأهداف التي تم اختراقها من قبل الصقور، فإن الضحايا من الهجمات الالكترونية قد تضمنت أيضاً منظمات حكومية وعسكرية عالمية، وبالأخص مسؤولي الإدارة المالية ومكافحة غسيل الأموال منها، وقد شملت مثل هذه الهجمات أيضاً القطاعات الصحية والمالية في دول عدّة من العالمب
الإضافة إلى المؤسسات الإعلامية الرائدة، المعاهد البحثية والتعليمية، قطاعات التزويد بالطاقة وإدارتها، وأخيراً العديد من القادة السياسيين والمراكز الحساسة المسؤولة عن الاستخبارات والأمن، وتهدف كل تلك الاختراقات الهائلة إلى الحصول على معلومات تمكنهم من الاستيلاء على مجموعة ضخمة من خطط استراتيجية هامّة في العالم اليوم
قد يكون جلّ تركيز الجماعة على الدول التي ذكرناها سابقاً “مصر، الأردن، فلسطين” لكن على الرغم من ذلك فقد سجل العديد من حالات الاختراق الكبيرة في قطر، السعودية، الإمارات المتحدة، الجزائر، ولبنان ذلك على الصعيد العربي
أما بالنظر أيضاً إلى الضحايا العالمية فقد ظهرت العديد من الحالات المشابهة في النرويج، تركيا، السويد، فرنسا، الولايات المتحدة، وروسيا، ذلك فضلاً عن العديد من الدول الأخرى التي حظيت بجانب من الاختراق الالكتروني ولكن بأقل خسائر عن التي ذُكِرت مسبقاً.
تعتمد صقور الصحراء في عملها بشكل أساسي على إيصال بعض الملفات الخبيثة التي من شأنها فتح بوابة للتحكم بالهدف المراد أذيته عن طريق بعض الرسائل البريدية التابعة لعناوين ملغومة ومزوّرة، أو ببث منشورات ذات روابط مجهولة الهويةو
قد يعتمد عملها أيضاً على رسائل المحادثة الوهمية بما يعرف ب Spam والتي قد مرّت مسبقاً على العديد منا، تحفّز كل تلك الآليات التي تستخدمها المجموعة على متابعة العديد من الأوامر البسيطة لإيقاع الهدف في الفخ كتحميل بعض البرامج المفيدة للحاسوب أو بعض التطبيقات التي تهم المستخدم ولكن بصيغ ملفات مقلوبة توحي للضحية بأنها صيغ صحيحة لا تحوي أي مشاكل.
تقوم المجموعة في المثال الأخير من التلاعب بصيغ الملفات على إخفاء ملفات خبيثة تحت غطاء وهمي يوحي بصحتها وارتباطها الفعلي بصيغ الملفات الموحدة عالمياً Unicode، ويتم على ذلك الأساس وضع استدعاءات مخفية للملفات الخطيرة التي تم تطويرها من قبل المجموعة مسبقاً للإطاحة بالهدف، وعلى الرغم من أن تلك الصيغ ستظهر للمستخدم قبل تحميلها فإنه قد يصعب تمييزها حتى من قِبل أصحاب الخبرة في هذا المجال.
فعلى سبيل المثال قد ترى كتاباً الكترونياً يتبع للمجلة باسم “arageek.fdp” على انه كتاب سليم دون الانتباه للصيغة التي تم قلبها من اليمين إلى اليسار لتكتب .fdp عوضاً عن الصيغة المعهودة .pdf
واعتقد أن العديد من القارئين في هذه اللحظة قد وقعوا في الفخ رغم التحذير مسبقاً، ولا تنطبق هذه الخدعة فقط على الكتب الالكترونية بل أنها تطال أيضاً العديد من صيغ التطبيقات ك “.rcs و .exe” عوضاً عن “.exe و .scr” التي قد يكون من المستحيل تمييزها خصوصاً أن المستخدم العادي قد لا يعطي أي بال لتلك الفكرة.
بالحديث عميقاً عن التقنيات التي تستخدمها Desert Falcons في العمل مع الضحية بعد الإطاحة بجهازه الالكتروني والسيطرة عليه تماماً، تعتمد المجموعة على اثنتين من أدوات “Backdoors” للاختراق الالكتروني، إحداها حصان طروادة “Trojan” والمعروف لدى معظم المتابعين، والأخرى التي قد تبدو أقل شعبيةً ال “DHS Backdoor”و
ما يجعل كاسبر سكاي عاجزةً عن إيقاف هتين النسختين التقليديتين من الفايروسات الالكترونية هو إعادة الهيكلة التي اعتمدتها المجموعة من القواعد الأساسية حتى المراحل الأخيرة مما جعل من التعامل معهم ليس بالأمر السهل أو التقليدي كالذين سبقوهم في هذا المجال على مر تاريخ التجسس الالكتروني، إضافةً إلى أن الشركة قد لاحظت مجموع ما يزيد عن 100 تطبيق خبيث “Malware” قد استعملتها المجموعة في مختلف أعمالها التخريبية.
تسمح اختراقات الفريق التجسسي بالقيام بالعديد من عمليات الرفع والتحميل والتقاط الصور لشاشات الأدوات المصابة، بالإضافة إلى أنها قادرة على التحكم بأي ملفات قد تحفظ على أدوات التخزين الخاصة كالقرص الصلب الخاص بالحاسوب أو أي من سعات التخزين الخارجية كالأقراص المحمولة أو ذواكر فلاش المرتبطة عبر مداخل USB بالجهاز المصاب، مما يسمح حتى بالسيطرة على أصغر ملفات مكتوبة مهما كان مستوى حمايتها أو أهميتها.
أما بالنسبة للتطبيقات الخبيثة التي قد تطال الهواتف الذكية فقد تمكن المجموعة سرقة مجمل البيانات الخاصة بالإضافة إلى تسجيل المكالمات الصوتية ونسخ الرسائل النصية أيضاً.
حسب الأبحاث التي أجرتها مختبرات Kaspersky فقد تم تقدير العاملين في تلك الشبكة بما يقارب 30 شخصاً يتم تقسيمهم إلى ثلاثة فرق موزعين على مجموعة من البلدان المختلفة، لينضموا تحت راية واحدة تطلق على نفسها Desert Falcons أو صقور الصحراء “وذلك دون التصريح عن مصادر تلك المعلومات من قبل الشركة”.
كما يتبين من إحصاءات وأعداد الضحايا التي تبنتهم المجموعة فقد يدل هذا على الحرفية العالية التي يتمتع بها كل من أفراد تلك العصابة التي تمكنت من إصابة كل هذه الأعداد فقط ببعض الرسائل الوهمية والتطبيقات البسيطة ظاهرياً لتسيطر على عدد هائل من أهم البيانات في العالم والتي تتبع لمئات من المصادر الحكومية الحساسة، حتى الآن فقد تمكنت الشركة من إيقاف فاعلية الكثير من تطبيقات Malware الخبيثة والتابعة للصقور.
رغم ذلك فقد تتزايد المخاوف من تطوير الأعضاء لنسخ جديدة أكثر قوة وفاعلية، وتصميم جذور Backdoor جديدة تزيد من تأثير المجموعة وهجومها حسب تصريحات أحد المحترفين في مركز أبحاث كاسبر سكاي العالمية “ديميتري بيستوزهيف” مما يجعل من الشبكة الالكترونية أقل أماناً رغم المساعي العالمية الكبيرة لتوفير الأمان التام للشبكة في المستقبل.