كشفت وحدة مكافحة التهديدات لدى شركة سكيوروركس عن هجمة الكترونية نسائية إغرائية تقوم بها مجموعة إجرامية إيرانية تعمل في مجال التجسس الإلكتروني، ويطلق عليها لقب كوبالت جيبسي أو Cobalt Gypsy (وتعرف أيضاً باسم أويلريغ OilRig)، والتي يُعتقد بأنها تعمل نيابةً عن الحكومة الإيرانية.
وباستخدامها لوسائل الإغراء، نجحت المجموعة في إغراء المدراء التنفيذيين العاملين في قطاع أمن تقنية المعلومات، والتكنولوجيا، والنفط والغاز في عدّة بلدان، ودفعهم للإفصاح عن بياناتهم وحساباتهم السرية.
وتعود بدايات هذه الهجمات إلى شهري يناير وفبراير من العام 2017، إذ شهد خبراء وحدة مكافحة التهديدات لدى سيكيوروركس آنذاك انطلاق عدة حملات إلكترونية احتيالية، استهدفت منشآت وهيئات حيوية في منطقة الشرق الأوسط وشمال إفريقيا. وقد استعانت هذه الحملات بأداة بوبي رات PupyRat للوصول والتحكم عن بعد والمتاحة على نطاق واسع. وعند فشل الحملات الاحتيالية الأولية عبر رسائل البريد الإلكتروني، لاحظ خبراء وحدة مكافحة التهديدات وجود حملات احتيالية عالية التوجيه والتركيز تنطلق عبر وسائل التواصل الاجتماعي من شخصية تطلق على نفسها اسم ميا آش. وكشفت عمليات التحليل المعمقة عن وجود مجموعة مهيكلة من ملفات التعريف الشخصية المزيفة الخاصة بوسائل التواصل الاجتماعي، والتي يبدو أنه قد تم تصميمها من أجل بناء أواصر الثقة وتوطيد العلاقات مع الشخصيات المستهدفة. وتشير الروابط المدرجة ضمن هذه الملفات الشخصية إلى استهدافها الكثير من المؤسسات من مختلف التخصصات بدءاً من شهر أبريل من العام 2016.
وتشير التقديرات متوسطة الثقة لخبراء وحدة مكافحة التهديدات إلى أن هذه الحملات والشخصيات تتم إدارتها وتوجيهها من قبل منظمة كوبالت جيبسي (التي اشتهرت سابقاً باسم تي جي-2889)، وهي مجموعة تهديد ترتبط بشكل مباشر بالعمليات الإلكترونية الموجهة من قبل الحكومة الإيرانية. وقد لوحظ قيام مجموعة كوبالت جيبسي باستهداف المؤسسات العاملة في منطقة الشرق الأوسط وشمال أفريقيا، أو التابعة لها في المنطقة، وذلك على امتداد العديد من القطاعات الرئيسية بما فيها الاتصالات السلكية واللاسلكية، والهيئات الحكومية، و وزارات الدفاع، وشركات النفط، ومؤسسات الخدمات المالية، باستخدام الهجمات الاحتيالية، بعد تحديد الشخصيات المستهدفة من خلال وسائل ومواقع التواصل الاجتماعي.
النقاط الرئيسية
– شخصية ميا آش وهمية ومزيفة، تم تحديدها من قبل خبراء وحدة مكافحة التهديدات بنسبة عالية من الثقة، وقد تم تصميمها بهدف إرساء علاقات وطيدة مع الموظفين العاملين ضمن المؤسسات المستهدفة.
– يُقدر خبراء وحدة مكافحة التهديدات بثقة متوسطة أن حملات ميا آش تُدار من قبل منظمة كوبالت جيبسي وفقاً لأهداف محددة، وضحايا مُراقبين، وخطة مدروسة بدقة لإدارة هذه الحملة.
– ستستعين مجموعة كوبالت جيبسي بشخصيات عبر وسائل التواصل الاجتماعي المهيكلة، التي تتفاعل وتتواصل عبر عدة وسائل للتواصل الاجتماعي، ومنصات التخاطب والدردشة والبريد الإلكتروني، وذلك بهدف إقامة علاقات وطيدة مع الأهداف المحددة، وهو ما يشير إلى درجة عالية من الابتكار، والابداع، والدهاء، والاصرار على تطبيق خطتهم.
– ينبغي على المؤسسات تثقيف موظفيها بشكل دوري حول المخططات المصممة عبر وسائل التواصل الاجتماعي، وثنيهم وبقوة عن التواصل عبر الإنترنت مع الجهات والشخصيات التي لا يتم التحقق من صحتها وصدقها إلا من خلال العلاقات الحقيقية على أرض الواقع.
– بالإضافة إلى ذلك، يوصي خبراء وحدة مكافحة التهديدات بنشر حلول خاصة بالطرفيات، وبمراقبة الأنشطة المشبوهة التي تولدها البرمجيات الخبيثة مثل بوبي رات PupyRat.
النشاط المرصود
رصد خبراء وحدة مكافحة التهديدات حملة احتيالية تستهدف المؤسسات في منطقة الشرق الأوسط، وذلك خلال الفترة ما بين 28 ديسمبر 2016 حتى 1 يناير 2017. ورغم اختلاف مواضيع الرسائل، إلا أنها تجتمع بالمحتوى الذي يضم عناوين مختصرة لروابط الكترونية. ويؤدي الضغط على هذه الروابط المختصرة إلى تحميل ملف وورد، ومحاولة تشغيل ماكرو. يقوم الماكرو بتفعيل أمر باورشيل PowerShell، الذي بدوره يقوم بمحاولة تحميل نصوص برمجية تعمل على تحميل أوامر باورشيل PowerShell إضافية وخاصة ببرمجية بوبي رات PupyRat الخبيثة، وهي عبارة عن برمجية تروجان تعمل وفق منصة مصدر مفتوح متقاطعة للوصول عن بعد RAT. وفي حال تم تنصيبها، ستتيح البرمجية الخبيثة بوبي رات PupyRat للجهة الفاعلة التي تقف وراء التهديد إمكانية الوصول الكامل إلى نظام الضحية.
وفي الـ 13 من يناير 2017، أي بعد حوالي أسبوعين من الحملة الاحتيالية الأولى، قامت الفتاة ميا آش، وهي مصورة افتراضية تعيش في مدينة لندن، بالتواصل مع موظف في إحدى المؤسسات المستهدفة عبر موقع لينكدإن LinkedIn. وأشارت هذه الفتاة الافتراضية إلى أن الاستبيان المطروح هو جزء من استطلاع عالمي يشارك فيه الكثير من الأشخاص. وخلال الأيام القليلة التالية، تبادلت ميا والموظف المستهدف العديد من الرسائل التي تحتوي على معلومات حول طبيعة المهن التي يمارسونها، وبعض الصور الفوتوغرافية، والرحلات التي قاموا بها، أو يخططون لتجربتها. وقبل تاريخ 21 يناير، شجعت ميا الموظف المستهدف على إضافتها كصديق ضمن صفحته على موقع التواصل الاجتماعي فيسبوك، من أجل متابعة حواراتهما هناك، من خلال إقناعه بأنها وسيلة التواصل الأفضل لكليهما. وتواصلت المراسلات بينهما عبر البريد الإلكتروني، وتطبيق الواتساب، والفيسبوك حتى تاريخ 12 فبراير 2017، حيث قامت ميا حينها بإرسال ملف مايكروسوفت إكسيل إلى الموظف المستهدف، وهو يحمل عنوان نسخة عن استبيان التصوير الضوئي Copy of Photography Survey.xlsm، عبر حساب البريد الإلكتروني الشخصي للموظف، وتشجيعه على فتح الرسالة في مقر عمله عن طريق استخدام حساب البريد الإلكتروني الخاص بالعمل، وذلك كي يعمل ملف الاستبيان بشكل صحيح. وقد احتوى ملف الاستبيان على ماكرو يقوم بتحميل البرمجية الخبيثة بوبي رات PupyRat حال تشغيله.
وقد تمكن خبراء وحدة مكافحة التهديدات من تحديد ومعرفة هوية الجهة التي تقف وراء هذا النشاط، ألا وهي مجموعة التهديد كوبالت جيبسي، استناداً على الأدوات والتقنيات والإجراءات TTPs المستخدمة في كلتا الحملتين. وعلى وجه التحديد، استهدفت مجموعة كوبالت جيبسي، وبشكل متكرر، المؤسسات التي تأثرت نتيجة الحملات الأخيرة، واستخدمت وسائل التواصل الاجتماعي، لا سيما موقع لينكدإن، لتحديد الأهداف والتفاعل معها، ثم قامت بتفخيخ ملفات الإكسيل بالبرمجيات الخبيثة من سلسلة RAT، بما فيها برمجية بوبي رات PupyRat الخبيثة، من أجل اختراق أنظمة ضحاياها. وتشير تقديرات خبراء وحدة مكافحة التهديدات وبثقة متوسطة بأن شخصية ميا آش استخدمت من أجل اختراق المنظمة المستهدفة، وذلك لأن الحملة الأولى، والأوسع نطاقاً، لم تتكلل بالنجاح.