رصدت بالو ألتو نتوركس، الشركة المتخصصة في تطوير الجيل التالي من الحلول الأمنية، أنشطة خبيثة جديدة لعصابة جورجون الإلكترونية التي تستهدف القطاع الحكومي وتقترف جرائم ألكترونية أخرى. وقد بدأت الشركة منذ 2017 تتبع هجمات إلكترونية يقوم بها هاكر يدعى سوبات Subaat. وقد عاد هذا الهاكر مجدداً بشكل نشط لتنفيذ هجمات متنوعة بأهداف محددة. ومن خلال مراقبته تبين أنه يعمل ضمن مجموعة أكبر من الأفراد المسؤولين عن تنفيذ مجموعة من الهجمات التي استهدفت مؤسسات حكومية عالمية. وقد نفذّت مراكز 360 و Tuisec، وهي مراكز صينية متخصصة تُعنى بالتهديدات الإلكترونية، دراسات تحليلية على بعض الهجمات، وعلى جهات فاعلة أخرى باكستانية على صلة بهذه الهجمات. وقد أفضت هذه التحليلات إلى وجود علاقة وثيقة تربط هذه الهجمات بمجموعة أكبر من المهاجمين يطلق عليهم اسم عصابة عصابة جورجون.
وقد اكتشفت الوحدة 42 التابعة لشركة بالو ألتو نتوركس أن العصابة قامت، بالإضافة إلى العديد من الهجمات المستهدفة، بحملة واسعة من الهجمات والعمليات في كافة أنحاء العالم، شملت العديد من الهجمات الإجرامية وكذلك هجمات مركّزة أخرى.
كما كشفت الشركة، منذ بداية فبراير 2018 عن حملة هجمات واسعة نفذها أعضاء مجموعة جورجون استهدفت من خلالها مؤسسات حكومية في كل من المملكة المتحدة وإسبانيا وروسيا والولايات المتحدة. وخلال تلك الفترة أيضاً، تبيّن أن أعضاء مجموعة جورجون يقومون بهجمات إجرامية ضد العديد من الأهداف على مستوى العالم، وغالباً ما يستخدمون في هذه الهجمات البنية التحتية ذاتها التي يستخدمونها لتنفيذ الهجمات المستهدفة الخاصة بها.
وتعتبر هجمات مجموعة جورجون الخبيثة مثيرة للاهتمام. فبالإضافة إلى استخدامها لقنوات سيرفرات الأوامر والتحكم C2 قامت المجموعة باستخدام خدمات اختصار روابط URL الشائعة لتثبيت حمولات البيانات payloads، مما وفّر قائمة واسعة من النقرات والبيانات الإحصائية. وتمتلك مجموعة جورجون بشكل مثير للاهتمام أيضاً عنصر إجرامي شديد التنوع والفعالية، فبالإضافة إلى استخدامها للبنية التحتية C2، استطعنا تحديد العديد من أنواع البرمجيات والأدوات الإجرامية التي تستخدمها هذه المجموعة، مثل أدوات الإدارة المعقدة عن بعد RATs ومنها أداة NjRat الخبيثة، وملفات التجسس infostealers مثل Lokibotوالتي عملت المجموعة من خلالها على الاستفادة من البنية التحتية C2 ذاتها التي استخدمتها لتنفيذ هجماتها المستهدفة.
وعلى الرغم من استخدامها للعديد من المستندات الملغومة ورسائل البريد الإلكتروني التصيّدية، لم ترتق أساليب المجموعة الهجومية إلى مستويات متقدمة من التطور والتعقيد، لكن لا يمكن في نفس الوقت إنكار فعالية مجموعة جورجون وحملاتها الهجومية.
من خلال الوصول إلى المزيد من الأدلة، ومع فشل العديد من عمليات المجموعة من الناحية الأمنية، بات من السهل تجميع معلومات وافية حول أعضاء مجموعة جورجون . وكانت مراكز 360 و Tuisec قد حددت بالفعل بعض أعضاء هذه المجموعة. وبالإضافة إلى الهاكر سوبات، استطاعت شركة بالو ألتو نتوركس التعرف على أربعة مهاجمين إضافيين يقومون بتنفيذ هجماتهم تحت مظلة مجموعة جورجون. وعلى الرغم من عدم التأكد فيما إذا كان المهاجمون يقيمون فعلياً في باكستان، إلا أن جميع أعضاء مجموعة جورجون يزعمون أنهم يتواجدون فيها، وذلك استناداً إلى ملفاتهم الشخصية على شبكة الإنترنت.
ولاتُعد مجموعة جورجون الأولى من نوعها من بين مجموعات هجومية أخرى واجهناها تقوم بهجمات خبيثة على مستوى الحكومات واعتداءات إجرامية أخرى. لكن ما يجعل مجموعة جورجون فريدة من نوعها، هو أنها ما زالت تقوم بهجمات فعالة بشكل خاص على الرغم من الإخفاقات الأمنية التي عانت منها على مستوى العمليات. وبالنظر عن قرب إلى الجهات الفاعلة المشاركة في هجمات مجموعة جورجون ، استطعنا التعرف بشكل فريد على طريقة العمل الداخلية للهجمات الخبيثة. وقد لاحظنا اعتماد أفراد المجموعة على ذات البنية التحتية لإطلاق هجماتهم المركزة وعملياتهم الإجرامية مع تفاوت دوافعهم. يقودنا هذا إلى استنتاج مفاده أن العديد من أعضاء مجموعة جورجون لديهم ارتباط بباكستان.