برمجية خبيثة تتجاوز الحماية الثنائية وتنهب البيانات وهولندا تغلق خوادم يستخدمها قراصنة روس لاستهداف أوروبا
تسلط نايلة الصليبي الضؤ في "النشرة الرقمية"على تقاريرعن اعتقالات ومصادرة بنية تحتية رقمية قامت بها السلطات الهولندية لتفكيك خوادم استخدمت في هجمات إلكترونية روسية استهدفت أوروبا.وأيضا تقرير مختبر Varonis Threat Labs الذي يحذر من برنامج خبيث " ستورم"، يسرق البيانات متخطيا المصادقة الثنائية ويسرق البيانات بصمت ويصعب اكتشافه.
هولندا تغلق خوادم يستخدمها القراصنة في الهجمات الإلكترونية الروسية في أوروبا
في عملية أمنية واسعة النطاق، ألقت السلطات الهولندية القبض على رجلين وصادرت أكثر من ۸٠٠خادم في إطار تحقيقات تتعلق بهجمات إلكترونية روسية استهدفت أوروبا.
نفذت الدائرة الهولندية المختصة بمكافحة الجرائم المالية عمليات التوقيف، وسط اتهامات للمشتبه بهما بتوفير موارد اقتصادية، بصورة مباشرة أو غير مباشرة، لكيانات روسية وبيلاروسية خاضعة لعقوبات الاتحاد الأوروبي
شركة استضافة في قلب التحقيقات
تركز التحقيقات على شركة متخصصة في استضافة المواقع الإلكترونية تأسست ۱٠ فبراير ٢٠٢٢، أي قبل أسبوعين فقط من بدء الغزو الروسي لأوكرانيا. ووفقاً للمحققين، ارتبطت الشركة بعدد كبير من الهجمات الإلكترونية الروسية ضد أوكرانيا، حيث استخدمها قراصنة روس يعملون بتكليف من روسيا لتنسيق عمليات تدخل واسعة النطاق تهدف إلى زعزعة الاستقرار، إلى جانب نشر حملات تضليل مكثفة. تضليل ممنهجة استهدفت أوكرانيا بشكل رئيسي.
ستارك إندستريز وشركات الواجهة
تحمل الشركة اسم "ستارك إندستريز"، Stark Industries من دون أي صلة بالشركة الخيالية المرتبطة بشخصية توني ستارك من قصص آيرون مان في عالم مارفل. وبعد الكشف عن أنشطتها. في مايو ٢٠٢٥فرض عليها الاتحاد الأوروبي عقوبات صارمة.
غير أن المحققين رصدوا عملية إعادة هيكلة سريعة، إذ جرى نقل جزء كبير من البنية التحتية التقنية إلى شركة هولندية جديدة أُطلق عليها اسم WorkTitans B.V، التي أتاحت للقراصنة الروس مواصلة نشاطهم بعيداً عن رقابة الجهات الأمنية.
ثم لاحقاً، ظهرت شركة ثانية باسم MIRhosting، وتولت مهمة ربط خوادم WorkTitans B.V بالإنترنت. وأدى هذا الدور التقني الوسيط أهمية أساسية، إذ إن الاتصال بعقدتي أمستردام وفرانكفورت كان ضرورياً لتمكين الخوادم من تنفيذ الهجمات الإلكترونية.
استخدام الشبكات في هجمات ضد مؤسسات أوروبية
كشف المحققون أن شبكتَي WorkTitans B.V وMIRhosting استُخدمت بشكل واسع في هجمات موالية لروسيا استهدفت إدارات حكومية دنماركية. وتشير الشبهات إلى وقوف مجموعة NoName057خلف هذه العمليات، وهي مجموعة معروفة بتنفيذ هجمات حجب الخدمةDDoS ضخمة ضد مؤسسات أوروبية؛
التي تستهدف إغراق الخوادم والمواقع بسيل من الطلبات تؤدي إلى توقفها عن العمل وجعلها غير قابلة للوصول. وقد سبق لمجموعة القراصنة هذه أن أثارت الانتباه في فرنسا، حين تمكنت من تعطيل عدد من المواقع الحكومية الفرنسية.
تُجسّد هذه القضية نمطاً متكرراً في الحرب الإلكترونية الروسية: توظيف شركات واجهة قانونية الشكل لتوفير غطاء مؤسسي لعمليات إجرامية منظمة، مما يُعقّد مهمة الملاحقة القضائية ويتحدى أطر التعاون الأمني الأوروبي.
برنامج خبيث يتخطى المصادقة الثنائية ويسرق البيانات بصمت ويصعب اكتشافه
اكتشف باحثون في Varonis Threat Lab نوعًا جديدًا من فيروسات سرقة البيانات infostealer. أطلق عليه الخبراء اسم "ستورم"، وهو مُبرمج لسرقة جميع البيانات المخزنة في برنامج التصفح، مثل كلمات المرور، وملفات تعريف الارتباط الخاصة بالجلسات -الكوكيز-، والمعلومات المصرفية. ثم ينتشر إلى باقي أجزاء الكمبيوتر، مُواصلًا البحث عن المزيد من المعلومات. يتميز هذا الفيروس بقدرته على التخفي أكثر من غيره من برامج سرقة البيانات، فهو مُصمم ليعمل دون أن يُكتشف ولا يُطلق أي تنبيهات أمنية على الجهاز الملوث.
آلية الاختراق و سرقة البيانات
يبدأ هجوم "ستورم" بطريقة تقليدية: باستلام بريد إلكتروني يحتوي على مُرفق خبيث، أو برنامج غير شرعي مُنزّل من موقع ويب خبيث، أو برنامج معلوماتي مُروّج له عبر إعلان من غوغل. إذا ارتكب الضحية خطأً بتحميل البرنامج أو المستند، فسيقوم "ستورم" بتثبيت نفسه تلقائيًا على النظام.
بمجرد تفعيله، يقوم البرنامج الخبيث "ستورم" بفحص محتويات جهاز الكمبيوتر الخاص بشكل منهجي، بدءًا من برامج تصفح الويب. ليستخرج كلمات المرور المحفوظة، وملفات تعريف الارتباط الخاصة بالجلسات، وبيانات التعبئة التلقائية، وأرقام بطاقات الائتمان المحفوظة. كما يفحص "ستورم" الملفات الشخصية بحثًا عن المستندات الحساسة، ويبحث في تطبيقات المراسلة، بما في ذلك تيليغرام ، سيغنال و ديسكورد ، ويكشف جميع محافظ العملات الرقمية المشفرة المثبتة في الجهاز. يستهدف البرنامج كلاً من إضافات المحافظ وبرامج المحافظ المخصصة.
تجاوز خط الدفاعات و المصادقة الثنائية
يتميز هذا البرنامج الخبيث عن غيره من برامج سرقة المعلومات Infostealer بتجاوزه إجراءً أمنيًا قدم في برنامج التصفح كروم في يوليو ٢٠٢٤، أضافته حينها غوغل، و هي ميزة حماية تُسمى "التشفير المرتبط بالتطبيق" إلى برنامج تصفح الويب كروم. تضمن هذه الحماية تشفير كلمات المرور المخزنة في كروم، لا يمكن فك تشفيرها إلا بواسطة كروم باستخدام المفتاح الموجود في مساحة محمية. من المفترض أن يمنع هذا الإجراء الاحترازي وصول برامج سرقة المعلومات.
غير أن يمكن لبرنامج "ستورم" الخبيث تجاوز هذا النظام الدفاعي لكروم فبدلاً من محاولة فك تشفير البيانات على جهاز الضحية، مما قد يؤدي إلى إطلاق تنبيهات أمنية، يرسل المعلومات المسروقة المشفرة، إلى خوادم يتحكم بها القراصنة. ومن هذه الخوادم البعيدة تبدأ عملية فك التشفير. هذا التغيير في أسلوب العمل يوهم النظام بأن كل شيء على ما يرام. وقد يؤدي فك تشفير البيانات إلى هجمات إلكترونية أخرى في المستقبل.
لا يحتاج القراصنة إلى كلمة مرور المستخدم للوصول إلى حساباته فورًا. فهم ببساطة يستخدمون ملفات تعريف الارتباط -الكوكيز-، التي سرقها البرنامج الخبيث، لتسجيل الدخول إلى موقع ويب مسجل المستخدم دخوله إليه، يعيد القراصنة تشغيل نفس الجلسة التي يستخدمها الضحية. يستطيع "ستورم" فتح جلسة مصادقة دون الحاجة إلى كلمة مرور المستخدم أو رمز المصادقة الثنائية. المصادقة متعددة العوامل، التي تُعتبر الحماية المثلى ضد الهجمات الإلكترونية، تصبح عديمة الجدوى في هذا الهجوم.
سوق مزدهر و خدمة اشتراق للقراصنة
يُباع برنامج "ستورم" عبر منتديات متخصصة من خلال خدمة اشتراك. ووفقًا لتحقيقات شركة Varonis، يتقاضى القراصنة ٣۰۰ دولار أمريكي مقابل نسخة تجريبية لمدة أسبوع، و۹۰۰ دولار أمريكي شهريًا لرخصة مستخدم واحد، وما يصل إلى ۱۸۰۰ دولار أمريكي شهريًا لرخصة تسمح لـ ۱۰۰ مستخدم بالعمل في وقت واحد. ما يعني أنه أداة اختراق ضخمة على نطاق واسع.
وعند تحليل باحثي مختبرات Varonis Threat Labs، كانت لوحة تحكم ستورم قد سجلت بالفعل الاف الضحايا في عشرات الدول، ممن سُرقت بيانات اعتمادهم من منصات مثل غوغل وفيسبوك وكوين بيس وبينانس وغيرها.
ويُوصي باحثو Varonis Threat Labs بتقليص مدة جلسات برنامج التصفح النشطة على الويب وحذف ملفات تعريف الارتباط الكوكيز بانتظام، أو ضبط برنامج التصفح لإزالتها تلقائياً عند الإغلاق. فكلما قصُرت مدة تخزين هذه الملفات، تضعف قدرة القراصنة على الاختراق.
يمكن الاستماع لـ "بودكاست النشرة الرقمية" على مختلف منصات البودكاست. الرابط للبودكاست على منصة أبل
للتواصل مع نايلة الصليبي عبر صفحة برنامَج"النشرة الرقمية"من مونت كارلو الدولية على لينكد إن وعلى تويتر salibi@ وعلى ماستودون وبلوسكاي عبر موقع مونت كارلو الدولية مع تحيات نايلة الصليبي
Fler avsnitt av النشرة الرقمية
Visa alla avsnitt av النشرة الرقميةالنشرة الرقمية med مونت كارلو الدولية / MCD finns tillgänglig på flera plattformar. Informationen på denna sida kommer från offentliga podd-flöden.