أكدت وكالة cyberscoop المختصة في الأمن الإلكتروني أن الانتهاكات والتسريبات الإعلامية التي تستهدف قطر حالياً هي جزء من جهود حرب إلكترونية منسقة بشكل جيد.
وقال الموقع إنه تم ربط آخر نشاط اختراق تم تحديده من قبل ثلاث شركات تابعة للقطاع الخاص بالعديد من نطاقات الويب المسجلة حديثًا والتي كانت مخصصة للقطريين الباحثين عن عمل محلي، بناءً على أبحاث Qihoo.
وقد تم تسجيل بعض هذه المواقع في فبراير، مما دفع المحللين إلى الاعتقاد بأن المهاجمين كانوا يستعدون لشن حملة تجسس على الإنترنت لمدة ثلاثة أشهر على الأقل.
وبينت الأبحاث التي قامت بها الوكالة أنه تم استخدام ثغرة إلكترونية zero day في AdobeFlash مؤخرًا لإصابة هدف دبلوماسي محتمل في قطر ببرامج ضارة، وفقا لبحوث جديدة من شركة الأمن السيبراني ICEBRG ومقرها سياتل وشركتي التكنولوجيا الصينية Qihoo وTencent.
Flash zero-day shows up in Qatar amid geopolitical struggles https://t.co/TXQVnPQESI
— CyberScoop (@CyberScoopNews) 10 de junio de 2018
كما أنه من المألوف أن تعتمد الدول على أدوات التجسس على الكمبيوتر للحصول على نظرة ثاقبة في محادثات الحكومة أو غيرها من الأسرار.
وأضافت الوكالة إن شركة Adobe قامت بتصحيح الثغرة الأمنية كجزء من تحديث برنامج أوسع في إصدار صادر عن شركة الأمن السيبراني ICEBRG. وتأتي هذه النتائج في الوقت الذي تواجه فيه قطر صراعات جغرافية سياسية مهمة، بما في ذلك الحصار الذي فرضته الإمارات والسعودية والبحرين ومصر.
وذكرت الوكالة أنه على مدى الأشهر الماضية، برزت القرصنة في الشرق الأوسط لدوافع سياسية عدة مرات، حيث تعرضت قطر الى قرصنة على مستوى وكالة أنبائها ووجهت تقارير استخبارية واعلامية التهمة الى الإمارات.
وأوضحت الوكالة أن كل الدلائل تظهر أن هذا هو هجوم APT نموذجي، وحسب تقرير لـ Qihoo، واحدة من أكبر شركات الأمن السيبراني في الصين فان مصطلح APT يعني “تهديدا دائما متقدما” أو مجموعة قرصنة النخبة. وتسمح الثغرة الأمنية الفائضة المستندة إلى مكدس الذاكرة المؤقتة للمهاجم بحزم عملية استغلال في مستند Microsoft Word بطريقة أخرى “عن بعد بما في ذلك محتوى Flash“، والذي يوفر قناة مشفرة تعتمد على RSA لإدخال حمولات ضارة.
It looks like today’s update for the Flash vulnerability CVE-2018-5002 introduces a new prompt before loading remote content. Seems like a good idea, for those of you who still have Flash installed on your system for some reason. pic.twitter.com/cGd3iFZpLW
— Will Dormann (@wdormann) 7 de junio de 2018
وكتب الباحثون أن تقنية تنفيذ التعليمات البرمجية العشوائية هذه فريدة من نوعها بسبب “الحد الأدنى من الثبات الساكن”.
وقالت ICEBRG في إشارة إلى الأمن التشغيلي لمجموعة القرصنة: “إن استغلال الفلاش والتشفير غير المتماثل هما عدادات قوية بشكل خاص ضد تحليل ما بعد الاختراق“.
كما نشرت شركة الأمن الإلكتروني ClearSky Cybersecurity أدلة على موقع تويتر توضح ما بدا أنه هجوم آخر ونوع من التجسس الإلكتروني مخصص لمؤسسة إخبارية في الشرق الأوسط.
“DMI Connect.doc”, #oilrig related sample is using rdppath[.]com as C2. Submitted from Arab Emirates, *potentially* targeting “Dubai Media Incorporated (DMI)”, the official media organization of the government of Dubai.
More in Raw Threat Intelligence:https://t.co/LUIarR7gR2 pic.twitter.com/28ydlSER1z
— ClearSky Cyber Security (@ClearskySec) 7 de junio de 2018
ويحمل مستند التصيد الاحتيالي تلميحات إلى أنه عمل “مجموعة OilRig”، وهو الاسم الرمزي لجهات قرصنة في منطقة الخليج.
المصدر: موقع الشرق