عثر باحثو وحدة الأمن السيبراني التابعة لشركة سيسكو، تالوس Talos، على مجموعة قرصنة متطورة للغاية، تتلقى الدعم من قبل دولة قومية، والتي تهدد بتقويض الأنظمة التي تحافظ على عمل الويب، حيث استهدفت المجموعة جزءًا أساسيًا من البنية التحتية للإنترنت أثناء محاولتها سرقة المعلومات السرية.
وأشار باحثو تالوس إلى استخدام المجموعة لتقنية تعرف باسم: “اختطاف نظام أسماء النطاقات DNS” من أجل استهداف 40 منظمة ووكالة حكومية واستخباراتية، ووزارة خارجية، وشركات طاقة بارزة، إلى جانب عدد كبير من شركات الاتصالات، ومقدمي خدمات الإنترنت، في 13 دولة حول العالم، لأكثر من عامين.
وقال تقرير Talos الصادر اليوم الأربعاء: “إننا نقيّم بثقة عالية أن هذه العمليات مختلفة تمامًا، ومستقلة عن العمليات التي تقوم بها حملة القرصنة DNSpionage”.
واستهدفت المجموعة بشكل رئيسي بلدان الشرق الأوسط، وشمال إفريقيا، وتطلق تالوس على المجموعة اسم: “السلاحف البحرية” Sea Turtle، والتي تستهدف الشركات من خلال الاستيلاء على نظام أسماء النطاقات DNS، مما يسمح للمتسللين بتوجيه اسم مجال الهدف إلى خادم ضار من اختيارهم.
وتستغل هذه التقنية العيوب المعروفة في نظام أسماء النطاقات DNS، والتي يمكن استخدامها لخداع ضحايا الشركات؛ من أجل تسليم بياناتهم من خلال صفحات تسجيل دخول مزيفة.
موضوعات ذات صلة بما تقرأ الآن:
وقال كريغ وليامز Craig Williams، مدير التواصل في Cisco Talos: “هذه المجموعة الجديدة تعمل بطريقة فريدة نسبيًا لم نشاهدها من قبل، وذلك من خلال استخدام أساليب، وتقنيات، وإجراءات جديدة”.
ويخترق المتسللون في البداية هدفًا محددًا باستخدام تقنية التصيد الاحتيالي، وذلك من أجل الحصول على موطئ قدم على الشبكة، ثم يستخدمون عيوبًا معروفة لاستهداف الخوادم وأجهزة التوجيه؛ للحصول على كلمات مرور الشبكة.
ويستعمل المتسللون تلك البيانات لاستهداف مسجل DNS الخاص بالمنظمة، وذلك عن طريق تحديث سجلاتها، بحيث يشير اسم المجال إلى خادم يتحكم فيه المتسللون، بدلًا من عنوان بروتوكول الإنترنت IP لخادم الهدف.
وبمجرد أن يشير نطاق الهدف إلى الخادم الضار، فإن بإمكان المتسللين تشغيل عملية هجوم “رجل في الوسط”؛ لانتحال صفة صفحات تسجيل الدخول، وجمع أسماء وكلمات مرور الموظفين، وذلك كوسيلة للوصول إلى أماكن أعمق ضمن الشبكة.
ويهدف المتسللون إلى الحصول على شهادات SSL للهدف المستخدمة عبر شبكة الشركة، مما يمنحهم رؤية أكبر لعمليات المؤسسة، كما يسرقون أيضًا شهادات SSL المستخدمة في الشبكات الخاصة الافتراضية VPN، وذلك من أجل سرقة البيانات، والوصول إلى شبكة المؤسسة من خارجها.
وقالت وحدة الأمن السيبراني التابعة لشركة سيسكو: إن المجموعة استخدمت هذه التقنية لاختراق Netnod، وهو مزود نظام أسماء النطاقات DNS في السويد، وأحد الخوادم الرئيسية الثلاثة عشر التي تشغل البنية التحتية العالمية لنظام أسماء النطاقات DNS.
وكان مزود Netnod قد أكد في شهر فبراير أن بنيته التحتية قد تعرضت للاختراق، وقال كريغ وليامز: إن وحدة تالوس قادرة بشكل قاطع على ربط مجموعة القرصنة “السلاحف البحرية” بهجوم Netnod.
كما تمكن المتسللون من الوصول إلى المسجل الذي يدير نطاقات المستوى الأعلى لدولة أرمينيا، الأمر الذي سمح للمجموعة باستهداف أي اسم نطاق “.am”.
وامتنعت تالوس عن تحديد أهداف الهجمات، أو أسماء المسجلين المعرضين للخطر، مع الإشارة إلى احتمال وقوع المزيد من الهجمات أو تقليدها.
كما ابتعدت الوحدة عن ذكر الدولة التي من المحتمل أن تكون وراء المجموعة، لكنها قالت: إن أرمينيا، ومصر، وقبرص، والعراق، وألبانيا، ولبنان، وليبيا، وسوريا، وتركيا، والسويد، والأردن، والإمارات العربية المتحدة، كانت من بين الدول الضحايا.
وقال وليامز: إن الدوافع الأساسية للمجموعة هي القيام بالتجسس، وذلك بالنظر إلى الأهداف النهائية التي شملت شركات الإنترنت، والبنية التحتية للاتصالات، ووزارات الخارجية، ووكالات الاستخبارات في الشرق الأوسط وأفريقيا.
وأوضح الباحثون أن مجموعة “السلاحف البحرية” تتمتع بقدرات تقنية عالية، وأن المتسللين قادرون على الحفاظ على إمكانية الوصول على المدى الطويل باستخدام بيانات الاعتماد المسروقة.
وحث الباحثون الأمنيون الشركات على البدء باستخدام DNSSEC، وهو نظام أسماء نطاقات مشفر أكثر أمانًا، وأكثر صعوبة في التزوير، بالإضافة إلى استعمال المصادقة الثنائية في سجلات DNS الخاصة بالمنظمة.
وقال التقرير: “تقتصر هذه الحملة على استهداف منظمات الأمن القومي في الشرق الأوسط، وشمال إفريقيا، ونحن لا نريد المبالغة في تقدير عواقبها، لكننا نشعر بالقلق من أن نجاحها سيؤدي إلى مهاجمة نظام أسماء النطاقات DNS العالمي على نطاق أوسع”.