"MoneyTaker" .. عصابة قرصنة جديدة تستهدف المؤسسات المالية حول العالم
أصدرت "جروب – آي بي"، المزوّد الرائد لحلول الأمن الإلكتروني القائم على استخبارات التهديدات، تقريراً يبين تفاصيل حملة خبيثة تقف وراءها عصابة إلكترونية ناطقة باللغة الروسية تقوم بشن هجمات موجهة أطلقت عليها "جروب – آي بي" اسم عصابة "MoneyTaker".
شنت هذه العصابة الإلكترونية في أقل من عامين أكثر من 20 هجمة ناجحة على المؤسسات المالية وشركات المحاماة حول العالم ولم يتم اكتشافها حتى الآن. وتميزت العصابة المذكورة بتغيير أدواتها وتكتيكاتها باستمرار لتخطي برامج مكافحة الفيروسات والحلول الأمنية التقليدية، والأهم من ذلك، إزالة أي آثار تدل على وجودها بعناية بعد إتمام عملياتها.
وشنت "MoneyTaker" هجومها الأول في الولايات المتحدة، وتحديداً في شهر مايو من العام 2016، في حين وقع الهجوم الأخير في نوفمبر 2017 في روسيا.
وقال المؤسس المشارك لـشركة جروب – آي بي ورئيس استخبارات التهديدات ديمتري فولكوف، "تستخدم عصابة MoneyTaker الإلكترونية الأدوات المتاحة في متناول الجمهور، ما يجعل عملية تحديد المتورطين في تلك الهجمات والتحقيق فيها مهمة ليست بالبسيطة أو السهلة."
وأضاف "بالإضافة لذلك، لوحظ وقوع تلك الهجمات في مناطق مختلفة حول العالم."
وحذر خبراء جروب – آي بي من احتمالات وقوع جرائم سطو إلكترونية جديدة في المستقبل القريب، مشيرة إلى أن جروب – آي بي اكتشفت الوسائل والتقنيات المستخدمة من قبل القراصنة وكذلك مؤشرات الاختراق المنسوب إلى عصابة MoneyTaker."
وأشارت جروب – آي بي إلى وجود علاقة بين جميع الهجمات العشرين خلال عامي 2016 و2017. والعلاقات التي تم اكتشافها لم تقتصر على الأدوات المستخدمة وحدها، بل شملت كذلك البنية التحتية الموزعة ومكونات استخدمت لمرة واحدة في أدوات الهجوم الخاصة بالعصابة، بالإضافة إلى خطط السحب المحددة – باستخدام حسابات مختلفة لكل معاملة. وهناك سمة أخرى مميزة لهذه العصابة وهو أنها تبقى متواجدة في الموقع بعد حدوث الهجوم، وتواصل التجسس على عدد من البنوك المتأثرة وترسل رسائل عبر البريد الإلكتروني وغيرها من المستندات الأخرى ذات الصلة بالشركات إلى خدمات البريد الإلكتروني المجاني "Yandex" و"Mail.ru" بصيغة: first.last@yandex.com.
وأشار المدير الرئيس لشركة "جروب-آي بي" في الشرق الأوسط وأفريقيا وتركيا وجنوب آسيا طارق الكزبري، "لقد شهدنا هذا العام وقوع عدد من الهجمات الإلكترونية فائقة التطور في القطاع المالي، الأمر الذي أعاد إلى الواجهة أهمية وضرورة حماية البيانات والإجراءات الأمنية. وفي حين أن مجرمي الإنترنت لايزالون يواصلون تطورهم وتقدمهم التكتيكي، فلا بد للشركات كذلك من تقوية وتدعيم نظامها الدفاعي حفاظاً على أمنها الإلكتروني. وبالإضافة لذلك، فإن زيادة استخدام التكنولوجيات الجديدة في المنطقة يجعل الأمن والبيانات عرضة للمخاطر. ونحن في جروب - آي بي، ملتزمون بحماية عملائنا من الثغرات الأمنية، وذلك من خلال تزويدهم بمعلومات شاملة عن التهديدات والحلول الأمنية الإلكترونية القوية والفاعلة."
ومن خلال تحليل البنية الأساسية للهجوم، توصلت "جروب – آي بي" إلى أن العصابة تقوم بشكل مستمر بفرز المستندات البنكية الداخلية لمعرفة المزيد عن العمليات المصرفية استعدادا لشن هجمات مستقبلية. وتشمل المستندات التي يتم فرزها: دليل إداري النظام والأنظمة والتعليمات الداخلية ونماذج طلبات التغيير وسجلات المعاملات وغيرها. وتجري "جروب – آي بي" حالياً التحقيق في عدد من حالات الاختراق الأمني تم من خلالها استخدام مستندات منسوخة تصف كيفية إجراء التحويلات المالية من خلال خدمة "سويفت".
وكانت العصابة الإلكترونية استهدفت بالمقام الأول أنظمة إنجاز معاملات البطاقة، حيث قام المهاجمون بالتحقق فيما إذا بإمكانهم الاتصال بنظام إنجاز معاملات البطاقة بعد السيطرة على شبكة البنك. وفي أعقاب ذلك، قاموا أولئك بفتح حساب بطاقة أو شراء بطاقة نظامية من البنك الذي وقع نظام تكنولوجيا المعلومات فيه ضحية لاختراق تلك العصابة. في أثناء ذلك، سافر مهربو الأموال – وهم مجرمون مهمتهم سحب الأموال من أجهزة الصراف الآلي - والذين كان بحوزتهم بطاقات تم تفعيلها مسبقاً، إلى الخارج وانتظروا بدء عملية الاختراق. وبعد اختراق نظام إنجاز معاملات البطاقة، قام المهاجمون بإزالة أو زيادة حدود السحب النقدي للبطاقات التي يحتفظ بها المهربون. وأزالو أيضاً حدود السحب على المكشوف، مما جعل من الممكن إجراء السحب حتى باستخدام بطاقات الخصم من الحساب. وباستخدام هذه البطاقات، قام المهربون بسحب المبالغ النقدية من أجهزة الصراف الآلي واحدا تلو الآخر.
وإضافة إلى البنوك، هاجمت عصابة "MoneyTaker" شركات المحاماة وبائعي البرامج المالية أيضاً. وسيكلف الهجوم على شركة ما يصل إلى 500,000 دولار بمعدل وسطي.