في عالم متزايد من التهديدات السيبرانية، تبرز مجموعة ويرت المرتبطة بحماس كأحد أبرز المهاجمين في الشرق الأوسط، حيث تقوم بتجسس متواصل على الحكومات والكيانات الدبلوماسية.
مجموعة تهديدات إلكترونية مرتبطة بحماس تقوم بالتجسس عبر الشرق الأوسط.
“ويرت” — التي تتعقبها وحدة 42 في بالو ألتو باسم “أشين ليبوس” — تتجسس على الهيئات الحكومية الإقليمية والكيانات الدبلوماسية منذ عام 2018. مؤخرًا، وسعت اهتماماتها لتشمل دولًا أقل ارتباطًا مباشرة بالصراع الإسرائيلي الفلسطيني، مثل عمان والمغرب. ولتتناسب مع نطاقها المتزايد، ابتكرت ويرت مجموعة جديدة من البرمجيات الخبيثة تحتوي على مجموعة متنوعة من الميزات المفيدة لتجنب برامج الأمن السيبراني.
“عندما بدأت المجموعة، استخدمت أدوات بسيطة جدًا — لم يبدو أن الأشخاص وراء المجموعة لديهم الكثير من المعرفة التقنية،” يقول باحثو وحدة 42، الذين طلبوا عدم الكشف عن هويتهم لهذا المقال. “ومع ذلك، على مر السنين، شهدنا تطور أدواتهم وتقنياتهم؛ نحن الآن نلاحظ تطورًا وتحسينًا في قدراتهم.”
برمجيات حماس الجديدة وطرق الهجوم
كتاب ويرت هو في معظم النواحي تجسس إلكتروني نموذجي. يتلقى الضحايا رسائل بريد إلكتروني تصيدية تحتوي على مستندات PDF تتعلق بالصراع الإسرائيلي الفلسطيني. عندما يتبعون رابطًا في ملف PDF، يصلون إلى خدمة مشاركة الملفات حيث ينتظرهم أرشيف RAR. إذا استمروا، سيؤدي ذلك إلى هجوم تحميل مكتبة الارتباط الديناميكي (DLL) في خلفية جهازهم. ثم سيرون المستند الذي كانوا يبحثون عنه، بينما يبدأ سلسلة العدوى الخاصة بويرت في العمل بهدوء. في النهاية، سيقوم القراصنة بنشاط يدوي لسرقة مستندات ذات أهمية دبلوماسية وسياسية.
بشكل غريب، وجدت وحدة 42 أن الحملات الأولى لويرت لم تسلم في الواقع حمولات كاملة وكاملة. وخلصوا إلى أن “الحملات السابقة التي لوحظت في البيئة كانت مرحلة اختبار في تطوير سلسلة الهجوم،” التي لم تتبلور إلا الآن مع تقديم مجموعة برمجيات خبيثة مكتملة تُدعى “أش تاج.”
تتكون أش تاج من محمل، ومراحل، وباب خلفي يمكنه تثبيت مجموعة متنوعة من وحدات الإضافات، بهذا الترتيب. مثل أي مجموعة تجسس جيدة، تم تصميم هذه المكونات مع مراعاة السرية.
على سبيل المثال، عندما يحين وقت تحميل المحمل للمرحلة من بنية التحكم والقيادة (C2) الخاصة بويرت، لا يجد ببساطة تلك الحمولة جالسة بلا حراك على صفحة ويب. بدلاً من ذلك، يتم تضمينها داخل الصفحة، محصورة بين علامات رأس HTML، ويقوم المحمل بتحليل HTML الذي يبدو غير ضار لاستخراجها.
يأخذ الباب الخلفي هذه الحيلة خطوة أبعد: يمكن العثور على الوحدات التي يقوم بتنزيلها فقط من خلال قراءة العلامات المعلقة داخل HTML للنطاق الخبيث — الأماكن التي لا تبحث فيها معظم برامج الكشف. كما تقوم ويرت بتشفير حمولاتها بدقة، وعندما تكشف الأبحاث المنشورة عن أساليبها الحالية، تقوم بتغييرها.
مكان ويرت في الصراع الفلسطيني
تتميز ويرت عن غيرها من التهديدات المستمرة المتقدمة (APTs) المرتبطة بحماس لعدد من الأسباب.
الأهم من ذلك، أنها تحدت جميع جهود الحرب الإسرائيلية في غزة. معظم المجموعات المرتبطة بحماس صمتت خلال الحرب. ولكن حتى مع قيام قوات الدفاع الإسرائيلية (IDF) بتدمير غزة، وتقليص الكهرباء بشكل منهجي، وحتى قصف قراصنة مرتبطين بحماس، يبدو أن ويرت استمرت بلا توقف.
على الرغم من أنهم ليسوا متأكدين، يقول باحثو وحدة 42 “إن استمرار نشاط المجموعة طوال الصراع يشير بالفعل إلى أنهم قد يعملون من خارج غزة. قد يكونون يعملون من الضفة الغربية أو من دول أخرى.”
قد يساعد كون ويرت تبدو خطوة بعيدة عن صراع غزة في تفسير لماذا، مقارنةً بالآخرين من حماس، تستهدف بشكل حر حكومات شرق أوسطية أكثر تنوعًا. غالبًا ما تظل مركزة على أهداف مرتبطة بشكل وثيق بالصراع الإسرائيلي الفلسطيني، مثل مصر والأردن والسلطة الفلسطينية نفسها، التي تقع مقابل حماس في الضفة الغربية. لكن يبدو أن ويرت تتجاوز هذا الاتجاه في الوقت الحالي.
لا تزال أحدث أنشطة ويرت مرتبطة بشكل جوهري بالشؤون الفلسطينية. غالبًا ما تشير طُعمها الاجتماعي إلى حماس نفسها، والطرق التي تشارك بها الحكومات الإقليمية مثل تركيا في الصراع. لكن الباحثين أفادوا بأن “لقد لاحظنا العشرات من الطعوم الفريدة المنتشرة عبر الشرق الأوسط، مما يشير إلى حملة مستمرة وواسعة النطاق.”
هنا، يمكن فهم “واسعة النطاق” بالمعنى الحرفي والمجازي. عمان وتركيا هما أبعد ما يمكن أن يكون من إسرائيل، في اتجاهين، بينما لا تزال تعتبران من الشرق الأوسط (وربما يكون الرباط أقرب إلى أوسلو من القدس). وعلى الرغم من أن رئيس تركيا قد شارك نفسه في الصراع الفلسطيني في السنوات الأخيرة، فإن الدولتين الأخريين حافظتا على بعض المسافة.
“إن توسيع نطاق ضحايا أشين ليبوس إلى ما وراء أهدافهم الجغرافية التقليدية، إلى جانب مواضيع الطعم الجديدة، يشير إلى توسيع نطاق عملياتهم،” كتبت وحدة 42 في تقريرها. “يجب على المنظمات في الشرق الأوسط، وبشكل خاص في القطاعات الحكومية والدبلوماسية، أن تظل يقظة ضد هذه التهديدات المتطورة.”
مع استمرار تطور أساليب ويرت، يجب على الحكومات في الشرق الأوسط تعزيز تدابير الأمن السيبراني لمواجهة هذا التهديد المتزايد.
