يواصل باحثو كاسبرسكي العالمية لأبحاث الأمن الإلكتروني، تتبّع حملات هجوم تشنّها العصابة الرقمية الشهيرة DeathStalker، وذلك منذ العام 2018.
وتظهر دراسة تحليلية أجراها الباحثون مؤخرًا، أن العصابة طورت مجموعة أدوات VileRat التخريبية لمهاجمة الشركات العاملة في مجالات العملات الرقمية وصرافة العملات الأجنبية في ألمانيا ودولة الإمارات وبلغاريا وروسيا وجزر غرينادين وقبرص والكويت ومالطا، في العام 2022.
اقرأ أيضًا | اكتشاف برمجية خبيثة تتيح للمخترقين التحكم في أجهزة الكمبيوتر
وتُعدّ DeathStalker من العصابات سيئة السمعة التي تراقبها كاسبرسكي منذ العام 2018، وتستهدف في الأساس شركات المحاماة والمؤسسات العاملة في القطاع المالي، وتتسم هجمات هذه العصابة بأنها ليست ذات دوافع سياسية أو مالية. ويرى باحثو كاسبرسكي أن DeathStalker تعمل كعصابة مرتزِقة تقدم خدمات تخصصية في القرصنة أو الاستخبارات المالية.
وكان باحثو كاسبرسكي نشروا في العام 2020 تقريرًا عن DeathStalker وأنشطتها التخريبية، التي تشمل حملات Janicab وEvilnum وPowerSing وPowerPepper. وكان خبراء الشركة اكتشفوا في منتصف العام 2020 إصابة جديدة شديدة القدرة على المراوغة، تقوم على غرسة برمجية تُدعى VileRAT مبنية بلغة Python البرمجية. وظلّ الخبراء يراقبون عن كثب نشاط العصابة منذ ذلك الحين، فلاحظوا تركيزها على استهداف شركات تداول العملات الأجنبية، مثل FOREX، وشركات تداول العملات الرقمية في جميع أنحاء العالم خلال العام 2022.
وتُستخدم البرمجية الخبيثة VileRat في العادة بعد سلسلة إصابات معقدة تبدأ برسائل البريد الإلكتروني. واستطاع المهاجمون أيضًا هذا الصيف، استغلال روبوتات الدردشة المُضمَّنة في مواقع الويب التابعة للشركات المستهدفة، فأرسلوا من خلالها مستندات خبيثة، عبارة عن ملفات docx تحمل أسماء تتضمّن كلمات دالّة على "الامتثال" أو "الشكوى"، بالإضافة إلى اسم الشركة المستهدفة، سعيًا منهم إلى إخفاء الهجوم تحت ستار الإجابة على طلب تحديد الهوية أو الإبلاغ عن مشكلة.
وتتسم حملة VileRAT بتطوّر أدواتها وبنيتها التحتية الخبيثة الواسعة، مقارنةً بأنشطة DeathStalker الموثقة سابقًا، وبتقنيات التشويش العديدة المستخدمة طوال فترة الإصابة، فضلًا عن نشاطها المستمر منذ العام 2020. ويتبيّن من حملة VileRAT أن العصابة تبذل جهدًا هائلًا في تطوير أهدافها والحفاظ عليها. وتتضمّن الأهداف المحتملة للهجمات تحقيق العناية الواجبة، واسترداد الأصول، والتقاضي أو دعم قضايا محدّدة، والالتفاف حول العقوبات، وغيرها من الأهداف التي لا تبدو أنها تمثل مكاسب مالية مباشرة.
ولا تُظهر حملة VileRat اهتمامًا باستهداف بلدان معينة، فقد رصد باحثو كاسبرسكي هجمات متقدمة عشوائية في جميع أنحاء العالم، إذ حدثت محاولات اختراق لمؤسسات في ألمانيا ودولة الإمارات وبلغاريا وروسيا وجزر غرينادين وقبرص والكويت ومالطا. وتتراوح المؤسسات المستهدفة بين شركات ناشئة حديثة ومؤسسات عريقة.
وقال بيير ديلتشر كبير الباحثين الأمنيين في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن DeathStalker حرصت دائمًا على تجنّب انكشاف هجماتها، لكن حملة VileRAT نقلت ذلك الحرص إلى مستوى أعلى؛ نظرًا لكونها "أكثر حملات هذه العصابة تعقيدًا وقدرة على التشويش والمراوغة". وأضاف: "ثبت لنا أن تكتيكات DeathStalker وممارساتها كافية لإصابة أهداف سهلة عندما لا يكون للمؤسسات خبرة كافية لتحمّل مثل هذا المستوى من المثابرة، وربما لم تجعل، سواء هي أو الأطراف الخارجية التي تتعامل معها، الأمن الرقمي أحد أولوياتها العليا".
