رصد بحث جديد تم نشره مؤخراً موجة من هجمات القرصنة بدأت في أكتوبر 2021، وتقوم باستهداف المواطنين الفلسطينيين والمنظمات الفلسطينية عبر استخدام برنامج ضار يُعرف باسم Micropsia.
وأوضح قسم استخبارات التهديدات التابع لشركة سيسكو تالوس Cisco Talos، المسؤول عن البحث، أن الهجمات الأخيرة جزء من حملة أوسع يعود تاريخها إلى عام 2017 مرتبطة بمجموعة قراصنة تُعرف باسم Arid Viper، وهي مجموعة عربية ظهرت للمرة الأولى في عام 2015 وربما تكون مرتبطة بحركة حماس.
تُعرف مجموعة القرصنة هذه أيضًا باسم Desert Falcons أوAPT-C-23 ، وهو نوع من الجماعات التي غالبًا ما ترتبط بالقراصنة التابعين للدول. أطلق عليها باحثو كاسبيرسكي في عام 2015 صفة “أول مجموعة APT عربية حصرية”، فيما قدّرت الشركة وقتها أن عدد المهاجمين بلغ نحو 30 وقاموا باستخدام برامج ضارة محلية الصنع وهجمات الكترونية أخرى ضد أهداف متعددة في جميع أنحاء العالم.
دوافع وأهداف هجمات القرصنة
وأكد البحث أن الدافع الرئيسي لمجموعة القرصنة هو التجسس وسرقة المعلومات، فيما “تقف وراءها دوافع سياسية تدعو إلى تحرير فلسطين”. وعلى الرغم من أنها “ليست جهة فاعلة متطورة تقنيًا”، فمن المعروف أن المجموعة قادرة على استهداف أجهزة سطح المكتب والهواتف المحمولة، بما في ذلك Apple iOS. كما تقوم أيضاً بتطوير برامج ضارة على نظام أندرويد Android تسمح لهم بتحقيق الهدف نفسه.
لا يحدد بحث Cisco Talos على وجه التحديد أهداف هجمات القرصنة. ولكن اعتبرت شركة Cybereason للأمن السيبراني في عام 2020 أن التنافس التاريخي بين حركتي حماس وفتح قد يفسر جزئيًا النشاط السيبراني الذي تقوم به حماس على أهداف فلسطينية، حيث قامت Arid Viper باستهداف أعضاء حركة فتح، وفقًا للباحثين.
وغطى البحث أيضا حملة سابقة مرتبطة بالمجموعة استهدفت عام 2017 وكالات حكومية فلسطينية وغيرها من وكالات القطاع العام باستخدام نفس البرمجيات الخبيثة Micropsia. وتعتمد هذه البرامج الضارة على حمولة مكتوبة بلغة ترميز دلفي، تتضمن عدداً من أحصنة طروادة التي تسمح بالوصول عن بُعد والتي تحمل قدرات متقدمة على جمع المعلومات.
تقنيات وتكتيكات قديمة
تستخدم الحملة الجديدة نفس التكتيكات والتقنيات والإجراءات التي لاحظها الباحثون في عام 2017، والتي ترتبط عادةً بالإغراءات ذات الطابع السياسي. وتستمر الموجة الحالية من الهجمات باستخدام مواضيع مشحونة سياسياً لجذب الضحايا على فتح ملفات خبيثة، مثل تقارير سنوية وهمية ذات صلة بالأطراف السياسيين، أو مقالات تتعلق بالوضع الاجتماعي مثل لم شمل العائلات الفلسطينية أو تقرير مريض من وزارة الصحة في دولة فلسطين أو غيره.
وبمجرد أن يقوم الشخص المستهدف بالضغط على الرابط الخبيث، سيضع البرنامج الضار موطئ قدم ثابت له داخل نظام الجهاز الالكتروني الخاص بالضحية. حيث تقوم أحصنة طروادة بتفعيل قدرة الوصول عن بُعد لتسمح أيضا بإجراءات أخرى مثل التقاط لقطات الشاشة وغيره.
هذا وكتب الباحثون في نتائج البحث أن “Arid Viper هي مثال رئيسي عن مجموعات القرصنة غير المتقدمة جدًا من الناحية التكنولوجية، ومع ذلك، بسبب وجود دوافع محددة، أصبحت أكثر خطورة. كما أنها تطورت مع مرور الوقت جراء اختبار أدواتها وإجراءاتها على أهدافها”.