سيكيوروركس: عصابة ليسيوم تشنّ هجمات إلكترونية على شركات نفط وغاز في منطقة الشرق الأوسط
- مروة رزقرصدت شركة سيكيوروركس تحرّكات جديدة لعصابة ليسيوم الإلكترونية تستهدف شركات في قطاعات استراتيجية وطنية مهمة تتضمن النفط والغاز وربما الاتصالات. وتركز النشاط الذي تم رصده من قبل الباحثين في وحدة مكافحة التهديدات لدى «سيكيوروركس» على نجاح العصابة في الدخول إلى شبكات مستهدفة والتوسع فيها.
وأشارت دراسة وحدة مكافحة التهديدات إلى أن نشاط عصابة "ليسيوم" قد يعود إلى مطلع 2018. حيث تبين من تسجيل اسم النطاق شن حملة قرصنة في منتصف 2018 تركزت على أهداف في جنوب أفريقيا. وفي مايو 2019، شنت العصابة حملة استهدفت شركات غاز ونفط في الشرق الأوسط. وجاءت هذه الحملة بعد ارتفاع ملحوظ في وتيرة تطوير العصابة لأدوات هجومية واختبارها في خدمة عمومية لكشف الفيروسات في فبراير 2019.
من ناحية الأسلوب، تتشابه العصابة في أسلوبها مع جماعات قرصنة مثل "كوبالت جيبسي" وعصابة "كوبالت ترينيتي"، ورغم ذلك، تبين عدم وجود صلة مباشرة بين البرمجيات الخبيثة التي جُمعت أو البنية التحتية المرتبطة بعصابة "ليسيوم" مع النشاط الملحوظ لدى تلك الجماعات أو غيرها. وحتى تاريخ هذه النشرة، يتوفر دليل فني قاصر في تأييد ذلك الإسناد.
وعند قيام وحدة مكافحة التهديدات بنشر معلومات عن عصابة "ليسيوم" لعملاء معلومات التهديدات الأمنية لدى «سيكيور وركس»، لم يكن يتوفر أي وثائق عامة حول وجود هذه العصابة. ومنذ ذلك الوقت، ظهرت تقارير تشير إلى عصابة القرصنة هذه بمسمى "هيكسن".
وتعمد "ليسيوم" بداية إلى دخول الشركات باستغلال كلمات مرور شائعة أو باتباع هجمات القوة الغاشمة لتخمين كلمات المرور. وانطلاقًا من الحسابات المخترقة، ترسل العصابة رسائل بريد إلكتروني احتيالية موجهة لموظفين مع مرفقات إكسل خبيثة بهدف توصيل فيروس "دان بوت" DanBot، والذي بدوره ينشر أدواته لمرحلة ما بعد الاختراق.
ورغم أن عصابة "ليسيوم" تستهدف حاليا شركات الطاقة في الشرق الأوسط، لكن يتوجب على الشركات ألا تفترض وقوف الهجمات عند هذا القطاع في المستقبل. وينبغي لشركات البنى التحتية على وجه الخصوص ملاحظة أسلوب عمل هذه العصابة. فإلى جانب نشر برمجيات خبيثة مستحدثة، أظهر نشاط المجموعة قدرات كانت قد رصدتها وحدة مكافحة التهديدات لدى جماعات أخرى والتي تلتزم بمبدأ السيطرة على نقاط مهمة. ويعد استغلال كلمات المرور الشائعة واختراق نظام أسماء النطاقات والهندسة الاجتماعية وإساءة استخدام برامج الاختبارات الأمنية من التكتيكات الشائعة، سيما لدى جماعات القرصنة الناشطة في الشرق الأوسط.