مستغلين أزمة النفط.. قراصنة محترفون يستهدفون القطاع بحملة تجسس متقنة

بدأ قراصنة حملة تجسس معقدة ركزت على شركات الطاقة في الولايات المتحدة، في الوقت الذي كان أكبر منتجي النفط في العالم يعقدون اجتماعا استمر أسبوعا في وقت سابق من هذا الشهر لمواجهة انخفاض أسعار الخام.

واتبع القراصنة في هذه الحملة تكتيك التصيد الاحتيالي الذي يعمل عن طريق تسلم الضحية رسائل من مصدر يعتبره موثوقا، بحيث يقوم الضحية بفتح روابط مرفقة بالرسالة مما يؤدي لتثبيت برامج ضارة دون علم الضحية والتي في الغالب تقوم بتزويد القراصنة بالمعلومات الموجودة على جهاز الضحية.

وركزت الحملة على شركات الطاقة في الولايات المتحدة، وكان الهدف تثبيت حصان طروادة للاستحواذ على أكثر اتصالاتهم وبياناتهم حساسية.

وتميزت هذه الحملة بأن رسائل البريد الإلكتروني المرسلة كانت خالية من الأخطاء الإملائية والنحوية على عكس المتعارف عليه في رسائل هذا النوع من رسائل التصيد. كما توضح رسائل البريد الإلكتروني أيضا أن المرسل كان على دراية جيدة بأعمال إنتاج الطاقة.

فعلى سبيل المثال زعمت مجموعة رسائل بدأت في 31 مارس/آذار الماضي، أنها من شركة هندسة البترول والصناعات التحويلية، وهي شركة بترول حقيقية مقرها مصر، ودعا المرسل الضحية إلى تقديم عرض أسعار لمعدات ومواد كجزء من مشروع يُعرف باسم مشروع مرافق روسيتا المشتركة (Rosetta Sharing Facilities Project)، نيابة عن شركة البترول المصرية برلس (Burullus)، وهو مشروع مشترك للغاز مملوك نصفه لشركة نفط مصرية أخرى.

تم إرفاق البريد الإلكتروني، الذي تم إرساله إلى حوالي 150 شركة نفط وغاز وعلى مدار أسبوع بدءًا من 31 مارس/آذار، بملفين كشروط ونماذج وطلبات تقديم عطاءات ولكن الحقيقة أن هذه الملفات عبارة عن تمويه تخفي خلفها برامج ضارة.

ويوضح عدد المستهدفين في هذه الحملة -الذي يعتبر صغيرا نسبيًا- التصميم المتقن لها. وذلك على النقيض من العديد من حملات التصيد الاحتيالي التي ترسل عشرات الآلاف من رسائل البريد الإلكتروني دون تمييز.

وكتب باحثون من شركة الأمن “بيتدفيندير” (Bitdefender) في منشور نُشر اليوم الثلاثاء “بالنسبة لضحية تعمل في صناعة النفط والغاز، ولديه معرفة بهذه المشاريع، قد يبدو البريد الإلكتروني والمعلومات الموجودة فيه مقنعة بما يكفي لفتح المرفقات”.

وكانت الشركات الأكثر استهدافًا موجودة في ماليزيا والولايات المتحدة وإيران وجنوب أفريقيا وعُمان.

وقد بدأت حملة ثانية في 12 أبريل/نيسان، بإرسال بريد إلكتروني يطلب من المتسلمين إكمال مستند يعرف باسم مصاريف تكلفة شحن الميناء لناقلة النفط والكيماويات المسمى “إم تي سينار ماليكو” (MT Sinar Maluku).

والغريب أن هذا اسم سفينة حقيقية مسجلة تحت العلم الإندونيسي، وقد غادرت الميناء في 12 أبريل/نيسان، وكان من المتوقع أن تصل إلى وجهتها بعد ذلك بيومين، وتم إرسال البريد الإلكتروني إلى 18 شركة، منها 15 شركة شحن في الفلبين.

ويقول الخبراء “تمثل هذه الرسالة الإلكترونية مثالاً آخر على إتقان المهاجمين للمعلومات اللازمة لإيقاع الضحية وجعل الرسالة الإلكترونية تبدو شرعية”.

ومن المحتمل أن تكون الحملات محاولة للحصول على معلومات حول المفاوضات الحالية بين روسيا والمملكة العربية السعودية ومنتجي النفط الآخرين الذين يعانون من وفرة من الخام الناجمة عن جائحة كورونا.

وقالت “بيتدفيندير” إن هذه ليست المرة الأولى التي يتم فيها استهداف الشركات في هذه الصناعة، فقد قامت شركة الأمن بتتبع سلسلة من الهجمات السيبرانية على شركات الطاقة خلال العام الماضي. ومنذ أكتوبر/تشرين الأول، زاد العدد كل شهر ووصل إلى ذروته في فبراير/شباط بأكثر من خمسة آلاف هجوم.

وتعمل الملفات المرفقة على تثبيت برنامج ضار يتمتع بمجموعة متنوعة من القدرات التي تتضمن “تقنيات التخفي والتهرب الأمني ​​التي تمكنه في نهاية المطاف من استخراج بيانات الاعتماد ونسخ بيانات الحافظة وأداء لقطات الشاشة والاستيلاء على سجلات العقود، وحتى جمع بيانات الاعتماد لمجموعة متنوعة من التطبيقات المثبتة”.

المصدر : مواقع إلكترونية