تمكنت من إغلاق صالات قمار لاس فيغاس..من هي مجموعة “العناكب المتناثرة”؟

خرجت مجموعة القرصنة “سكاترد سبايدرز” (العناكب المتناثرة) باسم لنفسها بعد مجموعة من عمليات الاختراق الناجحة لاثنين من أكبر كازينوهات (صالات قمار) لاس فيغاس مؤخراً.

ورغم أن صيت المجموعة لم ينتشر إلا مؤخراً، فإن خبراء الأمن السيبراني يرون أنها تطورت بشكل كبير لإحداث المزيد من الضرر.

وكانت هجمات “سكاترد سبايدرز” قد تسببت في فوضى عارمة في اثنتين من كبرى شركات المقامرة في العالم “إم جي إم ريزورت” و”سيزار إنترتينمينت” في لاس فيغاس، حيث توقفت آلات الألعاب وتعطلت أنظمة الفنادق.

وقالت مجموعة قراصنة كبرى تدعى “إيه إل بي إتش في” الأسبوع الماضي إنها كانت وراء اختراق “إم جي إم ريزورت”، في وقتٍ يعتقد فيه محللون أنها قدمت البرامج وأدوات الهجوم للعملية التي نفذتها “سكاترد سبايدرز”.

ويقول دايفيد برادبري، من شركة “أوكتا” للأمن الرقمي، إن مثل هذا التعاون يعد أمراً نموذجياً بالنسبة لمجرمي الإنترنت، فـ”إيه إل بي إتش في” توفر خدمات تقنية لمجموعات اختراق مختلفة مقابل الحصول على نسبةٍ مما يحصل عليه المخترقون.

ووفقاً لتقرير صادر عن شركة “مانديانت إنتيليجينس”، فإن “سكاترد سبايدرز” -التي تحمل الاسم الرمزي يو إن سي 3944- هي عبارة عن مجموعة من القراصنة المنظمين يستهدفون الضحايا لدوافع مالية، وتستخدم بشكل واضح حملات الهندسة الاجتماعية والتصيد الاحتيالي عبر الهاتف للحصول على بيانات ضحاياها وشن هجمات إلكترونية.

ولا توجد الكثير من التفاصيل حول موقع أو هوية المجموعة، لكن شركة “كرود سترايك” حللت محادثات المجرمين مع الضحايا والأدلة المستمدة من تحقيقات الخروقات الأمنية، وتوصلت إلى أن أعمار أعضاء المجموعة تتراوح بين 17 و22 عاماً.

وتشير تقديرات “مانديانت” إلى أن معظمهم من الدول الغربية، لكن من غير الواضح عدد الأشخاص المشاركين.

وتعمل المجموعة في مجتمعات سرية، وتستخدم تطبيق “تليغرام” للتواصل، وقد تم الإبلاغ عن أول أنشطتها في العام 2022.

ويظهر تقرير “مانديانت إنتيليجينس” أيضاً أن “العناكب المتناثرة” شنت في بداياتها هجمات صغيرة عبارة عن مبادلة بطاقة الهواتف “سيم” لدعم الهجمات الثانوية لمجموعات أخرى.

ومع منتصف العام 2023، بدأت المجموعة في التحول إلى نشر برامج الفدية للضحايا، مما يشير إلى توسع في إستراتيجيات تحقيق الدخل.

وكشف التقرير أن التغييرات في أهدافها النهائية تشير إلى أن الصناعات التي تستهدفها “سكاترد سبايدرز” ستستمر في التوسع.

كما لاحظت شركة الأمن السيبراني بشكل مباشر توسع الأهداف في الآونة الأخيرة، في حين تستهدف المجموعة الآن قطاعات الضيافة وتجارة التجزئة والإعلام والترفيه، بالإضافة إلى الخدمات المالية.

ويُعرف عن مجموعات القراصنة تناسقها وإبداعها، مما مكّنها من استهداف الموارد التقنية السحابية -التي تصعب مراقبتها- بشكل متزايد وفعال.

وفيما يخص “العناكب المبعثرة”، فقد انتحل متسللوها هوية موظف من الشركة التي ينوون مهاجمتها، وطلبوا المساعدة من مكتب تكنولوجيا المعلومات، متظاهرين بأنهم فقدوا بياناتهم، وطالبين من موظف مكتب الدعم الفني تفاصيل تسجيل الدخول.

والمثير في الأمر أن المتسللين امتلكوا معلومات الموظف اللازمة ليقنعوا مكتب الدعم الفني بمساعدتهم. وبمجرد حصولهم على حق الوصول، وجدوا طريقهم سريعاً إلى بيانات الشركة الأكثر حساسية لسرقتها بغرض الابتزاز.

وقبل الاتصال بمكاتب المساعدة، حصل المتسللون على معلومات الموظفين بما في ذلك كلمات المرور عن طريق الهندسة الاجتماعية، وخاصة “تبديل بطاقة سيم”، وهي تقنية يخدعون بها ممثل خدمة العملاء في شركة الاتصالات لإعادة تعيين رقم هاتف معين من جهاز إلى آخر، كما يقول المحللون.

ويبدو أيضاً أن أعضاء “العناكب المبعثرة” بذلوا جهداً لدراسة كيفية عمل المنظمات الكبيرة، بما في ذلك البائعون والمقاولون، للعثور على الأفراد النافذين لاستهدافهم، وفقاً للمحللين.

وتعرّض كبير مسؤولي الأمن في شركة “أوكتا” لإدارة الهوية، ديفيد برادبري، للقرصنة الشهر الماضي، إذ اكتشف اختراق العديد من عملاء “أوكتا” -بما في ذلك “إم جي إم”- بواسطة “سكاترد سبايدرز”.

وتوفّر “أوكتا” خدمات الهوية مثل المصادقة متعددة العوامل المستخدمة لمساعدة المستخدمين على الوصول إلى التطبيقات ومواقع الويب بشكل آمن.

وقال برادبري “من الواضح أن المخترقين أخذوا دوراتنا التي نقدمها عبر الإنترنت، ودرسوا بوضوح كيفية عملنا. هذا شيء لم نره من قبل”.

وتشير نائبة الرئيس الأول لفريق استخبارات التهديدات التابع لشركة “بالو ألتو نتوركس” الأمنية، ويندي ويتمور، إلى ان هجمات برامج الفدية ليست جديدة، لكن هذه المجموعة كانت ماهرة جداً في الهندسة الاجتماعية، وتجاوزت المصادقة المتعددة العوامل.

وقالت ويتمور “إنهم أكثر تطوراً بكثير من العديد من الجهات الفاعلة في مجال الجرائم الإلكترونية. ويبدو أنهم منضبطون ومنظمون في هجماتهم. هذا شيء نراه بشكل متكرر مع الجهات التابعة للدول، وليس مجرمي الإنترنت العاديين”.

كما قارنت ويتمور بين “سكاترد سبايدرز” ومجموعة “لابوسس” -وهي مجموعة أخرى كانت وراء عمليات الاختراق السابقة لشركة “أوكتا” وعملاق التكنولوجيا “مايكروسوفت”- قائلةً: “في بعض النواحي يشبه هذا لعبة القط والفأر القديمة”.

وخلف الكواليس، ضرب المتسللون العديد من الشركات، وفقاً للمحللين الذين يتتبعون عمليات الاختراق، في حين يتوقع متخصصون في الأمن السيبراني استمرار الهجمات.

وقال نائب الرئيس الأول لاستخبارات التهديدات في “كرود سترايك”، آدم مايرز، إن شركته تتبعت 52 هجوماً على مستوى العالم من كندا إلى اليابان شنتها المجموعة منذ آذار 2022، معظمها في الولايات المتحدة.

من جانبها، سجلت شركة الاستخبارات “مانديانت” -المملوكة لشركة “غوغل”- أكثر من 100 عملية اختراق من قبل المجموعة خلال العامين الماضيين، وقد ضربت المجموعة كل الصناعات تقريباً، من الاتصالات السلكية واللاسلكية إلى التمويل والضيافة والإعلام.

ويقول مؤسس شركة “مانديانت”، كيفن مانديا، إن “حجم الهجمات واتساع نطاقها ليس فقط ما يجعل هذه المجموعة مثيرة للاهتمام. إنهم ماهرون للغاية في ما يفعلونه وقاسون في تعاملهم مع الضحايا”.

ووجد مانديا أن السرعة التي يخترقون بها البيانات من أنظمة الشركة ويستخرجونها يمكن أن تتفوق على فرق الاستجابة الأمنية، وقد تركوا ملاحظات تهديد لموظفي الشركات الضحية.

وفي بعض الحالات -لم يذكر مانديا أي منها- أجرى قراصنة مرتبطون بـ”سكاترد سبايدرز” مكالمات طلب خدمات طوارئ وهمية لاستدعاء وحدات شرطة مدججة بالسلاح إلى منازل المديرين التنفيذيين للشركات المستهدفة.

ووصف مانديا هذه التقنية، التي تسمى “سواتنغ”، بأنها “أمر مروع للغاية أن تعيش كضحية. لا أعتقد أن هذه العمليات تتعلق بالمال. أعتقد أنها تتعلق بإظهار السلطة والنفوذ والسمعة السيئة. وهذا يجعل الرد عليها أكثر صعوبة”.

وغالباً ما تعمل عصابات برامج الفدية مثل المنظمات الكبيرة، وتستمر في تطوير أساليبها للتكيف مع أحدث الإجراءات الأمنية التي تستخدمها المؤسسات.