كشف تقرير حديث صادر عن وحدة الأبحاث الأمنية «Unit 42» التابعة لشركة Palo Alto Networks عن تصاعد مقلق في أنشطة التجسس السيبراني التي تقودها مجموعة رقمية متقدمة تُعرف باسم «Ashen Lepus» أو «WIRTE»، وهي مجموعة مرتبطة بحركة حماس، توسّعت في الآونة الأخيرة لتشمل في نطاق استهدافها دولاً عربية جديدة، من بينها المغرب، بعد سنوات من تركيزها على أهداف في فلسطين ومصر والأردن.
وحسب المعطيات التقنية التي توصل إليها خبراء الأمن السيبراني، فإن هذه المجموعة تنشط منذ عام 2018 في تنفيذ عمليات تجسس رقمي تستهدف بالأساس المؤسسات الحكومية والدبلوماسية، بهدف جمع معلومات حساسة مرتبطة بالملفات الجيوسياسية في المنطقة.
ويؤكد التقرير أن المغرب أصبح ضمن دائرة الاستهداف الجديدة، من خلال حملات اختراق تعتمد وثائق مزيفة باللغة العربية تتناول قضايا سياسية وإقليمية راهنة، بما فيها علاقات المغرب مع شركاء إقليميين مثل تركيا.
وتعتمد هذه الهجمات على أسلوب خداعي يبدأ بإرسال أو نشر ملفات تبدو رسمية، غالباً في صيغة PDF، تحمل عناوين سياسية أو دبلوماسية دقيقة، ما يزيد من فرص فتحها داخل المؤسسات المستهدفة.
وبمجرد تفاعل الضحية مع هذه الملفات، يتم تنزيل أرشيف مضغوط يحتوي على برمجيات خبيثة تُفعّل سلسلة معقدة من عمليات الاختراق دون علم المستخدم.
وأبرز ما توصل إليه التقرير هو اكتشاف حزمة برمجيات خبيثة جديدة أطلقت عليها Unit 42 اسم «AshTag»، وهي منظومة تجسس متطورة مبنية بلغة .NET، تُمكّن المهاجمين من تنفيذ أوامر عن بُعد، وسرقة الملفات، وتشغيل البرمجيات داخل الذاكرة لتفادي التتبع، إضافة إلى ضمان وجود دائم داخل الأنظمة المصابة.
ويشير الخبراء إلى أن هذه البرمجية تمثل نقلة نوعية مقارنة بالأدوات التي استخدمتها المجموعة في السابق، سواء من حيث التعقيد التقني أو القدرة على التخفي.
كما رصد التقرير تطوراً لافتاً في أساليب التمويه والاتصال، إذ باتت المجموعة تعتمد على نطاقات فرعية تابعة لمواقع تبدو شرعية وتحمل أسماء مرتبطة بالصحة أو التكنولوجيا، ما يسمح بتمرير حركة الاتصال الخبيثة وسط حركة الإنترنت العادية دون إثارة الشبهات.
وتلجأ البرمجيات كذلك إلى التحقق من الموقع الجغرافي للضحية ونوع النظام المستخدم، لتفادي منصات التحليل الآلي وأدوات الكشف الأمني.
وبعد نجاح الاختراق الأولي، ينتقل المهاجمون إلى مرحلة التدخل المباشر داخل الأنظمة المصابة، حيث يعمدون إلى تصفح حسابات البريد الإلكتروني وانتقاء وثائق محددة ذات طابع دبلوماسي أو سياسي، قبل تجميعها وتهريبها إلى خوادم خارجية.
ولاحظ التقرير استخدام المجموعة، لأول مرة، لأداة نقل الملفات الشرعية «Rclone»، في خطوة تهدف إلى تمويه عمليات تهريب البيانات وجعلها تبدو كأنها نشاط عادي داخل الشبكة.
ويحمل إدراج المغرب ضمن قائمة الأهداف دلالات أمنية مهمة، تعكس انتقال الصراعات الإقليمية إلى الفضاء الرقمي، وتحول التجسس السيبراني إلى أداة أساسية لجمع المعلومات والتأثير غير المباشر.
ويؤكد التقرير أن هذا النوع من الهجمات لا يستهدف البنية التحتية التقنية فحسب، بل يركز بالأساس على الوثائق والمعلومات الاستراتيجية.
وفي ضوء هذه المعطيات، شددت Unit 42 على ضرورة رفع مستوى اليقظة داخل المؤسسات الحكومية والدبلوماسية، وتعزيز إجراءات الحماية الرقمية، خاصة في ظل اعتماد المهاجمين على أساليب منخفضة الكلفة وعالية الأثر.
ويخلص التقرير إلى أن مجموعة Ashen Lepus مرشحة لمواصلة تطوير أدواتها وتوسيع نطاق عملياتها، ما يجعل الأمن السيبراني، بالنسبة لدول المنطقة ومنها المغرب، عنصراً أساسياً من عناصر الأمن الوطني في المرحلة الراهنة.
تعليقات الزوار ( 0 )