خرجت مجموعة القرصنة “سكاترد سبايدرز” (العناكب المتناثرة) باسم لنفسها بعد مجموعة من عمليات الاختراق الناجحة لاثنين من أكبر كازينوهات (صالات قمار) لاس فيغاس مؤخرًا. ورغم أن صيت المجموعة لم ينتشر إلا مؤخرا، فإن خبراء الأمن السيبراني يرون أنها تطورت بشكل كبير لإحداث المزيد من الضرر.
وكانت هجمات “سكاترد سبايدرز” تسببت في فوضى عارمة في اثنتين من كبرى شركات المقامرة في العالم “إم جي إم ريزورت” و”سيزار إنترتينمينت” في لاس فيغاس، حيث توقفت آلات الألعاب وتعطلت أنظمة الفنادق.
وقالت مجموعة قراصنة كبرى تدعى “إيه إل بي إتش في” الأسبوع الماضي إنها كانت وراء اختراق “إم جي إم ريزورت”، في وقتٍ يعتقد فيه محللون أنها قدمت البرامج وأدوات الهجوم للعملية التي نفذتها “سكاترد سبايدرز”.
دايفيد برادبري، من شركة “أوكتا” للأمن الرقمي، قال إن مثل هذا التعاون يعد أمرًا نموذجيا بالنسبة لمجرمي الإنترنت، فـ”إيه إل بي إتش في” توفر خدمات تقنية لمجموعات اختراق مختلفة مقابل الحصول على نسبةٍ مما يحصل عليه المخترقون.
“العناكب المتناثرة”
ووفقًا لتقرير صادر عن شركة “مانديانت إنتيليجينس”، فإن “سكاترد سبايدرز” -التي تحمل الاسم الرمزي يو إن سي 3944- عبارة عن مجموعة من القراصنة المنظمين يستهدفون الضحايا لدوافع مالية، وتستخدم بشكل واضح حملات الهندسة الاجتماعية والتصيد الاحتيالي عبر الهاتف للحصول على بيانات ضحاياها وشن هجمات إلكترونية.
ولا توجد الكثير من التفاصيل حول موقع أو هوية المجموعة، لكن شركة “كرود سترايك” حللت محادثات المجرمين مع الضحايا والأدلة المستمدة من تحقيقات الخروقات الأمنية، وتوصلت إلى أن أعمار أعضاء المجموعة تتراوح بين 17 و22 عاما. وتشير تقديرات “مانديانت” إلى أن معظمهم من الدول الغربية، لكن من غير الواضح عدد الأشخاص المشاركين.
البدايات وطريقة العمل
تعمل المجموعة في مجتمعات سرية، وتستخدم تطبيق “تليغرام” للتواصل، وقد تم الإبلاغ عن أول أنشطتها في العام 2022. ويظهر تقرير “مانديانت إنتيليجينس” أيضًا أن “العناكب المتناثرة” شنت في بداياتها هجمات صغيرة عبارة عن مبادلة بطاقة الهواتف “سيم” لدعم الهجمات الثانوية لمجموعات أخرى.
ومع منتصف العام 2023، بدأت المجموعة في التحول إلى نشر برامج الفدية للضحايا، مما يشير إلى توسع في إستراتيجيات تحقيق الدخل. وكشف التقرير أن التغييرات في أهدافها النهائية تشير إلى أن الصناعات التي تستهدفها “سكاترد سبايدرز” ستستمر في التوسع.
كما لاحظت شركة الأمن السيبراني بشكل مباشر توسع الأهداف في الآونة الأخيرة، وتستهدف المجموعة الآن قطاعات الضيافة وتجارة التجزئة والإعلام والترفيه، بالإضافة إلى الخدمات المالية.
Does Scattered Spider seem to be everywhere? The scope of their intrusions since March 2022 from a @CrowdStrike perspective is pretty broad. They use social engineering, living off the land, and RMM tools before deploying ransomware or conducting extortion. pic.twitter.com/fP3Z1Mj0mW
— adam_cyber (@Adam_Cyber) September 15, 2023
طريقة عمل “العناكب المبعثرة”
يُعرف عن مجموعات القراصنة تناسقها وإبداعها، مما مكّنها من استهداف الموارد التقنية السحابية -التي تصعب مراقبتها- بشكل متزايد وفعال.
وفيما يخص “العناكب المبعثرة”، فقد انتحل متسللوها هوية موظف من الشركة التي ينوون مهاجمتها، وطلبوا المساعدة من مكتب تكنولوجيا المعلومات، متظاهرين بأنهم فقدوا بياناتهم، وطالبين من موظف مكتب الدعم الفني تفاصيل تسجيل الدخول.
والمثير في الأمر أن المتسللين امتلكوا معلومات الموظف اللازمة ليقنعوا مكتب الدعم الفني بمساعدتهم. وبمجرد حصولهم على حق الوصول، وجدوا طريقهم سريعًا إلى بيانات الشركة الأكثر حساسية لسرقتها بغرض الابتزاز.
وقبل الاتصال بمكاتب المساعدة، حصل المتسللون على معلومات الموظفين بما في ذلك كلمات المرور عن طريق الهندسة الاجتماعية، وخاصة “تبديل بطاقة سيم”، وهي تقنية يخدعون بها ممثل خدمة العملاء في شركة الاتصالات لإعادة تعيين رقم هاتف معين من جهاز إلى آخر، كما يقول المحللون.
ويبدو أيضًا أن أعضاء “العناكب المبعثرة” بذلوا جهدًا لدراسة كيفية عمل المنظمات الكبيرة، بما في ذلك البائعون والمقاولون، للعثور على الأفراد النافذين لاستهدافهم، وفقًا للمحللين.
كبير مسؤولي الأمن في شركة “أوكتا” لإدارة الهوية ديفيد برادبري تعرض للقرصنة الشهر الماضي، إذ اكتشف اختراق العديد من عملاء “أوكتا” -بما في ذلك “إم جي إم”- بواسطة “سكاترد سبايدرز”. وتوفر “أوكتا” خدمات الهوية مثل المصادقة متعددة العوامل المستخدمة لمساعدة المستخدمين على الوصول إلى التطبيقات ومواقع الويب بشكل آمن.
وقال برادبري “من الواضح أن المخترقين أخذوا دوراتنا التي نقدمها عبر الإنترنت، ودرسوا بوضوح منتجنا وكيفية عملنا. هذا شيء لم نره من قبل”.
الخبراء الأمنيون ولعبة القط والفأر
تقول ويندي ويتمور نائبة الرئيس الأول لفريق استخبارات التهديدات التابع لشركة “بالو ألتو نتوركس” الأمنية، إن هجمات برامج الفدية ليست جديدة، لكن هذه المجموعة كانت ماهرة جدا في الهندسة الاجتماعية، وتجاوزت المصادقة المتعددة العوامل.
وقالت ويتمور “إنهم أكثر تطورا بكثير من العديد من الجهات الفاعلة في مجال الجرائم الإلكترونية. ويبدو أنهم منضبطون ومنظمون في هجماتهم. هذا شيء نراه بشكل متكرر مع الجهات التابعة للدول، وليس مجرمي الإنترنت العاديين”.
كما قارنت ويتمور بين “سكاترد سبايدرز” ومجموعة “لابوسس” -وهي مجموعة أخرى كانت وراء عمليات الاختراق السابقة لشركة “أوكتا” وعملاق التكنولوجيا “مايكروسوفت”- قائلةً “في بعض النواحي يشبه هذا لعبة القط والفأر القديمة”.
وخلف الكواليس، ضرب المتسللون العديد من الشركات، وفقًا للمحللين الذين يتتبعون عمليات الاختراق، في حين يتوقع متخصصون في الأمن السيبراني استمرار الهجمات.
آدم مايرز نائب الرئيس الأول لاستخبارات التهديدات في “كرود سترايك” قال إن شركته تتبعت 52 هجومًا على مستوى العالم من كندا إلى اليابان شنتها المجموعة منذ مارس/آذار 2022، معظمها في الولايات المتحدة.
من جانبها، سجلت شركة الاستخبارات “مانديانت” -المملوكة لشركة “غوغل”- أكثر من 100 عملية اختراق من قبل المجموعة خلال العامين الماضيين، وقد ضربت المجموعة كل الصناعات تقريبا من الاتصالات السلكية واللاسلكية إلى التمويل والضيافة والإعلام.
مؤسس شركة “مانديانت” كيفن مانديا قال “حجم الهجمات واتساع نطاقها ليس فقط ما يجعل هذه المجموعة مثيرة للاهتمام. إنهم ماهرون للغاية في ما يفعلونه وقاسون في تعاملهم مع الضحايا”.
ووجد مانديا أن السرعة التي يخترقون بها البيانات من أنظمة الشركة ويستخرجونها يمكن أن تتفوق على فرق الاستجابة الأمنية، وقد تركوا ملاحظات تهديد لموظفي الشركات الضحية.
وفي بعض الحالات -لم يذكر مانديا أي منها- أجرى قراصنة مرتبطون بـ”سكاترد سبايدرز” مكالمات طلب خدمات طوارئ وهمية لاستدعاء وحدات شرطة مدججة بالسلاح إلى منازل المديرين التنفيذيين للشركات المستهدفة.
ووصف مانديا هذه التقنية، التي تسمى “سواتنغ”، بأنها “أمر مروع للغاية أن تعيش كضحية. لا أعتقد أن هذه العمليات تتعلق بالمال. أعتقد أنها تتعلق بإظهار السلطة والنفوذ والسمعة السيئة. وهذا يجعل الرد عليها أكثر صعوبة”.
وغالبًا ما تعمل عصابات برامج الفدية مثل المنظمات الكبيرة، وتستمر في تطوير أساليبها للتكيف مع أحدث الإجراءات الأمنية التي تستخدمها المؤسسات.