اكتشف باحثون في شركة كاسبرسكي لاب للحلول الأمنية عدداً من الهجمات التي شنتها حديثاً مجموعة القرصنة سيئة السمعة Fin7/Carbanak، بعد أن ساد اعتقاد بأن المجموعة قد حُلّت في أعقاب إلقاء القبض على عدد من المشتبه بهم من زعمائها في العام 2018.
واستُخدمت البرمجية الخبيثة GRIFFON في الهجمات المكتشفة، التي يعتقد خبراء كاسبرسكي لاب أن مجموعة Fin7 قد شنتها بعد أن وسّعت عدد المجموعات التخريبية العاملة تحت مظلتها؛ فزادت من أساليبها المتطورة، بل إنها أعلنت عن نفسها شركة أمنية شرعية من أجل توظيف مهنيين مختصين وخداعهم لمساعدتها على سرقة الأموال.
ويُعتقد أن Fin7 كانت وراء هجمات استهدفت قطاعات البيع بالتجزئة والمطاعم والضيافة الأمريكية منذ منتصف العام 2015، وذلك بالتعاون الوثيق وتبادل الأدوات والأساليب مع مجموعة Carbanak سيئة السمعة.
وبينما ركّزت Carbanak أعمالها التخريبية على البنوك، استهدفت Fin7 في الغالب الشركات، ما يُرجّح حصولها على ما قيمته ملايين الدولارات من الأصول المالية، مثل بيانات اعتماد بطاقات الدفع أو معلومات الحسابات على أجهزة الحاسوب في الإدارات المالية. وبمجرد أن تحصل الجهات التخريبية على مرادها، فإنها تحوّل الأموال إلى حسابات خارجية.
ووفقاً للتحقيق الذي أجرته كاسبرسكي لاب، فقد واصلت المجموعة نشاطها رغم اعتقال زعمائها المشتبه بهم العام الماضي، فنفذت حملات متطورة للتصيّد الموجّه طوال العام 2018 ووزّعت برمجيات تخريبية على كل هدف من خلال رسائل بريد إلكتروني مصمّمة خصيصاً للمتلقين.
وفي حالات مختلفة، قامت المجموعة بتبادل الرسائل مع الضحايا المستهدفين على مدار فترة أسابيع قبل إرسال المستندات التخريبية كمُرفقات، وتقدّر كاسبرسكي عدد الشركات المستهدفة بهذه الطريقة بأكثر من 130 شركة بحلول نهاية العام 2018.
اكتشف الباحثون أيضاً فرقاً إجرامية أخرى تعمل تحت مظلة Fin7، ويُرجّح استخدام البنية التحتية المشتركة والأساليب والتقنيات والإجراءات نفسها أن Fin7 تتعاون مع شبكة بوتات الويب AveMaria ومجموعات معروفة بالأسماء CobaltGoblin/EmpireMonkey، يعتقد أنها وراء سرقات لبنوك حدثت في أوروبا وأمريكا الوسطى.
واكتشفت كاسبرسكي لاب أيضاً أن Fin7 قد أنشأت شركة مزيفة تدّعي أنها شركة شرعية لخدمات الأمن الإلكتروني لها مكاتب في جميع أنحاء روسيا.
ووُجد أن موقع الويب الخاص بهذه الشركة مسجّل على الخادم الذي تستخدمه Fin7 كمركز للقيادة والسيطرة.
ووظفت الشركة المزيفة بدوام جزئي باحثين في مجال الثغرات الأمنية ومطوري برمجيات ومترجمين فوريين، من خلال مواقع توظيف شرعية عبر الإنترنت.
ويبدو أن بعض الأفراد الذين يعملون في هذه الشركة المزيفة لم يشكّوا في تورّطهم بأعمال تتعلق بجرائم الإنترنت، إذ ضمّن بعضهم خبرته بالعمل في هذه الشركة في سيرته الذاتية.
وشبّه يوري ناميستنيكوف الباحث الأمني لدى كاسبرسكي لاب، التهديدات الإلكترونية الحديثة بالمخلوق الأسطوري هيدرا ليرنا، الذي “إذا قُطع له رأس نما بدلاً منه اثنان”، وقال: “أفضل طريقة يمكن للمستخدم بها حماية نفسه من التهديدات تتمثل في تطبيق الحماية المتقدمة متعددة الطبقات؛ تثبيت جميع تصحيحات البرمجيات بمجرد إصدارها، وإجراء تحليل أمني منتظم في جميع الشبكات والأنظمة والأجهزة”.