تمكنت حملة تجسس إلكتروني جديدة تسمى «جرابيت»، من سرقة حوالي 10000 ملف من الشركات الصغيرة والمتوسطة التي كانت في معظمها تتخذ من تايلند والهند والولايات المتحدة مقرا لها.
وشملت قائمة القطاعات التي تم استهدافها المواد الكيميائية وتكنولوجيا النانو والتعليم والزراعة والإعلام والبناء وغيرها.
ومن بين الدول المتأثرة سلبا بهذه الحملة الإمارات العربية المتحدة، وألمانيا، وكندا، وفرنسا، والنمسا، وسريلانكا وتشيلي وبلجيكا.
وقال «ايدو نوار»، باحث أمني أول وعضو في فريق الأبحاث والتحليل العالمي في «كاسبرسكي لاب»: «نرى هنالك الكثير من حملات التجسس التي تركز على الشركات والمؤسسات الحكومية وغيرها من الهيئات رفيعة المستوى، ولكن كان من النادر أن نجد الشركات الصغيرة والمتوسطة الحجم ضمن القوائم المستهدفة، لقد أثبتت حملة جرابيت أنها ليست مجرد حملة تجسس عادية، ففي عالم الإنترنت من الممكن أن تكون كل مؤسسة بمفردها، سواء كانت تمتلك المال أو المعلومات أو النفوذ السياسي، ذات فائدة محتملة لهذا القرصان أو ذاك، وماتزال هجمات جرابيت نشطة، ومن المهم للغاية أن تتحقق من الشبكة الخاصة بك للتأكد من أنها آمنة».
وأضاف «نوار» أنه «بتاريخ 15 مايو/أيار الماضي تم اكتشاف برنامج مسجل ضربات المفاتيح البسيط (جرابيت) الذي كان يحتوي على بيانات الدخول الخاصة بالآلاف من حسابات الضحايا الذين تم التجسس عليهم من خلال مئات نظم الحاسوب المصابة، لذا ينبغي عدم الاستهانة بهذا التهديد».
وتابع: «تبدأ العدوى عندما يستلم المستخدم في إحدى الشركات التجارية رسالة بالبريد الإلكتروني مع أحد المرفقات الذي يبدو وكأنه ملفMicrosoft Office Word ، ثم يوافق المستخدم على تحميل الملف ويتم دس برنامج التجسس إلى الجهاز من خلال خادم بعيد تكون المجموعة قد قامت باختراقه ليكون بمثابة مركز للبرمجيات الخبيثة، ومن ثم يقوم المهاجمون بالسيطرة على ضحاياهم باستخدام برنامج مسجل ضربات المفاتيح HawkEye، وهو أداة تجسس تجارية من HawkEye Products، مع وحدة تعريف نموذجية تحتوي على عدد من أدوات الإدارة عن بعد».
وكشفت «كاسبرسكي لاب» بأن برنامج مسجل ضربات المفاتيح التجسسي المثبت في إحدى خوادم التحكم والسيطرة كان قادرا على سرقة 2887 كلمة مرور و 1053 رسالة بريد إلكتروني و3023 من أسماء المستخدمين من 4928 مضيفا مختلفا، داخليا وخارجيا، بما في ذلك Outlock، وFacebook، وSkype، وبريد Google، وPinterest، وYahoo، وLimkedIn، وTwitter، بالإضافة إلى الحسابات المصرفية وغيرها.
وكشف الباحث الأمني بأن قراصنة «جرابيت» لم يتخذوا الخطوات الكافية لإخفاء نشاطهم، فبعض العينات الخبيثة استخدمت من خلال نفس الخادم المضيف، وحتى نفس بيانات الدخول على الحسابات، مما يقوض الأمن الذاتي لتلك الحملات، هذا من جهة، ومن الجهة الأخرى، يستخدم المهاجمون تقنيات تخفيف قوية لاستمرار إخفاء شفراتهم عن أعين المحللين، وهذا يدفع «كاسبرسكي لاب» للاعتقاد بأن وراء هذه العملية التجسسية مجموعة غير منتظمة تضم بعض الأعضاء من ذوي الخبرة الفنية وأن تلك المجموعة ركزت فقط على أنه لا يمكن تعقبها مقارنة مع غيرها من المجموعات، كما تشير تحاليل الخبراء إلى أن من قام ببرمجة الهجمات الخبيثة لم يكتب كل الشفرات من البداية.
ودعا الباحث المتصفحين للملفات بألا يقوموا بفتح المرفقات والروابط المرسلة من أفراد لا يعرفونهم، وعدم إرسالها إلى الآخرين.
