كشفت شركة سيمانتك أن الهجمات الإلكترونية الشاملة حول العالم خلال السنوات الثلاث الماضية استخدمت أدوات التجسس بالغة السرية التي تستخدمها وكالة الاستخبارات المركزية الأمريكية CIA وفق ما كشفت وثائق ويكيليكس الأخيرة، ما يشير إلى أن الوكالة الأمريكية هي نفسها مجموعة القرصنة «لونج هورن».
وأوضحت سيمانتك أن أدوات التجسس والبروتوكولات التشغيلية التي تضمنتها التسريبات هي ذاتها التي استخدمت في الهجمات الإلكترونية ضد 40 هدفاً على الأقل في 16 بلداً من قبل مجموعة أطلقت عليها سيمانتك اسم لونج هورن»، مضيفة أنها قامت بحماية عملائها من هذه الأدوات مدة ثلاث سنوات مضت وواصلت تتبع المجموعة من أجل معرفة المزيد عن أدواتها وتكتيكاتها وإجراءاتها، وبعد تسريبات ويكيليكس تبين أن «لونج هورن» كانت وكالة الاستخبارات الأمريكية.
وذكرت الشركة أن الأدوات المستخدمة من قبل «لونج هورن» تتبع الجداول الزمنية للتطوير والمواصفات الفنية المنصوص عليها في الوثائق التي كشف عنها ويكيليكس. كما تستخدم مجموعة «لونج هورن» عدداً من بروتوكولات التشفير المحددة نفسها في وثائق «فولت 7»، إضافة إلى اتباع الإرشادات المسربة حول تكتيكات تجنب الكشف، «ونظراً للتشابه الكبير في الأدوات والإجراءات، لم يعد هناك شك بأن نشاطات «لونج هورن» ووثائق فولت 7 هي من صنع المجموعة نفسها».
ومن جانبها، لم تؤكد وكالة الاستخبارات المركزية الأمريكية CIA صحة ما ورد في وثائق ويكيليكس. إلا أن المتحدثة باسم الوكالة، هيذر فريتز هورنياك، قالت: إن تسريبات ويكيليكس تهدف إلى تدمير مجتمع الاستخبارات «ليس فقط تعريض الموظفين والعمليات الأمريكية للخطر، بل أيضاً تزويد خصومنا بالأدوات والمعلومات ليُضرّوا بنا».
وبدأ نشاط «لونج هورن» منذ عام 2011 على الأقل واستخدمت مجموعة من أحصنة طروادة التي تعتمد على الأبواب الخلفية إضافة إلى الثغرات الأمنية التي تتيح المجال لهجمات أمنية فورية أو ما يُعرف أيضاً بـ zero-day للإيقاع بضحاياها.
وقد قامت «لونج هورن» بسرقة بيانات الحكومات والمنظمات الدولية، إضافة إلى أهداف متنوعة في القطاعات المالية وقطاع الاتصالات والطاقة والفضاء والطيران وتكنولوجيا المعلومات والتعليم والموارد الطبيعية.
وقد أصابت «لونج هورن» 40 هدفاً في 16 دولة على الأقل في الشرق الأوسط وأوروبا وآسيا وأفريقيا، وفي إحدى الحالات تعرض جهاز حاسوب في الولايات المتحدة للاختراق ، لكن بعد الإصابة تم تنزيل برنامج مسح في غضون ساعات، ما قد يشير إلى أن هذه الضحية قد أصيبت عن غير قصد.
وعلى الرغم من أن مجموعة «لونج هورن» تمارس نشاطاتها منذ عام 2011 مع بعض الأدلة حول أنشطة لها تعود إلى عام 2007، تنبّهت سيمانتك لهذه المجموعة للمرة الأولى في عام 2014، عبر استخدام تقنية هجمات فورية مدمجة في وثائق برنامج النصوص «وورد» لإصابة الهدف بفايروس بليكسور.
وحمل الفايروس كل السمات المميزة لمجموعة معقدة من مجموعات التجسس الإلكتروني، وأشارت المنهجية والطريقة المستخدمة إلى أن المهاجمين لديهم معرفة مسبقة عن البيئة المستهدفة.
وتمتلك البرمجيات الخبيثة لمجموعة «لونج هورن» مجموعة واسعة من الأوامر للتحكم عن بعد بالحاسوب المصاب، ويمكن أيضاً تخصيص معظم البرامج الضارة باستخدام إضافات وملحقات ووحدات، والتي لوحظ أن بعضها من قبل سيمانتك.
ويبدو أن البرمجيات الخبيثة لمجموعة «لونج هورن» صمّمت خصيصاً لعمليات التجسس، مع قدرات بصمات الأنظمة والاكتشاف ونقل البيانات. وتستخدم هذه البرمجيات الخبيثة درجة عالية من الأمن التشغيلي، وتتواصل مع الخارج في أوقات محددة فقط، مع حدود تحميل معينة للبيانات المنقولة وتحديد فترات الاتصالات بشكل عشوائي وتظل كل المحاولات تحت الرادار أثناء الاقتحام.
وقبل تسرب فولت 7، قيّمت سيمانتك «لونج هورن» على أنها منظمة ذات موارد جيدة وتشارك في عمليات لجمع المعلومات الاستخباراتية. واستند هذا التقييم إلى مجموعتها العالمية من الأهداف، وامتلاكها مجموعة من البرمجيات الخبيثة المطورة على نحو شامل إلى جانب ثغرات الهجمات الفورية zero-day . ويبدو أن المجموعة تعمل وفق نظام العمل الأسبوعي الذي يبدأ بالاثنين وينتهي يوم الجمعة وذلك يتبين من الطوابع الزمنية وتواريخ تسجيل اسم النطاق، وهو سلوك يشابه طريقة عمل الجماعات التي ترعاها الدول.
وكشف تحليل «سيمانتك» عدداً من المؤشرات التي تفيد بأن مصدر «لونج هورن» هو دولة ناطقة باللغة الإنكليزية في أمريكا الشمالية.
واستخدمت مجموعة «لونج هورن» أدوات برمجيات خبيثة متطورة وثغرات الهجمات الفورية zero-day لتتسلل إلى سلسلة من الأهداف في جميع أنحاء العالم. وعند استخدامها مجتمعة تشكل الأدوات والتقنيات والإجراءات المستخدمة من «لونج هورن» ميزات مميزة وفريدة من نوعها لهذه المجموعة، مما لا يترك مجالًا للشك في ارتباطها بـ «فولت 7».

print