شقة سايدويندر
أصبحت شركات النقل البحري والخدمات اللوجستية في جنوب وجنوب شرق آسيا وأفريقيا والشرق الأوسط أهدافًا رئيسية لمجموعة التهديدات المتقدمة المستمرة (APT) المعروفة باسم SideWinder. وقد أثرت الهجمات الإلكترونية الأخيرة التي رُصدت في عام 2024 على مؤسسات في بنغلاديش وكمبوديا وجيبوتي ومصر والإمارات العربية المتحدة وفيتنام.
إلى جانب القطاعات البحرية، ركزت شركة سايد وايندر أيضًا على محطات الطاقة النووية والبنية التحتية للطاقة النووية في جنوب آسيا وأفريقيا. وتشمل القطاعات الأخرى المتأثرة الاتصالات، والاستشارات، وخدمات تكنولوجيا المعلومات، ووكالات العقارات، وحتى قطاعات الضيافة كالفنادق.
جدول المحتويات
الأهداف الدبلوماسية والعلاقة مع الهند
في توسع ملحوظ في نطاق هجماتها، شنّت مجموعة سايد وايندر أيضًا عمليات إلكترونية ضد جهات دبلوماسية في أفغانستان والجزائر وبلغاريا والصين والهند وجزر المالديف ورواندا والمملكة العربية السعودية وتركيا وأوغندا. ويُعد استهداف المجموعة للهند تحديدًا أمرًا بالغ الأهمية، نظرًا للتكهنات السابقة بأن الجهة الفاعلة قد تكون من أصل هندي.
عدو متطور باستمرار ومراوغ
يُعرف SideWinder بتطوره المستمر، حيث يصفه الخبراء بأنه "عدوٌّ متقدمٌ وخطيرٌ للغاية". يُحسّن هذا الفيروس أدواته باستمرار، ويتفادى اكتشافات برامج الأمان، ويضمن بقاءً طويل الأمد داخل الشبكات المُخترقة، مع تقليل أثره الرقمي.
StealerBot: أداة تجسس قاتلة
في أكتوبر 2024، أجرى باحثو الأمن السيبراني تحليلًا متعمقًا لبرنامج SideWinder، كاشفين عن استخدامه StealerBot، وهو مجموعة أدوات معيارية لما بعد الاستغلال مصممة لاستخراج البيانات الحساسة من الأنظمة المخترقة. وقد وُثِّق اهتمام SideWinder بالقطاع البحري سابقًا في يوليو 2024، مما يُبرز نهجه الدؤوب والمركّز.
طريقة الهجوم: التصيد الاحتيالي والثغرات الأمنية
تتبع الهجمات الأخيرة نمطًا مألوفًا. تُعدّ رسائل التصيد الاحتيالي الموجهة بمثابة ناقل العدوى الأولي، حيث تحمل مستندات غير آمنة تستغل ثغرة أمنية معروفة في مايكروسوفت أوفيس (CVE-2017-11882). بمجرد فتح هذه المستندات، تُفعّل سلسلة متعددة المراحل، تُنشر في النهاية أداة تنزيل .NET تُسمى ModuleInstaller، والتي بدورها تُشغّل StealerBot.
وأكد الباحثون أن العديد من وثائق الإغراء تشير إلى وكالات الطاقة النووية، ومحطات الطاقة النووية، والبنية الأساسية البحرية، وسلطات الموانئ - مما يشير إلى نهج استراتيجي للغاية لاستهداف الصناعات الحيوية.
التكيف للبقاء في صدارة التدابير الأمنية
يراقب SideWinder بنشاط عمليات الكشف الأمنية عن برمجياته الخبيثة. بمجرد تحديد أدواته، يُطوّر الفريق بسرعة إصدارات جديدة ومُعدّلة - أحيانًا في غضون ساعات قليلة. إذا كشفت حلول الأمان عن سلوكه، فإنها تستجيب بتغيير أساليب الثبات، وتغيير أسماء الملفات ومساراتها، وضبط كيفية تحميل المكونات الضارة.
من خلال تحسين أساليب الهجوم بشكل مستمر والتكيف بسرعة مع التدابير المضادة، يظل SideWinder يشكل تهديدًا إلكترونيًا مستمرًا ومتطورًا للصناعات الرئيسية في جميع أنحاء العالم.
