تحليل أمريكي: قراصنة مرتبطون بـ”حماس” يشنون هجمات على المغرب

كشف تحليل جديد أجرته الوحدة الثانية والأربعون التابعة لشركة “بالو ألتو نتووركس” الأمريكية، المتخصصة في خدمات أمن الشبكات وأجهزة الكمبيوتر، عن استهداف مجموعة قراصنة إلكترونيين تدعى “Ashen Lepus”، مرتبطة بحركة المقاومة الإسلامية (حماس)، مؤسسات وجهات حكومية وبعثات دبلوماسية في دول الشرق الأوسط، إلى جانب دول أخرى منها المغرب ومصر والأردن.

وبحسب التحليل ذاته، فإن هذه المجموعة قادت حملة طويلة الأمد ضد المؤسسات والدول المستهدفة، ولم تُخفّض وتيرة نشاطها خلال العام الجاري حتى بعد وقف إطلاق النار في غزة في أكتوبر الماضي، بل وسعت نطاق الأهداف لتشمل جهات تابعة للسلطة الفلسطينية، ومؤسسات في مصر والأردن، إضافة إلى سلطنة عُمان والمملكة المغربية.

وذكر المصدر ذاته أن مجموعة “Ashen Lepus” طورت برمجيات خبيثة تسمى “AshTag”، كما قامت بتحديث بنية التحكم والسيطرة (C2) لتجنب التحليل والاندماج مع حركة الإنترنت المشروعة، مبرزا أن “الحملة التي قادتها هذه المجموعة أظهرت تطورا ملموسا في أمان العمليات الخاصة بها، وفي تكتيكاتها وتقنياتها وإجراءاتها التشغيلية؛ فعلى الرغم من أن عملياتها على مر السنين أظهرت مستوى متوسطا من التعقيد، إلا أن المجموعة تبنت مؤخرا تكتيكات أكثر تقدما تشمل التشفير المُحسن للحمولات المخصصة وتمويه البنية التحتية باستخدام نطاقات فرعية شرعية”.

وأوضحت الوحدة الثانية والأربعون التابعة لشركة “بالو ألتو نتووركس” أن “مجموعة Ashen Lepus اشتهرت في البداية باستهداف كيانات قريبة جغرافيا، مثل السلطة الفلسطينية ومصر والأردن، غير أن الحملات الأخيرة أظهرت توسعا كبيرا في نطاق العمليات لتشمل دولا عربية أخرى”، مضيفا أنه “على الرغم من اتساع البصمة الجغرافية في هجماتها الأخيرة، تظل موضوعات الطُعم (lure themes) الخاصة بالمجموعة متسقة إلى حد كبير، مع التركيز على الشؤون الجيو-سياسية في الشرق الأوسط، خاصة ما يتعلق بالأراضي الفلسطينية”.

وتابع المصدر ذاته: “منذ عام 2020 على الأقل، استخدمت المجموعة سلسلة إصابة متعددة المراحل ثابتة، وعادة ما تبدأ السلسلة بملف PDF خداعي يبدو بريئا، يوجه الضحايا إلى خدمة مشاركة الملفات لتنزيل أرشيف RAR يحتوي على حمولة خبيثة، وعند تنزيله وفتحه تبدأ سلسلة الأحداث التي تؤدي إلى الإصابة، والتي تشمل الملفات الثلاثة التالية: ملف ثنائي يتظاهر بأنه مستند حساس أو سياسي، محمل خبيث يعمل في الخلفية، أو ملف PDF خداعي إضافي باسم Document.pdf”.

وزاد شارحا: “عند فتح الضحية الملف الثنائي لقراءة المقال، يقوم الملف بتحميل المحمل الخبيث الأول (netutils.dll) في الخلفية، الذي بدوره يفتح ملف PDF الخداعي للعرض”، مبرزا أن “المجموعة قامت بتغيير تسمية نطاقات C2 الخاصة بها، فبدلا من استضافة خوادم C2 على نطاقاتها الخاصة، تسجل المجموعة الآن نطاقات فرعية مرتبطة بخدمات API والمصادقة ضمن نطاقات شرعية”.

وأوضحت الشركة المتخصصة في خدمات أمن الشبكات وأجهزة الكمبيوتر أن “مجموعةAshen Lepus تظل فاعلا مستمرا في التجسس، مع نية واضحة لمواصلة عملياتها خلال النزاعات الإقليمية، على عكس مجموعات تهديد مرتبطة أخرى تقلص نشاطها؛ إذ تظهر حملاتها الأخيرة تطورا في التكتيكات مع التحسين المستمر للتشفير، استخدام نطاقات فرعية مشروعة، وتنفيذ الحمولة في الذاكرة لتجنب الدفاعات الثابتة والتحليل”، مشددة على أهمية أن تبقى المؤسسات المستهدفة، وخاصة الحكومية والدبلوماسية، على يقظة دائمة أمام هذا التهديد المتطور.