كشفت بالو ألتو نتوركس، الشركة المتخصصة فى تطوير الحلول الأمنية، تفاصيل جديدة عن مجموعة القرصنة الإلكترونية الشهيرة "سوفاسى" التى تستهدف هيئات حكومية متعددة، إذ لا تزال هذه المجموعة التى تعرف أيضا بأسماء متعددة أخرى، مثل: "إيه بى تى 28"، و"فانسى بير"، و"سترونتيوم"، و"سيدنيت"، و"فريق القيصر" و"باون ستورم"، تتمتع بنشاط كبير فى 2018، إذ تتولى الوحدة 42 التابعة للشركة مراقبة هذه المجموعة، بسبب طبيعتها الهجومية المستمرة على الصعيد العالمى فى مختلف المجالات.

وقالت الشركة، فى بيان صادر عنها اليوم الخميٍس، إن الآونة الأخيرة شهدت الكشف عن حملة فى مختلف وزارات الخارجية بجميع أنحاء العالم، ومن اللافت وجود جهدين متوازيين داخل الحملة، يقوم كل جهد باستخدام مجموعة أدوات مختلفة تماما بخصوص الهجمات، ولذا فإن هذه المدونة ستناقش واحدة من الجهود التى استفادت من الأدوات التى باتت تُعرف بارتباطها بمجموعة "سوفاسى".

 
تفاصيل الهجوم
فى بداية فبراير 2018 تم الكشف عن هجوم استهدف مؤسستين حكوميتين على صلة بالشؤون الخارجية، غير أن هذه المؤسسات لم تكن متجانسة إقليميا، وكان الهدف الوحيد المشترك بينها هو وظائفها المؤسساتية، وعلى وجه التحديد تقع إحدى المؤسسات جغرافيا فى أوروبا والأخرى فى أمريكا الشمالية، وقد استخدم المهاجم رسالة بريد إلكترونى للتصيد الاحتيالى، كتب فى موضوعها "فعاليات الدفاع القادمة لفبراير 2018"، وعنوان المرسل الذى يدعى أنه من فعاليات الدفاع 360 التابعة لـ"جين"، إذ تعتبر "جين باى إهسماركيت" من الموردين المعروفين للمعلومات والتحليلات، وترتبط فى كثير من الأحيان بالدفاع والقطاع الحكومى.

وأظهرت تحليلات بيانات عنوان البريد الإلكترونى، أن عنوان المرسل مزيف وغير صادر عن "إهسماركيت" على الإطلاق، ويدعى نص الإغراء فى رسالة التصيد الاحتيالى أن المرفق عبارة عن تقويم للأحداث ذات الصلة بالمؤسسات المستهدفة، ويتضمن تعليمات محددة بشأن الإجراءات التى يتعين على الضحية اتخاذها إذا ما واجهت "مشكلة فى عرض المستند".

وقد كان المرفق نفسه عبارة عن مستند "أكسل مايكروسوفت" يحتوى على برنامج نصى "ماكرو" ضار، ويقدم المستند نفسه على أنه مستند "ماكرو" عادى، لكن نصوصه مخفية ولن تظهر إلا بعد أن يقوم الضحية بتفعيل وحدات الماكرو، وذكرت الشركة أنه بإمكان الضحية الوصول إلى النص كاملا، حتى قبل تفعيل وحدات الماكرو، إذ إنه تم تطبيق لون الخط الأبيض على النص لجر الضحية إلى تفعيل وحدات الماكرو للوصول إلى المحتوى، وبمجرد تفعيل الماكرو يتم إظهار المحتوى عبر كود معين بتغيير لون الخط للون الأسود ضمن نطاق الخلية المحدد، ويعرض المحتوى للمستخدم، وعند المعاينة الأولية يظهر المحتوى كما لو أنه محتوى مُرخص متوقع، غير أن الفحص الدقيق للمستند يُظهر عددا من الآثار غير الطبيعية التى لم تكن موجودة فى المستند المرخص.