العودة إلى المدونة
دراسات حالة التصيد12 يونيو 20264 دقيقة قراءةOzan İsmail Çolhak

لماذا تنهار القلاع التي تبلغ قيمتها ملايين الدولارات برابط واحد؟ (الجزء 2)

كيف استخدمت مجموعة لازاروس ملف PDF واحد لاستهداف البنوك العالمية — ولماذا عجزت أدوات الأمان التقليدية عن إيقافها.

التصيددراسة حالةمجموعة لازاروستصيد PDFفيشاركأمن الذكاء الاصطناعي

قبل بضعة أيام، تحدثنا عن كيف تعرضت جوجل وفيسبوك لاحتيال بقيمة 120 مليون دولار من خلال روابط فواتير مزيفة تجاوزت مرشحات البريد الإلكتروني للشركات، وكيف كان بإمكان الذكاء الاصطناعي الوكيلي من فيشارك منع ذلك.

لكن على الجبهة الإلكترونية، لا يشن المهاجمون دائمًا هجومًا مباشرًا بإرسال رابط واضح. في بعض الأحيان، يخفئون هذا الرابط المسموم داخل ملف نفتح جميعًا العشرات منه كل يوم في حياة الشركات، ملف يبدو غير ضار وجدير بالثقة تمامًا: ملف PDF.

هذه المرة، ننظر إلى واحدة من أخطر مجموعات التهديد في العالم وكيف تم استهداف المؤسسات المالية العالمية من خلال مستندات تصيد مُعدّة بعناية.

attachments.pdf: خطة لازاروس ضد البنوك العالمية

إحدى أشهر مجموعات التهديد الإلكتروني في التاريخ الحديث هي لازاروس، وهي مجموعة مرتبطة بكوريا الشمالية ومعروفة بتنفيذ بعض من أكثر العمليات الإلكترونية تدميرًا وذات الدوافع المالية التي تمت ملاحظتها على الإطلاق. وقد ارتبط نفس النظام البيئي للمهاجمين بحوادث كبرى تتراوح بين هجوم سوني بيكتشرز وعمليات سرقة بنكية واسعة النطاق استهدفت الأنظمة المالية الدولية.

عندما استهدفت لازاروس والجهات الفاعلة المرتبطة بكوريا الشمالية البنوك العالمية، لم تبدأ باختراق شبكة مالية محصّنة بشكل مباشر. مرة أخرى، بدأت من الحلقة الأضعف: الإنسان.

تم استهداف موظفي البنوك والعاملين في القطاع المالي برسائل تصيد موجّه مقنعة للغاية. استخدمت هذه الحملات مستندات ذات مظهر احترافي تنكرت في شكل عروض عمل، وجداول رواتب، ومواد توظيف، أو اتصالات مالية داخلية. للوهلة الأولى، بدت هذه الملفات عادية. لم تبدُ كسلاح إلكتروني. بدت كشيء يمكن لموظف مشغول أن يفتحه بسهولة خلال يوم عمل عادي.

وهذا بالضبط ما جعلها خطيرة.

من منظور الأمن السيبراني، ماذا حدث هنا؟ لماذا لم يتم إيقاف هذا؟

قامت جدران الحماية ومرشحات البريد الإلكتروني للشركات وأدوات الأمان التقليدية بفحص الرسالة الواردة والملف المرفق. في معظم الحالات، كانت هذه الأنظمة تبحث عن أنماط تصيد معروفة، أو سلوك ملف مشبوه، أو نصوص برمجية خطيرة، أو بنية تحتية للهجوم تم تحديدها مسبقًا.

لكن الخطر الحقيقي لم يكن مرئيًا في الطبقة الأولى.

بدا ملف PDF كوثيقة عادية. احتوى على نص، وعلامة تجارية، وتعليمات قصيرة، ورابط بدا وكأنه جزء من عملية تحقق مشروعة. رأى الموظف رسالة مشابهة لما يلي:

"هذا المستند محمي. لعرض المحتوى الكامل، يرجى التحقق من خلال حساب الشركة الخاص بك."

في تلك اللحظة، لم يعد الملف نفسه هو السلاح النهائي. لقد أصبح آلية التوصيل.

بدأ الهجوم الفعلي عندما نقر الموظف على الرابط المضمّن.

أعاد هذا الرابط توجيه الضحية إلى صفحة تسجيل دخول مزيفة مصممة لتقليد نظام شركة أو بنك موثوق. وبمجرد إدخال الموظف لبيانات اعتماده، استخدم المهاجمون هذا الوصول للتعمق أكثر في الشبكة، والبحث عن الأنظمة المالية الحساسة، والوصول في النهاية إلى البنية التحتية المستخدمة في التحويلات المالية الدولية.

وهكذا أصبحت وثيقة تبدو غير ضارة بداية لكارثة مالية.

كانت نتيجة هذه العمليات المصرفية هائلة. فقد اتُهمت الجهات الفاعلة المرتبطة بكوريا الشمالية بمحاولة سرقة أكثر من 1.2 مليار دولار من البنوك حول العالم من خلال اختراق شبكات البنوك وإرسال رسائل SWIFT احتيالية. وفي عملية سرقة بنك بنغلاديش وحدها، حاول المهاجمون تحويل ما يقرب من مليار دولار ونجحوا في سرقة 81 مليون دولار قبل إيقاف العملية بالكامل.

من الخارج، بدت هذه البنوك كقلاع حصينة.

كانت لديها ضوابط وصول صارمة، وإجراءات داخلية، وأنظمة مراقبة مالية، وبنية تحتية مصرفية عالمية من حولها.

لكن الصدع الأول لم يظهر داخل شبكة SWIFT.

بدأ بموظف واحد فتح ملفًا بدا مثل attachments.pdf.

ماذا كان سيتغير لو كانت فيشارك موجودة؟

المنتجات التقليدية ثابتة. تفحص الملف أثناء دخوله عبر خادم البريد الإلكتروني، وتمسحه مرة واحدة، وتضع عليه علامة "نظيف"، وتتركه هناك. ما يحدث بعد فتح الملف غالبًا ما يكون خارج نطاق رؤيتها.

وهنا بالضبط حيث تُسلّط فيشارك ضوء المنطق الوقائي على النقطة العمياء.

في اللحظة التي يقوم فيها المستخدم بتحميل ملف PDF المشبوه هذا مباشرة من قسم "فحص الملف" في إضافة المتصفح الخاصة بنا، لن تكتفي فيشارك بفحص الملف على السطح فقط. بل ستستخرج الرابط المخفي داخل المستند، وتمرره عبر وحدات التحليل بالذكاء الاصطناعي الوكيلي الخاصة بنا، وتكتشف في ثوانٍ أن الوجهة النهائية كانت فخ تصيد.

حتى لو بدا ملف PDF نفسه نظيفًا، ستفهم فيشارك النية الحقيقية وراءه.

لأن في التصيد الحديث، لا يكون الجزء الضار دائمًا هو الملف نفسه.

في بعض الأحيان، يكون الملف مجرد باب.

وبهذه الطريقة، سيتم تحييد فخ التصيد المُعدّ بعناية من المهاجمين في البداية تمامًا، قبل أن يدخل الموظف بيانات اعتماده، وقبل أن يصل المهاجمون إلى الأنظمة الداخلية، وقبل إرسال تعليمات تحويل احتيالية واحدة.

يمكن إيقاف كارثة مصرفية بملايين الدولارات داخل ملف PDF واحد.

الجبهة الإلكترونية الآن متعددة الأبعاد. تنتقل من الروابط التقليدية إلى ملفات PDF، والآن من العالم المادي إلى العالم الرقمي. في الجزء التالي والأخير من سلسلتنا، سنتحدث عن هجمات "تصيد QR" أو "Quishing" التي تُعمي أدوات الأمان التقليدية تمامًا، وعن هندسة النظام البيئي لفيشارك.

ابقَ آمنًا. اقرأ المقال الأصلي على مدونتنا وجرّب فيشارك أو ثبّت إضافة فيشارك لحماية المتصفح من التصيد.

أوه، والجزء الأخير قادم قريبًا — رموز QR على وشك أن تصبح مثيرة. ترقبوا. :D

مع أطيب التحيات، أوزان.