أفاد تقرير أمني جديد بأن هجمات برامج الفدية التي حدثت مؤخراً والتي استهدفت مطوري ألعاب الفيديو حول العالم، لها “روابط قوية” بمجموعة التهديد APT27 سيئة السمعة والمرتبطة بالصين. كما يشير هذا الهجوم السيبراني إلى أن مجموعة التهديد المتقدمة (APT) تقوم بتبديل تكتيكات التجسس التي اعتمدتها تاريخياً نحو اعتماد برامج الفدية.

لاحظ الباحثون الأمنيون هذه “الروابط القوية” مع APT27 عندما تم استدعائهم لمواجهة نشاط برامج الفدية التي أثرت على العديد من شركات الألعاب الكبرى على مستوى العالم، والتي حاولت الهجوم على سلسلة التوريد بأكملها.

تفاصيل الحوادث الأمنية المذكورة أعلاه شحيحة، بما في ذلك أسماء الشركات المحددة والجدول الزمني وغيره من المعلومات. ويعود ذلك إلى عدم تمكّن الباحثين الأمنيين من تسمية شركات الألعاب التي تعرضت إلى الهجوم بشكل علني. ولكنهم في المقابل، لمّحوا إلى أن هناك خمس شركات قد تأثرت بالهجوم، اثنتين منها من بين أكبر الشركات في العالم.

مجموعة APT27 مسؤولة عن هجمات الفدية

مجموعة APT27 الشهيرة، والمعروفة أيضاً باسم Bronze Union و LuckyMouse و Emissary Panda، تعمل من جمهورية الصين الشعبية وهي موجودة منذ عام 2013.

استفادت مجموعة التهديد تاريخياً من الأدوات المتاحة للجمهور بهدف الوصول إلى الشبكات وجمع المعلومات الاستخبارية السياسية والعسكرية. وكان يرتكز عمل المجموعة سابقاً على التجسس الإلكتروني وسرقة البيانات، بدلاً من الربح المادي.

إذ لم يكن يركز تنظيم APT27 في السابق على المكاسب المالية، ولذلك فإن استخدام تكتيكات برامج الفدية الفاعلة في الهجمات الأخيرة أمر غير معتاد للغاية وقد يشكل مفاجأة غير سارة للبعض.

بالنسبة إلى الأدلة، لاحظ الباحثون في هجمات الفدية وجود “روابط قوية للغاية” مع APT27 من حيث أوجه التشابه بين الكود والتكتيكات والتقنيات والإجراءات (TTPs).

على سبيل المثال، تم رصد أوجه تشابه بين عينة التحكم DRBC وغرسات APT27 الأقدم المؤكدة. بالإضافة إلى ذلك، تم مشاهدة نسخة معدلة من webshell ASPXSpy المستخدمة سابقاً في الهجمات الإلكترونية المنسوبة إلى APT27. هذا إلى جانب الباب الخلفي المكتشف والذي يمكن استخدامه لتصعيد الامتيازات عبر استغلال CVE-2017-0213، وهي ثغرة أمنية في Microsoft Windows Server استخدمتها APT27 من قبل.