الـ CIA هي نفسها عصابة “لونج هورن” التي تشن عشرات الهجمات الإلكترونية

كشفت شركة سيمانتك أن الهجمات الإلكترونية الشاملة التي استهدفت عشرات المؤسسات حول العالم لمدة ثلاث سنوات مضت استخدمت ذات أدوات التجسس بالغة السرية التي كشفت عنها وثائق ويكيليكس الأخيرة، ما يعني أن وكالة الاستخبارات المركزية الأمريكية CIA هي نفسها مجموعة القرصنة “لونج هورن” LongHorn.

وأوضحت شركة سيمانتك في بيان خاص للبوابة العربية للأخبار التقنية: “استخدمت أدوات التجسس والبروتوكولات التشغيلية التي تضمنتها تسريبات ‘فولت 7’ Vault 7حديثًا في الهجمات الإلكترونية ضد 40 هدفًا على الأقل في 16 بلدًا من قبل مجموعة أطلقت عليها سيمانتك اسم لونج هورن”.

وذكرت الشركة أن الأدوات المستخدمة من قبل “لونج هورن” تتبع الجداول الزمنية للتطوير والمواصفات الفنية المنصوص عليها في الوثائق التي كشف عنها ويكيليكس. كما تستخدم مجموعة لونج هورن عددًا من نفس بروتوكولات التشفير المحددة في وثائق “فولت 7″، بالإضافة إلى أتباع الإرشادات المسربة حول تكتيكات تجنب الكشف. “ونظرًا للتشابه الكبير في الأدوات والإجراءات، لم يعد هناك شك بأن نشاطات “لونج هورن” ووثائق فولت 7 هي من صنع نفس المجموعة”.

ومن جانبها، لم تؤكد وكالة الاستخبارات المركزية الأمريكية CIA صحة ما ورد في وثائق ويكيليكس. إلا أن المتحدثة باسم الوكالة، هيذر فريتز هورنياك، قالت إن تسريبات ويكيليكس تهدف إلى تدمير مجتمع الاستخبارات “ليس فقط تعريض الموظفين والعمليات الأمريكية للخطر، بل أيضًا تزويد خصومنا الأدوات والمعلومات ليُضرّوا بنا”.

ما هي لونج هورن؟

بدأ نشاط “لونج هورن” منذ عام 2011 على الأقل واستخدمت مجموعة من أحصنة طروادة التي تعتمد على الأبواب الخلفية بالإضافة إلى الثغرات الأمنية التي تتيح المجال لهجمات أمنية فورية أو ما يُعرف أيضًا بـ zero-day للإيقاع بضحاياها.

وقد قامت “لونج هورن” بسرقة بيانات الحكومات والمنظمات الدولية، بالإضافة إلى أهداف متنوعة في القطاعات المالية وقطاع الاتصالات والطاقة والفضاء والطيران وتكنولوجيا المعلومات والتعليم والموارد الطبيعية. وتعد كافة المنظمات المستهدفة ذات أهمية كبيرة لمهاجمي الدول.

وقد أصابت “لونج هورن” 40 هدفًا في 16 دولة على الأقل في الشرق الأوسط وأوروبا وآسيا وأفريقيا. وفي إحدى الحالات تعرض جهاز حاسوب في الولايات المتحدة للاختراق ، لكن بعد الإصابة تم تنزيل برنامج مسح في غضون ساعات، مما قد يشير إلى أن هذه الضحية قد أصيبت عن غير قصد.

الوصول العالمي: عمليات لونج هورن

على الرغم من أن مجموعة “لونج هورن” تمارس نشاطاتها منذ عام 2011 مع بعض الأدلة حول أنشطة لها تعود إلى عام 2007، تنبّهت سيمانتك لهذه المجموعة للمرة الأولى في عام 2014، عبر استخدام تقنية هجمات فورية مدمجة في وثائق برنامج النصوص “وورد” لإصابة الهدف بفيروس بليكسور.

وحمل الفيروس كل السمات المميزة لمجموعة معقدة من مجموعات التجسس الإلكتروني. وبصرف النظر عن الوصول باستخدام ثغرات هجمات zero-day، أشارت المنهجية والطريقة المستخدمة إلى أن المهاجمين لديهم معرفة مسبقة عن البيئة المستهدفة.

وحتى الآن، اكتشفت سيمانتك أدلة على أنشطة لمجموعة “لونج هورن” ضد 40 هدفًا منتشرة في 16 دولة مختلفة. وقد شهدت سيمانتك استخدام لونج هورن لأربعة من أدوات البرمجيات الخبيثة المختلفة ضد أهدافها وهي: Corentry و Plexor و Backdoor.Trojan.LH1 و Backdoor.Trojan.LH2.

وتمتلك البرمجيات الخبيثة لمجموعة “لونج هورن” مجموعة واسعة من الأوامر للتحكم عن بعد بالحاسوب المصاب. ويمكن أيضًا تخصيص معظم البرامج الضارة باستخدام إضافات وملحقات ووحدات، والتي لوحظ بعضها من قبل سيمانتك.

ويبدو أن البرمجيات الخبيثة لمجموعة “لونج هورن” صمّمت خصيصًا لعمليات التجسس، مع قدرات بصمات الأنظمة والاكتشاف ونقل البيانات. وتستخدم هذه البرمجيات الخبيثة درجة عالية من الأمن التشغيلي، وتتواصل مع الخارج في أوقات محددة فقط، مع حدود تحميل معينة للبيانات المنقولة وتحديد فترات الاتصالات بشكل عشوائي وتظل كل المحاولات تحت الرادار أثناء الاقتحام.