كشف تقرير أمني حديث عن عملية اختراق البريد الإلكتروني لمسؤول رفيع في بورصة عالمية كبرى، حيث استمر التجسس لمدة 5 أشهر كاملة دون اكتشافه من قبل أنظمة الحماية.
كيف تمت عملية التجسس على بريد Outlook الخاص بالمسؤول؟
بدأت الأنشطة الخبيثة في 10 أكتوبر 2025، حيث تمكن المهاجمون من الوصول إلى صندوق بريد Outlook الخاص بمدير تنفيذي في إحدى كبرى البورصات العالمية. ووفقاً لما ذكرته تيكبامين، فقد اتبع القراصنة استراتيجية "التقطير الهادئ" لسرقة البيانات.
بدلاً من سحب كافة البيانات دفعة واحدة، قام المهاجمون بنسخ محتويات البريد الوارد في مجموعات صغيرة ومتكررة. هذه الطريقة سمحت بدمج حركة مرور البيانات المسروقة مع نشاط السحابة العادي، مما جعلها تبدو كأنها عمليات رفع ملفات روتينية.
الجدول الزمني للهجوم وأدوات التخفي
- أكتوبر 2025: بدء النشاط الأول عبر تشغيل ملفات برمجية بصلاحيات SYSTEM العالية.
- نوفمبر 2025: تفعيل أداة سارقة البريد المبنية على مكتبة .NET شرعية.
- فبراير 2026: تنفيذ آخر عملية سحب دورية للبيانات بنجاح.
- مارس 2026: اكتشاف باب خلفي (Backdoor) جديد قبل إغلاق الثغرة.
ما هي الأدوات المستخدمة في عملية اختراق البريد الإلكتروني؟
اعتمد المهاجمون على مزيج من الأدوات الشرعية والبرمجيات الخبيثة المخصصة لتجنب الرصد. وقد أوضحت تقارير تيكبامين أن المهاجمين استخدموا الأدوات التالية:
- مكتبة Aspose: وهي مكتبة .NET مشروعة تم استخدامها لتحويل ملفات OST وPST الخاصة ببريد Outlook إلى ملفات قابلة للقراءة والسرقة.
- خدمات Dropbox وOneDrive: استُخدمت كمنصات لتخزين البيانات المسروقة (Exfiltration) للتمويه على أنظمة المراقبة.
- أداة Curl: لرفع البيانات المشفرة إلى السحابة بشكل آلي ومنتظم.
لتحقيق أقصى درجات التخفي، قام المهاجمون بإنشاء مهام مجدولة (Scheduled Tasks) بأسماء وهمية تدعي أنها تابعة لشركات كبرى مثل أدوبي (Adobe) ولينوفو (Lenovo) ومايكروسوفت (Microsoft)، مما جعلها تبدو كخدمات نظام عادية.
لماذا استهدف القراصنة بريد مسؤول البورصة تحديداً؟
تشير التحليلات إلى أن الدافع وراء الهجوم هو التجسس الرقمي وجمع المعلومات الاستخباراتية، وليس السرقة المالية المباشرة. فصندوق بريد مسؤول رفيع في البورصة يعد كنزاً من المعلومات الحساسة التي تشمل:
- تفاصيل الإدراج غير المعلنة للشركات الجديدة.
- شروط الصفقات الكبرى وعقود الاستحواذ.
- خطط تحريك السوق والقرارات التنظيمية القادمة.
- مواعيد الاجتماعات السرية وقوائم جهات الاتصال الهامة.
كيف تمكن المهاجمون من تجاوز جدران الحماية؟
استخدم القراصنة تقنيات متقدمة لتجاوز أدوات الحماية المحيطية. على سبيل المثال، عند استخدام خدمة OneDrive، اتصلت البرمجيات الخبيثة بعناوين IP ثابتة تابعة لشركة مايكروسوفت مباشرة.
هذه الخطوة منعت ظهور أي استعلامات DNS مريبة قد تكتشفها أدوات المراقبة وتمنعها. كما تم إجراء "اختبار" لمرة واحدة لخدمة استضافة ملفات عامة قبل التخلي عنها والتركيز على الخدمات السحابية الشهيرة لضمان اختلاط نشاطهم بحركة المرور الطبيعية للمؤسسة.
في الختام، تظهر هذه الواقعة أن الأمن الرقمي للمسؤولين التنفيذيين يتطلب مراقبة دقيقة تتجاوز مجرد حماية الأنظمة، لتشمل رصد الأنماط غير العادية في الوصول إلى البيانات السحابية وتدقيق المهام المجدولة على الأجهزة الحساسة.
