كشفت منصة “Unit 42” المتخصصة في حلول الأمن السيبراني، التابعة لشركة “Palo Alto Networks”، عن تفاصيل حملة احتيال إلكتروني دولية ضخمة أطلق عليها اسم “جينغل ثيف”.
ويقود هذه الحملة قراصنة إلكترونيون ينشطون من المغرب، ويركزون على تحقيق مكاسب مالية ضخمة عبر استهداف بطاقات الهدايا الرقمية، خاصة خلال المواسم الاحتفالية.
يعتمد المهاجمون في حملة “جينغل ثيف” على تقنيات متطورة للتصيد الاحتيالي عبر البريد الإلكتروني والرسائل النصية القصيرة (SMS) لاستهداف الشركات العالمية في قطاعي التجزئة والخدمات الاستهلاكية. وتهدف هذه الهجمات إلى الحصول على بيانات تسجيل الدخول الحساسة، مما يمكنهم من إصدار بطاقات هدايا غير مصرح بها.
ما يميز هؤلاء المهاجمين ويجعلهم خطيرين بشكل خاص هو قدرتهم الفائقة على البخقاء متخفيين داخل الأنظمة المخترقة لفترات طويلة، قد تتجاوز العام. وخلال هذه المدة، يكتسبون معرفة عميقة ببيئة الشركة، بما في ذلك كيفية الوصول إلى البنية التحتية الحيوية، مما يجعل اكتشافهم ومعالجتهم مهمة بالغة الصعوبة. وقد شن المهاجمون موجة من الهجمات المنسقة على شركات عالمية عدة خلال شهري أبريل ومايو الماضيين.
وأكد التحقيق أن حملة “جينغل ثيف” أطلقت من قبل مهاجمين مغاربة بدوافع مالية، ونشطوا منذ عام 2021. وتستهدف عملياتهم بشكل أساسي الشركات العالمية في قطاعي التجزئة والخدمات الاستهلاكية. وعلى الرغم من أنهم ليسوا مرتبطين بأي جهة حكومية، إلا أن نشاطهم يتسم بتكتيكات متقدمة واستمرارية وتركيز تشغيلي عالٍ.
بخلاف جهات التهديد التقليدية التي تعتمد على البرمجيات الخبيثة، يعمل قراصنة “جينغل ثيف” حصريًا في البيئات السحابية بمجرد حصولهم على بيانات الاعتماد عبر التصيد. فهم يستغلون البنية التحتية السحابية، مثل “Microsoft 365” (SharePoint، OneDrive، Exchange، Entra ID)، لانتحال هوية المستخدمين الشرعيين والحصول على وصول غير مصرح به لبيانات حساسة، وتنفيذ عمليات احتيال واسعة النطاق على بطاقات الهدايا.
في إحدى الحالات، حافظ المهاجمون على الوصول إلى البيانات لمدة تقارب 10 أشهر، وتمكنوا من اختراق أكثر من 60 حساب مستخدم داخل مؤسسة عالمية واحدة. هذا النهج يتطلب مراقبة دقيقة لأنشطة المهاجمين على مدى فترة طويلة للكشف عنها. وغالبًا ما يزامن المهاجمون نشاطهم مع فترات الأعياد، مستغلين نقص الموظفين وزيادة الإنفاق على بطاقات الهدايا لزيادة عملياتهم.
لماذا بطاقات الهدايا؟
تعد بطاقات الهدايا جذابة للغاية للمهاجمين لعدة أسباب:
سهولة الاسترداد: يمكن تحويلها إلى نقود بسرعة.
إعادة البيع: يمكن بيعها في أسواق غير رسمية بأسعار مخفضة لتحقيق تدفق نقدي فوري.
صعوبة التتبع: مما يجعل التحقيق أو استرجاع الأموال أمرًا صعبًا.
نقاط ضعف الأنظمة: غالبًا ما تصدر عبر أنظمة ضعيفة التحكم بالوصول، وصلاحيات داخلية واسعة، ومراقبة محدودة.
وقد حاول المهاجمون مرارًا الوصول إلى تطبيقات إصدار بطاقات الهدايا المختلفة، واستهداف بطاقات عالية القيمة لاستخدامها في تحقيق مكاسب مالية، أو حتى كضمان في عمليات غسيل الأموال، مما يحول السرقة الرقمية إلى نقد غير قابل للتتبع.
استطلاع دقيق وتصيد داخلي
يستثمر قراصنة “جينغل ثيف” بشكل كبير في مرحلة الاستطلاع قبل الهجوم. يجمعون معلومات استخباراتية شاملة حول كل هدف، بما في ذلك العلامة التجارية، ومنصات تسجيل الدخول، وقوالب البريد الإلكتروني، وتسميات النطاقات. هذا الاستعداد يمكنهم من إنشاء رسائل تصيد عالية الإقناع تبدو شرعية تمامًا لكل من المستخدمين وأدوات الأمان.
عادة ما تبدأ عملياتهم بهجمات التصيد المخصصة أو الرسائل النصية الاحتيالية (Smishing) التي توجه الضحايا إلى بوابات تسجيل دخول مزيفة تشبه بوابات “Microsoft 365” الشرعية. وبعد جمع بيانات الاعتماد، يسجل المهاجمون الدخول مباشرة إلى “Microsoft 365” ويتنقلون داخل البيئة دون الحاجة لأي برمجيات خبيثة.
تعتمد “جينغل ثيف” أيضًا على التصيد الداخلي لتوسيع موطئ قدمها. ففي إحدى المحاولات، بعد اختراق حساب “Microsoft 365″، أرسل المهاجمون رسائل تصيد من الحساب المخترق نفسه إلى موظفين آخرين داخل المؤسسة، محاكين إشعارات خدمة تكنولوجيا المعلومات أو تحديثات التذاكر، وغالبًا ما يستخدمون معلومات من الوثائق الداخلية لزيادة المصداقية.
أصول مغربية غير مخفية
أكد التحقيق أن أنشطة حملة “جينغل ثيف” نشأت من عناوين بروتوكول الإنترنت (IP) مغربية. أظهرت سجلات “Microsoft 365” بصمات أجهزة وسلوكيات تسجيل دخول متكررة مرتبطة بهذه العناوين. وعلى عكس العديد من المهاجمين الذين يخفون مواقعهم عبر شبكات VPN، لم يحاول هؤلاء القراصنة غالبًا إخفاء أصلهم، على الرغم من استخدامهم أحيانًا لـ “VPN” باسم “Mysterium” عند الوصول إلى الحسابات المخترقة. كما تطابقت بيانات “ASN” (Autonomous System Number) أيضًا مع مزودي الاتصالات المغاربة.
