أمضت مجموعة القرصنة التي اخترقت الدفاعات عبر الإنترنت لعلامات التجزئة في المملكة المتحدة ، وقد أمضت سبنسر شهورًا هذا العام في وضع مصائد رقمية مصممة لخداع الموظفين في أكبر العلامات التجارية في العالم للتخلي عن كلمات المرور الخاصة بهم.
لوحظ العنكبوت المبعثر-الذي يصفه خبراء الأمن السيبراني بأنه عصابة إجرامية من تغيير المهملات الذكرية ، المحتالين الناطقين باللغة الإنجليزية-يسجلون مواقع الويب بأسماء شركات متطابقة تقريبًا وشحذ مجموعات أدوات البرامج الضارة الخاصة بهم.
لكن تحركهم المميز هو البحث بشكل شامل من موظفي الشركة ، وانتحالهم بنجاح في مكالمة هاتفية ، وخداع الزملاء الآخرين لتسليم المعلومات اللازمة لإشعال الهجوم السيبراني.
أدى المزيج من الفخاخ عبر الإنترنت والحيلة في العالم الحقيقي إلى بعض من أشهر المخترقين في السنوات الأخيرة ، بما في ذلك هجوم 2023 على كازينوهات MGM والمنتجعات في لاس فيجاس التي تغلق الفنادق على طول الشريط الشهير في المدينة.
لقد اخترقوا في M&S الشهر الماضي ، حيث قاموا بتجار التجزئة في المملكة المتحدة في أزمة مع ما يصل إلى 300 مليون جنيه إسترليني إلى أرباح التشغيل ومسح أكثر من 600 مليون جنيه إسترليني من القيمة السوقية.
انها ليست مجرد المال. قال أولئك الذين درسوا العنكبوت المتناثر إن أعضائها كانوا مهتمين أيضًا بمزايا أخرى: حقوق المفاخرة.
وقال تشارلز كارماكال ، كبير مسؤولي التكنولوجيا في Mandiant Consulting: “إنهم ليسوا مدفوعين مالياً بشكل حصري – فهم يحبون النفوذ ، ويحبون اهتمام وسائل الإعلام الرئيسية”.
المتسللين هم قادة في صناعة “رانسومواري” الجنائية المزدهرة. في عام 2023 وحده ، دفع الضحايا ما لا يقل عن مليار دولار للعصابات الذين احتفظوا ببياناتهم فدية ، وفقا لسلسلة التحليل ، وهي شركة تدرس حلقات.
لقد نضجت التكتيكات في السنوات الأخيرة حتى يكون لدى المتسللين تخصصات. العنكبوت المبعثر هو من بين أولئك الذين يركزون على الخرق الأولي. تبيع بعض مجموعات البرامج التي تشفر البيانات الحاسمة. يركز آخرون على مطالب Ransom التي تستمر لعدة أشهر ، وتواجه المفاوضين المتمرسين ، وغالبًا من مقدمي خدمات التأمين. حتى إذا كانت الدفعات يمكن أن تكون كبيرة ، فإن كل مجموعة تحصل على شريحة فقط.
لقد ترك العنكبوت المبعثر مهمة التفاوض على يوم الدفع لعصابة فدية مختلفة تطلق على نفسها قوة التنين. إذا دفعت M&S ، فإن Dragon Force ستفتح أو حذف بيانات الشركة الملكية ، كما قال شخص يمثل المتسللين لصحيفة فاينانشال تايمز. حتى الآن ، ليس هناك ما يشير إلى أن M&S قد جذب إلى الابتزاز.
وقالت M&S ، التي تعمل مع إنفاذ القانون والوكالات الحكومية: “لا يمكننا الدخول في أي تفاصيل أو تكهنات حول الحادث ونصحنا بعدم”.
انتقل العنكبوت المبعثر بسرعة. وقال زاك إدواردز ، باحث التهديد من مجموعة سايلنت بيس في فرجينيا ، الذي شاهد الاستعدادات للمتسللين عبر الإنترنت ، إنه حاول تحذير العديد من الأهداف المحتملة الأخرى خلال الأشهر الأخيرة.
وهي تشمل Watchmaker Audemars Piguet و Matchmaker Tinder و Fashion House Louis Vuitton و Publishers Forbes و News Corp وحتى صانع Sanwich Chick-Fil-A. لا يوجد دليل على أن المتسللين قد نجحوا في كسر الدفاعات الإلكترونية لتلك الشركات. لم يرد أي شيء على طلبات التعليق.
ولكن بعد عيد الفصح مباشرة ، بدأت الهواتف في رنين مكاتب مساعدة تجار التجزئة الأمريكية. من المحتمل أن تكون المكالمات من المتسللين العنكبوت المتناثر الذين يتظاهرون بأنهم موظفون ، وفقًا للعديد من المتخصصين في الأمن السيبراني الذين تم استدعاؤهم للمساعدة في إغلاق التسريبات.
وقال Carmakal من Mandiant المملوكة لشركة Google ، والتي بدأت في الحصول على مكالمات SOS من الشركات “تخبرنا بأنهم يتعاملون مع هجوم نشط”.
على الرغم من أن M&S لم تكشف بعد عن كيفية انتهاك أنظمتها ، إلا أن Dynarisk ومقرها لندن ، والتي تتتبع التهديدات عبر الإنترنت ، قالت إن أوراق الاعتماد المعرضة للخطر من تجار التجزئة الرئيسيين في المملكة المتحدة يتم تداولها مقابل النقد في المنتديات عبر الإنترنت.
تشتهر العنكبوت المبعثر بوجود خدعة تسمى “الهندسة الاجتماعية” ، حيث يدرسون آثارًا عبر الإنترنت خلفها الموظفون من المستوى المتوسط في الشركات الكبرى لتجاوز كاتب مكتب المساعدة.
“إنهم يختارون هدفًا – ربما مطورًا كبيرًا – ليكونوا الشخص الذي ينتحل شخصية ، لذلك قد يعرفون اسمهم قبل الزواج ، وعنوان منزلهم ، وربما يكونوا قد اشتروا بالفعل ملفًا لوسائط البيانات على شخص ما” ، قال إدواردز من Silent Push.
في الهجمات السابقة ، قام المتسللون بانتحال شخصية لتكنولوجيا المعلومات ، لأن حساباتهم تتمتع بامتيازات تسمح لهم بالانتقال بسرعة من خلال البنية التحتية للتكنولوجيا للشركة. عندما انتهك العنكبوت المبعثر MGM ، كانت كلمة المرور القديمة للموظف هي تباين في اسم قطته ، وفقًا لمجموعة بيانات تم بيعها عبر الإنترنت ورأيتها FT.
“مرحبًا ، يبدو أنني مغلق من بريدي الإلكتروني – هل يمكنك المساعدة الآن ، أو هل يجب أن أتصل خلال ساعات العمل؟” يتم سماع رجل لديه لهجة أمريكية في تسجيل تم إرساله إلى FT على Telegram من قبل شخص يزعم أنه تم تعيينه للقيام بعمل صوتي لصالح العنكبوت المبعثر.
قال هذا الشخص إنه تم رواتبه في كسور من ethereum cryptocurrency لكن الشريحة الأخيرة لم تصل أبدًا. يشكو الشخص من الافتقار إلى الدفع الكامل في قناة Telegram عنصرية مملوءة ، قال الشخص إنه تم توفير تسجيل الدخول إلى رقم صوت Google ، والذي استخدمه بعد ذلك لاستدعاء مكتب المساعدة في مزود اتصالات أمريكي رئيسي.
قام الشخص بحذف حساب Telegram الخاص به عندما طلب من FT لمزيد من إثبات المشاركة مع العنكبوت المبعثر. لكن من المنطقي أن يقوم المتسللون بتوظيف شخص ما لمتابعة نص ، لأن وجود أصواتهم الخاصة على الشريط يجعل محاكمهم أسهل.
من المفترض أن يحتفظ المتسللون بدفع هوياتهم الخاصة من بعضهم البعض ، واتصلوا ببعضهم البعض عن Spider1 و Spider2 وما إلى ذلك في اتصالاتهم الداخلية ، وفقًا لعضو متورط في اختراق MGM الذي تحدث إلى FT في عام 2023.
هذا لم يمنع إنفاذ القانون من تتبع عدد قليل على الأقل. على عكس قرصنة العصابات التي تعمل في بيلاروسيا أو روسيا-خارج نطاق مكتب التحقيقات الفيدرالي أو يوروبول-تميل “العناكب” الناطقة باللغة الإنجليزية إلى العيش في الغرب.
سلسلة من عمليات الاعتقال العام الماضي في إسبانيا ، عطلت الولايات المتحدة والمملكة المتحدة المجموعة مؤقتًا. بعد توقف ، يبدو أن العنكبوت المتناثر يعود ويستمتع بالأضواء. تبيع إحدى الشركات الأمنية الإلكترونية المتخصصة في دراستهم ، CrowdStrike ، شخصيات عمل لمجموعة القرصنة.
قبل حذف حسابه ، قال الشخص الذي يزعم العمل مع المتسللين إن كل ما يريده هو “رحلة GR8 مع sp1der” ، مضيفًا عبارة شائعة بين القناة في Telegram: “الأذى قبل المال”.
شارك في تقارير إضافية من لورا أونيتا وكيران سميث
