الفئة: استخبارات الخصم

الصناعة: الخدمات المصرفية والمالية

التحفيز: الهاكتيفية

المنطقة: الشرق الأوسط

مصدر*:

B - يمكن الاعتماد عليها عادة
2 - ربما هذا صحيح

‍

ملخص تنفيذي

وفي 21 أيار/مايو 2023, كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشفت مجموعة التهديد Anonymous Sudan التي تدعي مسؤوليتها عن تعطيل خدمات موقع وتطبيق بنك أبو ظبي الأول. تم تنفيذ الهجوم في سياق الموقف الجيوسياسي لدولة الإمارات العربية المتحدة ودعمها لقوات الدعم السريع. بالإضافة إلى ذلك، تشير المناقشات في المجموعة إلى أن هجمات DDoS هذه ستستمر وتصاعدها في الإمارات العربية المتحدة.

‍

الكيانات المتأثرة

شاركت مجموعة الجهات الفاعلة في مجال التهديد، Anonymous Sudan، لقطة شاشة لتطبيق بنك أبوظبي الأول (FAB) قيد صيانة النظام، مدعية مسؤوليتها عن إزالة كل من موقع بنك أبوظبي الأول وتطبيقه.

موقع FAB الإلكتروني المستهدف بـ DDoS

بنك أبوظبي الأول: https://bankfab.com/en-ae/personal

الخدمات المصرفية عبر الهاتف المحمول من بنك أبوظبي الأول: متجر Google Play رابط

‍

TTP (التكتيكات والتقنيات والإجراءات)

لدى المجموعة ثلاثة نواقل هجوم رئيسية كما لوحظ حتى الآن، من بين الثلاثة، تعتبر هجمات DDoS هي السائدة مقارنة بالاثنتين الأخريين. نواقل الهجوم هي:

1. هجمات التشويه: التشويه (T1491.001: التشويه الداخلي، T1491.002: التشويه الخارجي)

• تقوم مجموعة Hacktivist بتعديل مواقع الويب وإضافة الصور ومقاطع الفيديو الخاصة بقضيتها باستخدام الأسماء ومعرفات الحسابات التي تنتهك سلامة صفحة الويب والمجال. ‍

2. هجمات DDoS (رفض الخدمة على الشبكة (T1498.001: فيضان الشبكة المباشر، T1498.002: تضخيم الانعكاس)):

• تقوم مجموعة Hacktivist بشن هجمات DDoS على المنظمات لتعطيل أو إيقاف العمليات عبر الإنترنت للمنظمات المستهدفة، مما يتسبب في إزعاج أو تلف عملياتها.
• كانت طريقة DDoS Attack هي ناقل الهجوم الأكثر استخدامًا للمجموعة.
• تم إرفاق IOC لهجمات DDoS في قسم IOC أدناه‍

3. حسابات التسوية (T1586.002: حسابات البريد الإلكتروني)

• في بعض الحالات التي تمت ملاحظتها، تبين أن المجموعة قامت باختراق حسابات مستخدمي الكيانات المستهدفة. من المحتمل أن يتم تحقيق ذلك من خلال طريقة تُعرف باسم حشو بيانات الاعتماد، والتي تتضمن استخدام البيانات المخترقة والمتاحة بشكل مفتوح من مصادر مختلفة على منتديات الويب المظلمة وقنوات Telegram.
• تتضمن هذه التقنية الحقن الآلي لمجموعات اسم المستخدم وكلمة المرور التي تم اختراقها سابقًا في صفحات تسجيل الدخول، من أجل الوصول غير المصرح به إلى الحسابات المستهدفة لمستخدمي المؤسسة.

‍

معلومات عن المجموعة

• وقد لوحظ أن مجموعة «Anonymous Sudan» تقوم بهجمات DDoS وتخترق العديد من المنظمات العامة والحكومية منذ يناير 2023.
• ويعرّفون أنفسهم على أنهم ناشطون سودانيون بدوافع سياسية.
• شوهدت المجموعة وهي تشارك بنشاط في الهجمات التي بدأتها Killnet لأنها تدعي أنها جزء من Killnet.
• لوحظ العديد من ناشطي القرصنة الروس الكبار والمشهورين وهم يروجون لـ Anonymous Sudan في قناة التلغرام الخاصة والعامة الخاصة بهم.
• ممثل من Anonymous أن Anonymous Sudan ليس مجهول وأنه لا يوجد اتصال بينهما.

تم ذكره من قبل مصدر يستخدمه Anonymous Sudan مجموعة من 61 خادمًا مدفوعًا مستضافًا في ألمانيا لتوليد حجم حركة المرور المطلوب لهجوم DDoS.

نشاط وتصنيف الجهات الفاعلة في مجال التهديد

IOC (مؤشرات التسوية)

‍

التأثير والتخفيف

التأثير

• يمكن أن تجعل DDoS مواقع الويب أكثر عرضة للخطر لأن بعض ميزات الأمان قد تكون غير متصلة بالإنترنت بسبب الهجوم.
• يمكن أن تتسبب البنية التحتية التالفة في انهيار الخدمات التي يقدمها موقع الويب.
• تصبح مواقع الويب عرضة لمزيد من الهجمات.
• التناقضات للمستخدمين الذين يصلون إلى مواقع الويب والموارد المتأثرة

التخفيف

• انشر موازنات التحميل لتوزيع حركة المرور.
• قم بتمكين آليات تحديد المعدل.
• قم بتكوين جدران الحماية وأجهزة التوجيه لتصفية حركة المرور وحظرها.
• استخدم شبكات توصيل المحتوى (CDNs) لتوزيع حركة المرور.
• تنفيذ تقنيات وخوارزميات الكشف عن الروبوتات - لتحديد طلبات الويب واسعة النطاق من الروبوتات التي تستخدمها الجهات الفاعلة لتنفيذ هجمات DDOS
  
• 
  

المراجع

• *مصدر الذكاء وموثوقية المعلومات - ويكيبيديا
• ^#بروتوكول إشارات المرور - ويكيبيديا

‍