تعتبر مجموعة القراصنة APT41، التي تعرف أيضا بأسماء مثل Brass Typhoon وEarth Baku وWicked Panda وWinnti، واحدة فرق قراصنة الإنترنت المتطورة في مجال الهجمات الإلكترونية، وقد شنت مؤخرا هجوما معقدا على ألعاب المقامرة.
ووفقا لتصريحات إيدو ناور، الرئيس التنفيذي لشركة الأمن السيبراني الإسرائيلية Security Joes، فإن عصابة الهاكرز استمرت في شن هذا الهجوم لمدة 6 أشهر، حيث تمكن المهاجمون من سرقة معلومات حساسة من الشركة المستهدفة، بما في ذلك تفاصيل الشبكة وكلمات مرور المستخدمين، بالإضافة إلى أسرار عملية LSASS.
عصابة هاكرز صينية تهاجم ألعاب القمار على الإنترنت
خلال فترة الهجوم، قامت مجموعة الهاكرز بتحديث أدواتها لاختراق دفعات فريق الأمن الخاص بالشركة المستهدفة، ومن خلال مراقبتهم تمكن المهاجمون من تعديل استراتيجياتهم وأدواتهم بهدف التهرب من آليات الكشف وضمان وصول الدائم إلى الشبكة التي تم اختراقها.
ويظهر هذا الهجوم المتعدد المراحل، والذي استهدف أحد عملاء الشركة واستمر لنحو 9 أشهر خلال العام الحالي، تقاربا مع مجموعة عمليات اختراق تعرفها شركة Sophos تحت مسمى "Operation Crimson Palace".
وأفاد ناور بأن الشركة تمكنت من الاستجابة للحادث قبل 4 أشهر، مشيرا إلى أن “هذه الهجمات تعتمد على عصابة الهاكرز المدعومين من الدولة”، حيث استهدفت مجموعة APT41 الصينية، مجال ألعاب المقامرة على الإنترنت من أجل تحقيق مكاسب مالية ضخمة".
وتمت هندسة هذه الحملة بهدف التخفي، حيث استغل المهاجمون مجموعة متنوعة من التكتيكات لتحقيق أهدافهم من خلال استخدام أدوات هجوم مخصصة، لم تقتصر هجماتهم على تجاوز برامج الأمان المثبتة في الشبكة الخاصة بالشركة، بل تمكنوا أيضا من جمع معلومات حساسة وإنشاء قنوات سرية لضمان الوصول عن بعد المستمر.
وقد وصفت شركة Security Joes مجموعة APT41 بأنها "ذات مهارات عالية ومنهجية"، مشيرة إلى قدرتها على تنفيذ هجمات تجسس خطرة مما يؤدي إلى سرقة الملكية الفكرية، حيث تشمل تلك الهجمات ذات دوافع مالية برامج شديدة الخطورة مثل برنامج الفدية وتعدين العملات الرقمية.
وتشير بعض التقارير إلى أن الهجوم تم عبر رسائل بريد إلكتروني احتيالية، نظرا لعدم وجود ثغرات نشطة في تطبيقات الويب العامة أو اختراقات في سلسلة التوريد الخاصة بتلك الألعاب.
وأوضحت الشركة في تقريرها: "بمجرد دخولهم إلى البنية التحتية المستهدفة، قام المهاجمون بشن هجوم DCSync لجمع تجزئات كلمات المرور لحسابات الخدمة والمسؤولين لتوسيع نطاق وصولهم".
وأضافت أن المهاجمين استخدموا هذه البيانات لتأمين استمرارية السيطرة على الشبكة، مع التركيز بشكل خاص على الحسابات الإدارية وحسابات المطورين.
كما تشير المعلومات إلى أن المهاجمين استمروا في القيام بأنشطة استطلاعية وما بعد الاستغلال بشكل منهجي، وغالبا ما قاموا بتعديل أدواتهم استجابة للإجراءات المتخذة لمواجهة التهديد وتطوير امتيازاتهم بغرض تنزيل وتنفيذ حمولات إضافية من البرامج الضارة التي تمكنهم من السيطرة على الشبكة المخترقة عن بعد.