كشفت شركة Rapid7 للأمن السيبراني عن استخدام مجموعة القرصنة المعروفة باسم “Scattered Spider” لأداة Teleport، وهي منصة مفتوحة المصدر لإدارة البنية التحتية، كوسيلة جديدة للحفاظ على الوجود المستمر داخل الشبكات المخترقة. يُعد هذا التحول في أساليب الهجوم دليلاً على قدرة هذه المجموعة على التكيف والاعتماد على أدوات مشروعة لتفادي الاكتشاف من قبل أنظمة الحماية.
آلية الهجوم عبر Amazon EC2
بعد تمكن المجموعة من الوصول إلى صلاحيات إدارية داخل بيئة سحابية، قامت بتثبيت وكيل (Agent) Teleport على خوادم Amazon EC2 المصابة، ما مكّنها من إنشاء قناة قيادة وتحكم (C2) عن بُعد تسمح لها بالوصول الكامل إلى تلك الخوادم حتى بعد إلغاء بيانات الاعتماد الأصلية أو تعطيل الوصول عبر VPN. هذه التقنية تتيح لهم تنفيذ الأوامر على الخوادم بشكل مباشر دون الحاجة إلى أدوات خبيثة مخصصة، مما يصعّب من مهمة الكشف عن النشاط المشبوه.
استخدام أدوات شرعية بشكل خبيث
Teleport تُستخدم عادةً من قبل مسؤولي النظام لإدارة الوصول الآمن إلى البنية التحتية، ولكن Scattered Spider قامت باستغلال وظائفها بطريقة ملتوية لتحويلها إلى أداة للاختراق طويل الأمد. هذا الاستخدام الماكر لتقنيات مفتوحة المصدر يدل على توجه متزايد بين مجموعات القرصنة لاستخدام أدوات إدارية مألوفة بهدف تقليل فرص رصدهم من قبل أنظمة الدفاع السيبراني.
خلفية عن المجموعة وأساليبها
تُعتبر Scattered Spider واحدة من أكثر الجماعات نشاطاً وتعقيداً في ساحة الهجمات السيبرانية الحديثة، وقد ارتبط اسمها بعدد من الاختراقات المؤثرة لشركات ومؤسسات كبيرة. استراتيجيتها القائمة على التسلل التدريجي واستغلال أدوات عادية تعكس معرفة تقنية عالية وتسعى إلى البقاء داخل الأنظمة لأطول فترة ممكنة دون إثارة الانتباه، وهو ما يجعلها تهديداً حقيقياً لأمن البنى التحتية الرقمية.
