سرق قراصنة OPERA1ER أكثر من 11 مليون دولار من البنوك وشركات الاتصالات

 استخدمت مجموعة التهديد OPERA1ER أدوات قرصنة جاهزة لسرقة ما يقرب من 11 مليون دولار من البنوك ومقدمي خدمات الاتصالات في جميع أنحاء إفريقيا.

نفذ قراصنة أكثر من 35 هجومًا إلكترونيًا ناجحًا بين عامي 2018 و 2022 ، وفي عام 2020 تم إطلاق ثلثها تقريبًا.

منذ عام 2019 ، كانت مجموعة التهديد OPERA1ER تحت رادار محللي الأمن السيبراني في Group-IB بالتعاون مع قسم CERT-CC في Orange. لكن ، في الآونة الأخيرة ، اكتشف محللون أمنيون أن المجموعة قد غيرت خطط نقل الحركة في العام الماضي ، 2021.

لم يرغب الباحثون في فقدان مسار التهديد ، لذلك قرروا الانتظار حتى ظهورهم مرة أخرى. لاحظ محللو Group-IB أن المتسللين عادوا مرة أخرى إلى النشاط في الفضاء الإلكتروني هذا العام.

اكتشافات جديدة

يتم تطوير TTPs باستمرار من قبل الجهات الفاعلة في التهديد كوسيلة لزيادة مستوى التهديد. خلال أغسطس 2022 ، تمكنت Group-IB من تحديد عدد من خوادم Cobalt Strike الجديدة بمساعدة Przemyslaw Skowron ، ويتم تشغيل هذه الخوادم من قبل مجموعة التهديد OPERA1ER. قالت Group-IB في تقرير مشترك مع anhackers.

عند تحليل خبراء البنية التحتية ، اكتشفوا للتو أن المهاجمين نفذوا 5 هجمات أخرى ، وهنا ذكرناها أدناه: -

• بنك في بوركينا فاسو عام 2021
• بنك في بنين عام 2021
• 2 بنوك في ساحل العاج عام 2022
• بنك في السنغال عام 2022

يُعتقد أن مجموعة الهاكرز تتكون من أعضاء يتحدثون الفرنسية في إفريقيا ، ويعملون من هناك. كان هناك عدد من المنظمات الأخرى التي استهدفتها جماعة التهديد في دول غير إفريقيا مثل: -

• الأرجنتين
• باراغواي
• بنغلاديش

هناك العديد من الأشياء التي يستخدمها OPERA1ER من أجل اختراق خوادم الشركة ، وفيما يلي بعض منها: -

• أدوات مفتوحة المصدر
• البرمجيات الخبيثة للسلع
• أطر مفتوحة المصدر

بمساعدة الموضوعات السائدة والمتوجهة ، يقوم المهاجمون بإطلاق رسائل بريد إلكتروني تصيد احتيالي على أهدافهم للحصول على وصول أولي.

تحتوي مرفقات البريد الإلكتروني في رسائل البريد الإلكتروني هذه على برامج ضارة من المرحلة الأولى ، بما في ذلك ما يلي: - 

• البترات
• السم
• وكيل تسلا
• رمكوس
• نيوترينو
• بلاك نت
• فينوم RAT

من أجل التحقيق في الخوادم المخترقة (ملفات [.] ddrive [.] عبر الإنترنت ، 20 [.] 91 [.] 192 [.] 253 ، 188 [.] 126 [.] 90 [.] 14) في العمق ، استخدم باحثو الأمن أداة Group-IB Threat Intelligence Graph: -

OPERA1ER قادر على البقاء داخل الشبكات المخترقة لمدة تتراوح بين 3 إلى 12 شهرًا حسب حجم الشبكة. هناك أوقات تتعرض فيها الشركة نفسها للهجوم مرتين من قبل المجموعة.

من الممكن أيضًا للمتسللين استخدام البنية التحتية لشبكة الضحية كنقطة محورية للهجمات على أهداف أخرى بعد الوصول إلى شبكة الضحية.

يتم الإبلاغ عن جميع المعاملات المالية من خلال هذا البرنامج ، كما أنها تخفي أيضًا المعلومات الأساسية حول أنظمة مكافحة الاحتيال التي يجب التحايل عليها.