أصدرت اليوم شركة بالو ألتو نتوركس، تقريرها المفصل عن جماعة الجريمة الإلكترونية “أوتوميتد ليبرا” التي تقف وراء سلسلة من الهجمات الإلكترونية المؤتمتة والمعروفة بتسمية “القنفذ الأرجواني”.
وهي حملة هجمات استغلت فيها الجماعة آلاف الحسابات المجانية والتجريبية ضمن المنصات السحابية لسرقة موارد الحوسبة منها لأجل تعدين العملات الرقمية المشفرة. وجاء في أبرز نتائج التقرير:
اعتماد الجماعة المكثف على عمليات التطوير المعمول بها في بيئات السحابة مثل قنوات التكامل والتطوير المستمر لتحقيق أكبر فائدة ممكنة من الموارد المحدودة في الحسابات المجانية والتجريبية. وحققت الجماعة ذلك من خلال استغلال حاويات الأنظمة الافتراضية لإنشاء الآلاف من الحسابات المجانية والتجريبية أو تسخير الأتمتة لتشغيل عملياتها في تعدين العملات الرقمية المشفرة.
وصلت أنشطة الجماعة ذروتها في منتصف نوفمبر 2022 حيث كانت تقوم بإنشاء قرابة 3 إلى 5 حساب مستخدم في الدقيقة ضمن منصة جيت هاب GitHub لغاية أتمتة قنوات إنشاء الحسابات المجانية والتجريبية في المنصات السحابية، ويأتي هذا الكشف إثر تمحيص أكثر من 250 جيجا بايت من البيانات التي جمعتها بالو ألتو نتوركس من حاويات الأنظمة الافتراضية التي استغلتها الجماعة.
تمكنت الجماعة من تجاوز اختبارات صور الكابتشا باستخدام وسائل بسيطة لتحليل الصور عند إنشاء الحسابات في بعض الحالات. وتبين قيام الجماعة بإنشاء أكثر من 130 ألف حساب مستخدم للخدمات في منصات مثل هيروكو (Heroku) و تاجل بوكس (Togglebox) وجيت هاب (GitHub).
ظهرت أدلة على وجود أرصدة غير مدفوعة في بعض الحسابات على منصات الخدمات السحابية المستهدفة. وتشير هذه الأدلة إلى قيام الجماعة بإنشاء حسابات مزيفة باستخدام بطاقات ائتمانية مسروقة أو مزيفة.
في ضوء هذه النتائج، تشير تقديرات بالو ألتو نتوركس إلى قيام الجماعة المنفذة لعملية “القنفذ الأرجواني” بسرقة موارد الحوسبة السحابية من عدة منصات باتباع تكتيك يطلق عليه الباحثون في بالو ألتو نتوركس تسمية “العب واهرب”. ويشمل هذا التكتيك تعمد الجهات الهجومية استغلال موارد الحوسبة السحابية والامتناع عن الدفع بمجرد وصول الفاتورة.
ومن الجدير بالذكر أن عملاء «بالو ألتو نتوركس» يتمتعون بالحماية من التهديدات المذكورة آنفا بفضل منصة «بريزما كلاود» Prisma Cloud الأمنية بما تشمله من سياسات حماية حاويات الأنظمة الافتراضية ومسحها أثناء التشغيل للكشف عن الثغرات.
