تمكنت مجموعة القراصنة المعروفة باسم “مادي واتر” (MuddyWater) من شن مجموعة من الهجمات السيبرانية على أكثر من 100 كيان حكومي في مختلف الدول باستخدام النسخة الأحدث من ثغرة “فينيكس” (Phoenix)، وفق تقرير نشره موقع “بليبينغ كومبيوتر” التقني.
ويشير التقرير إلى ارتباط المجموعة بالحكومة الإيرانية فضلا عن انتشارها بأكثر من اسم آخر مثل “ستاتيك كيتن” (Static Kitten) و”ميركوري” (mercury) و”سييد ورم” (SeedWorm)، وهي عادة تستهدف الحكومات والمنظمات الخاصة في الشرق الأوسط.
وبدأ هذا الهجوم في أغسطس/آب الماضي باستخدام حملة تصيد احتيالي من حساب مخترق، ثم أرسلت المجموعة مجموعة من رسائل البريد الإلكتروني الاحتيالية إلى عدة منظمات دولية وحكومية في دول الشرق الأوسط وشمال أفريقيا.
وتمكن الباحثون في الشركة الأمنية “غروب-آي بي” (Group-IB) من اكتشاف هذا الهجوم ودراسته، مؤكدين أن الهجوم تسبب في توقف الخوادم في عدة خدمات حكومية.
وأكد تقرير الشركة الأمنية أن ضحايا هذا الهجوم في الأغلب كانت السفارات والبعثات الدبلوماسية ووزارات الخارجية والقنصليات المختلفة.
واستخدمت المجموعة في الهجوم مستندات “ورد” التي تضم أكواد “ماكرو” معطوبة تتسبب في الاختراق، وهي من تقنيات الهجوم التي كانت شائعة للغاية في الماضي حتى أوقفتها “مايكروسوفت“.
ويعتمد الهجوم على جمع المعلومات من جهاز الضحية مثل عنوان النطاق الخاص به، واسم الحاسوب، وبيانات المستخدمين المسجل به.
كما أشار التقرير لاستخدام المجموعة أداة سرقة بيانات أخرى مخصصة للعمل مع المتصفحات وسرقة البيانات الموجودة بها، بما فيها متصفحات “كروم” و”أوبرا” و”بريف” و”إيدج”.
