"أسود الأطلس".. محتالون مغاربة يستخدمون جمعيات خيرية وهمية لسرقة بطاقات الهدايا الأمريكية

تتظاهر مجموعة إجرامية تتخذ من المغرب مقراً لها، بأنها جمعيات خيرية لخداع شركات الحوسبة السحابية لمنحها وصولاً مجانياً إلى تخزين الكمبيوتر. وكشف باحثو مايكروسوفت ومكتب التحقيقات الفيدرالي في ماي الماضي أن هذا الأمر يسمح للمجموعة بسرقة بطاقات الهدايا من كبار تجار التجزئة الأمريكيين.

وتنشط المجموعة المغربية، التي تعقبها باحثو مايكروسوفت باسم Storm-0539 أو أسود الأطلس، منذ عام 2021. وبحسب الباحثين فإن هذه المجموعة الإجرامية الإلكترونية متخصصة في سرقة بطاقات الهدايا، إذ أنهم ينشئون مواقع إلكترونية خيرية مزيفة لخداع الشركات لمنحهم إمكانية الوصول المجاني إلى أجهزة الكمبيوتر عبر الإنترنت.

وبالتالي، يقومون بخداع، الموظفين في المتاجر الأمريكية الكبرى للوصول إلى أنظمة بطاقات الهدايا الخاصة بهم. وبمجرد دخولهم، يسرقون بطاقات الهدايا دون تجاوز الحد المسموح به لتجنب اكتشافهم.

كما حذر مكتب التحقيقات الفيدرالي من الأنشطة الاحتيالية للمجموعة التي تتخذ من المغرب مقراً لها. وفي مذكرة بتاريخ 6 ماي، أفاد قسم السايبر التابع لمكتب التحقيقات الفيدرالي أنه اعتبارًا من يناير 2024، "لاحظوا وجود مجموعة إجرامية إلكترونية تحمل اسم STORM-0539، والمعروفة أيضًا باسم أسود الأطلس، تستهدف شركات التجزئة الوطنية؛ وتحديدًا أقسام بطاقات الهدايا الموجودة في مكاتب الشركات".

وأوضح مكتب التحقيقات الفيدرالي أن " STORM-0539 استخدمت حملات التصيد الاحتيالي لاستهداف الموظفين والوصول غير المصرح به إلى حسابات الموظفين وأنظمة الشركة. وبمجرد أن تمكنوا ذلك، استخدموا حملات التصيد الاحتيالي لاستهداف موظفين آخرين لرفع امتيازات الشبكة".

وتستهدف المجموعة هواتف الموظفين الشخصية وهواتف العمل المحمولة في أقسام البيع بالتجزئة بحملات التصيد الاحتيالي. كما قام مكتب التحقيقات الفيدرالي بتحديد التقنيات المستخدمة في هذا الاحتيال، والتي تشمل أيضا "مجموعة أدوات تصيد احتيالي متطورة مع القدرة على تجاوز المصادقة متعددة العوامل".

بمجرد أن يتم اختراق حساب أحد الموظفين، تقوم المجموعة "بإجراء استطلاع على شبكة العمل لتحديد عملية عمل بطاقات الهدايا ثم الانتقال إلى حسابات الموظفين التي تغطي تلك المحفظة المحددة".

وداخل الشبكة، تحاول المجموعة الوصول إلى كلمات مرور ومفاتيح الصدفة الآمنة (SSH) بالإضافة إلى استهداف بيانات اعتماد الموظفين في قسم بطاقات الهدايا. بعد النجاح في الوصول، تقوم المجموعة بإنشاء "بطاقات هدايا احتيالية باستخدام حسابات الموظفين المخترقة".

كما تشمل مناورات المجموعة "استخراج بيانات الموظفين بما في ذلك الأسماء وأسماء المستخدمين وأرقام الهواتف، والتي يمكن استغلالها في هجمات إضافية أو بيعها لتحقيق مكاسب مالية".

تسجيل الدخول بدلاً من الاختراق

وفقًا لإيميل هايجيبيرت، كبير محللي مركز مايكروسوفت لاستخبارات التهديدات، فإن المجموعة لا تضم أكثر من اثني عشر شخصًا في المغرب.

وأوضح أنهم "يسجلون الدخول بشكل أساسي بدلًا من الاقتحام"، مضيفًا أن مايكروسوفت تمكنت من اكتشاف المجموعة "التي تنشئ نطاقات لتظهر على أنها منظمات غير ربحية شرعية، مثل ملاجئ الحيوانات والجمعيات الخيرية في الولايات المتحدة وأوروبا، بل وتحصل على نسخ من المراسلات مع دائرة الإيرادات الداخلية التي تصنف تلك المجموعات على أنها منظمات غير ربحية شرعية".

وقال هايغيبيرت والباحثون الآخرون في تقرير 2024 Cyber Signals الصادر في ماي 2024 "إن استطلاع المجموعة وقدرتها على الاستفادة من البيئات السحابية يشبه ما تلاحظه مايكروسوفت من الجهات الفاعلة في مجال التهديدات التي ترعاها الدول".

ولم يتضح بعد مقدار الأموال التي سرقتها المجموعة من خلال عملياتها الإلكترونية.