رصد باحثو كاسبرسكي تغيراً في نمط استهداف مجموعة التهديدات المتقدمة المستمرة SideWinder، حيث تحولت نحو استهداف منشآت الطاقة النووية في جنوب آسيا، مما يمثل تصعيداً خطيراً في عمليات التجسس الموجهة. وبشكل متتالي وسعت المجموعة نطاق عملياتها بشكل متزامن ليشمل إفريقيا وجنوب شرق آسيا وأجزاء من أوروبا.

وثّق فريق كاسبرسكي للأبحاث والتحليل العالمي (GReAT) تهديداً مزدوجاً مثيراً للقلق من مجموعة التهديدات المتقدمة المستمرة SideWinder، حيث أظهرت المجموعة تركيزاً متزايداً على استهداف المحطات النووية ومنشآت الطاقة في مختلف أنحاء جنوب آسيا. ويتزامن هذا التحول النووي مع التوسّع الجغرافي للمجموعة خارج نطاق عملياتها المعتادة.

تنشط مجموعة SideWinder منذ عام 2012 على أقل تقدير، وقد ركزت عملياتها تاريخياً على استهداف المؤسسات الحكومية والعسكرية والدبلوماسية. ووسّعت المجموعة نطاق أهدافها ليشمل البنى التحتية البحرية والشركات اللوجستية في مختلف أنحاء جنوب شرق آسيا، مع تركيز جديد على استهداف القطاع النووي. ورصد باحثو كاسبرسكي ارتفاعاً ملحوظاً في الهجمات المستهدفة للهيئات النووية، حيث استُخدمت رسائل تصيد احتيالي موجهة ومستندات خبيثة مليئة بمصطلحات تقنية متخصصة في القطاع النووي.

من خلال تتبع نشاط مجموعة SideWinder عبر 15 دولة وثلاث قارات، رصد باحثو كاسبرسكي سلسلة من الهجمات في جيبوتي، قبل أن تنقل المجموعة تركيزها إلى مصر وتوسع عملياتها لتشمل موزمبيق والنمسا وبلغاريا وكمبوديا وإندونيسيا والفلبين وفيتنام. كما تعرضت المؤسسات الدبلوماسية في كل من أفغانستان والجزائر ورواندا والمملكة العربية السعودية وتركيا وأوغندا لهجمات المجموعة، مما يؤكد توسع نطاق عمليات SideWinder بشكل كبير خارج حدود جنوب آسيا.

وفي هذا السياق، صرّح فاسيلي بيردنيكوف، كبير باحثي الأمن لدى فريق كاسبرسكي للأبحاث والتحليل العالمي قائلاً: «ما نشهده لا يقتصر على مجرد توسّع جغرافي، بل يمثل تطوراً استراتيجياً في قدرات وطموحات مجموعة SideWinder. تمتلك المجموعة القدرة على نشر إصدارات محدثة من البرمجيات الخبيثة بسرعة لافتة بعد اكتشافها، مما يحوّل طبيعة مشهد التهديدات من مجرد استجابة تفاعلية إلى مواجهة تجري في الوقت الفعلي تقريباً.»

على الرغم من اعتمادها على ثغرة أمنية قديمة في برنامج مايكروسوفت أوفيس (CVE-2017-11882)، إلّا ان مجموعة SideWinder تجري تعديلات سريعة ومستمرة على أدواتها البرمجية لتجنب الكشف عنها. وفي سياق استهداف البنى التحتية النووية، تصمم المجموعة رسائل تصيد احتيالي موجهة بأسلوب محكم، حيث تظهر وكأنها مراسلات تتعلق بالجوانب التنظيمية أو بتفاصيل خاصة بالمنشآت النووية. وبمجرد فتح هذه المستندات، تبدأ سلسلة من عمليات الاستغلال التي قد تمكّن المهاجمين من الوصول إلى البيانات التشغيلية للمنشآت النووية، والمشروعات البحثية، والمعلومات الشخصية للعاملين فيها.

توفر كاسبرسكي حماية للمؤسسات من هذه الهجمات عبر طبقات أمنية متعددة، تتضمن حلولاً لإدارة الثغرات الأمنية، ونظام منع الهجمات في مراحلها الأولى، وآلية للكشف عن التهديدات في الوقت الفعلي مع استجابة آلية، بالإضافة إلى تحديث مستمر لقواعد الكشف لتواكب التطور المستمر في البرمجيات الخبيثة لمجموعة SideWinder. 

يمكن الاطلاع على التحليل التقني المفصل لأحدث عمليات مجموعة SideWinder عبر موقع Securelist.com.

لمساعدة المؤسسات في حماية بنيتها التحتية الحساسة من الهجمات الموجهة المتقدمة، يقدم خبراء الأمن السيبراني في كاسبرسكي التوصيات التالية:

• تطبيق نظام شامل لإدارة التحديثات الأمنية وإصلاح الثغرات. يقدم حل كاسبرسكي لتقييم الثغرات الأمنية وإدارة الإصلاحات نظاماً آلياً للكشف عن نقاط الضعف وتوزيع الإصلاحات الأمنية، مما يساعد في سد الثغرات الأمنية في البنية التحتية للمؤسسة.
• تطبيق حلول أمنية متعددة المستويات تتميز بقدرتها على كشف التهديدات في الوقت الفعلي. يعمل نظام Kaspersky Next XDR Expert على تجميع وتحليل البيانات من مصادر متعددة باستخدام تقنيات الذكاء الاصطناعي وتعلّم الآلة، مما يتيح كشفاً فعالاً للتهديدات واستجابة آلية للهجمات المتقدمة.

• تنفيذ برامج تدريبية دورية لرفع الوعي في الأمني السيبراني لدى الموظفين، مع التركيز بصفة خاصة على تنمية قدراتهم في التعرف على محاولات التصيد الاحتيالي الموجه المتقدمة.