حرب داخل عالم الهاكرز.. مجموعة مجهولة تُعيد اختراق أنظمة مخترقة سابقاً

كشف باحثون في الأمن السيبراني عن حملة اختراق جديدة تستهدف أنظمة كانت قد تعرضت للاختراق مسبقاً، في ما يشير إلى تصاعد صراع خفي بين مجموعات القراصنة أنفسهم.

وبحسب تقرير صادر عن شركة الأمن السيبراني SentinelOne، فإن مجموعة غير معروفة شنت هجمات على أنظمة سبق أن استولت عليها عصابة إلكترونية تُعرف باسم TeamPCP، قبل أن تنجح في طرد القراصنة الأصليين وإزالة الأدوات الخبيثة التي كانوا يستخدمونها داخل تلك الأجهزة.

وبعد فرض سيطرتها على الأنظمة المخترقة، بدأت المجموعة الجديدة في نشر برمجيات خبيثة قادرة على الانتشار تلقائياً داخل بيئات الحوسبة السحابية، بطريقة تشبه الديدان الرقمية، إلى جانب تنفيذ عمليات سرقة لبيانات الدخول وكلمات المرور، مع إرسالها إلى خوادم خارجية تابعة للمهاجمين، وفق ما أورده موقع تك كرانش.

وتُعد TeamPCP واحدة من أهم مجموعات القرصنة التي برزت مؤخراً، بعد ربطها بسلسلة هجمات استهدفت البنية السحابية للمفوضية الأوروبية، إضافة إلى اختراقات طالت أداة فحص الثغرات Trivy، وهو ما تسبب في تأثيرات واسعة طالت شركات تقنية، من بينها LiteLLM وشركة Mercor المتخصصة في التوظيف بالذكاء الاصطناعي.

وفي هذا السياق، أطلقت الباحثة الأمنية أليكس ديلاموت من شركة SentinelOne اسم PCPJack على الحملة الجديدة، مؤكدة أن هوية الجهة المنفذة ما زالت غير معروفة حتى الآن.

وأشارت ديلاموت إلى أن هناك عدة احتمالات مطروحة، من بينها أن يكون المنفذون أعضاء سابقين من TeamPCP قرروا الانقلاب على المجموعة، أو منافسين لها في عالم القرصنة، أو جهة أخرى قامت بدراسة أساليب الهجوم السابقة ونسخ تقنياتها وتنفيذها بشكل مستقل.

وأضافت، أن أسلوب الهجمات الجديدة يتطابق إلى حد كبير مع العمليات التي نفذتها TeamPCP خلال الفترة بين ديسمبر ويناير، قبل أن تظهر مؤشرات على تغييرات داخلية في هيكل المجموعة خلال فبراير ومارس الماضيين.

ورغم أن الهجمات الأخيرة تركز بشكل أساسي على الأنظمة التي سبق اختراقها، إلا أن المهاجمين وسعوا نطاق نشاطهم ليشمل البحث عن خدمات مكشوفة على الإنترنت وضعيفة الحماية، مثل خوادم Docker وقواعد بيانات MongoDB وغيرها من الأنظمة غير المؤمنة بشكل كافٍ.