الخبراء يرجحون أن “جاليوم” هي جماعة صينية استنادً إلى المناطق الجغرافية المستهدفة والقطاعات التي تركزت الهجمات ضدها
نجحت «بالو ألتو نتوركس» مؤخرا في اكتشاف برمجية خبيثة جديدة يصعب رصدها تسمى “بينج بول” PingPull لدخول الأنظمة المخترقة والتحكم بها عن بُعد، تستخدمها جماعة “جاليوم” للقرصنة الإلكترونية المصنفة ضمن فئة التهديدات الإلكترونية الدائمة والمتطورة.
وتركز جماعة “جاليوم” هجماتها على شركات الاتصالات العاملة في جنوب شرق آسيا وأوروبا وأفريقيا. وترجح تقييمات أوساط الصناعة أن جاليوم هي جماعة صينية، بالاستناد إلى المناطق الجغرافية المستهدفة والقطاعات التي تركزت الهجمات ضدها، إضافة إلى مستوى المهارة التقنية لدى الجماعة واعتمادها تكتيكات وبرمجيات خبيثة مستخدمة بين الجماعات الصينية الأخرى.
وقد عملت هذه الجماعة خلال السنة الفائتة على توسيع أهدافها لأبعد من قطاع الاتصالات لتطال المؤسسات المالية والهيئات الحكومية. وقمنا خلال تلك الفترة بتحديد وجود العديد من الصلات القائمة بين البنى التحتية لهذه الجماعة وأنظمة المؤسسات المستهدفة في أفغانستان وأستراليا وبلجيكا وكمبوديا وماليزيا وموزمبيق والفلبين وروسيا وفيتنام. وكان الإنجاز الأهم اكتشافنا استخدام الجماعة لبرمجية “بينج بول” PingPull وهي أداة حصان طروادة لدخول الأنظمة عن بُعد.
وتعتمد هذه البرمجية الخبيثة على ثلاث بروتوكولات إنترنت (هي ICMP وHTTP(S) وTCP) لأجل السيطرة والتحكم بالاتصالات مع الأنظمة المخترقة. ورغم أن استخدام بروتكول ICMP (بروتوكول رسائل التحكم في الإنترنت) كقناة لتمرير البيانات بالخفاء ليس بالأسلوب الجديد، إلا أن برمجية “بينج بول” تتبع هذا الأسلوب لجعل اكتشاف الاتصالات مع الأنظمة المخترقة أمرا أكثر صعوبة نظرا لأن القليل من المؤسسات تقوم بفحص محتويات حزم البيانات المنقولة بموجب بروتكول ICMP ضمن الشبكات العائدة لها.
ومن الجدير بالذكر أن عملاء «بالو ألتو نتوركس» يتمتعون بالحماية من التهديدات المذكورة بفضل باقة من منتجات الأمن الإلكتروني التي توفرها الشركة.
