گروه هکری که به دفاعیات آنلاین خردهفروشی بریتانیایی مارکس و اسپنسر (Marks and Spencer) نفوذ کرد، ماههاست که در حال چیدن تلههای دیجیتالی بوده تا کارمندان بزرگترین برندهای جهان را فریب دهد و رمزهای عبورشان را به دست آورد.
گروه پراکنده عنکبوت (Scattered Spider) — که متخصصان امنیت سایبری آن را گروهی جنایتکار متشکل از کلاهبرداران مرد انگلیسیزبان و فحاش توصیف میکنند — در حال ثبت وبسایتهایی با نامهای شرکتی تقریباً یکسان و تقویت ابزارهای بدافزاری خود مشاهده شدهاند.
اما حرکت اصلی آنها، تحقیق جامع درباره کارمندان شرکتها و سپس جعل هویت موفقیتآمیز آنها در تماس تلفنی است تا همکاران دیگر را فریب دهند و اطلاعات لازم برای آغاز یک حمله سایبری را از آنها بگیرند.
این ترکیب از تلههای آنلاین و فریبکاری در دنیای واقعی منجر به برخی از معروفترین هکهای سالهای اخیر شده است، از جمله حمله سال 2023 به MGM Casinos and Resorts در لاسوگاس که هتلهای نوار معروف شهر را تعطیل کرد.
آنها ماه گذشته به M&S نفوذ کردند و این خردهفروش بریتانیایی را با زیانی تا 300 میلیون پوند در سود عملیاتی و کاهش بیش از 600 میلیون پوند در ارزش بازار خود، با بحران مواجه کردند.
مسئله فقط پول نیست. کسانی که گروه Scattered Spider را مطالعه کردهاند میگویند که اعضای آن به یک مزیت دیگر نیز علاقهمند هستند: اعتبار و شهرت.
چارلز کارماکال (Charles Carmakal)، مدیر ارشد فناوری در Mandiant Consulting، گفت: «آنها صرفاً با انگیزه مالی کار نمیکنند؛ آنها به قدرت و توجه رسانههای اصلی علاقه دارند.»
این هکرها در صنعت رو به رشد «باجافزار» جنایتکارانه پیشرو هستند. طبق گزارش Chainalysis، شرکتی که بلاکچینها را بررسی میکند، تنها در سال 2023، قربانیان حداقل 1 میلیارد دلار به گروههایی که اطلاعاتشان را به گروگان گرفته بودند، پرداخت کردند.
تاکتیکها در سالهای اخیر تکامل یافتهاند به طوری که هکرها تخصصهای خاصی پیدا کردهاند. گروه Scattered Spider از جمله گروههایی است که بر نفوذ اولیه تمرکز دارد. برخی کیتهای نرمافزاری را میفروشند که دادههای حیاتی را رمزگذاری میکنند. برخی دیگر بر درخواستهای باج که ماهها به طول میانجامند و در آن با مذاکرهکنندگان باتجربه، اغلب از ارائهدهندگان بیمه، روبرو میشوند، تمرکز دارند. حتی اگر پرداختها زیاد باشد، هر گروه فقط سهمی از آن را دریافت میکند.
گروه Scattered Spider کار مذاکره برای دریافت سهم خود را به یک گروه باجافزار دیگر به نام Dragon Force واگذار کرده است. به گفته فردی که نماینده هکرها است، اگر M&S باج را پرداخت کند، Dragon Force دادههای اختصاصی شرکت را باز یا حذف خواهد کرد. تا کنون، هیچ نشانهای مبنی بر تسلیم M&S در برابر این باجخواهی وجود ندارد.
M&S، که با نهادهای مجری قانون و سازمانهای دولتی همکاری میکند، اظهار داشت: «ما نمیتوانیم وارد جزئیات یا گمانهزنی در مورد این حادثه شویم و به ما توصیه شده است که چنین نکنیم.»
گروه Scattered Spider به سرعت به سراغ اهداف دیگر رفت. زک ادواردز (Zach Edwards)، پژوهشگر تهدید از گروه اطلاعات سایبری Silent Push در ویرجینیا، که آمادهسازیهای آنلاین این هکرها را زیر نظر داشته است، گفت که در ماههای اخیر سعی کرده بود به بسیاری از اهداف احتمالی دیگر هشدار دهد.
این اهداف شامل ساعتساز Audemars Piguet، پلتفرم همسریابی Tinder، خانه مد Louis Vuitton، ناشران Forbes و News Corp و حتی ساندویچفروشی Chick-fil-A میشوند. هیچ مدرکی دال بر نفوذ موفقیتآمیز این هکرها به دفاعیات سایبری آن شرکتها وجود ندارد. هیچیک از آنها به درخواستها برای اظهار نظر پاسخ ندادند.
اما درست پس از عید پاک، تلفنها در میزهای پشتیبانی خردهفروشان آمریکایی شروع به زنگ زدن کردند. طبق گفته چندین متخصص امنیت سایبری که برای کمک به رفع نشتها فراخوانده شدهاند، تماسها احتمالاً از طرف هکرهای Scattered Spider بودهاند که خود را کارمند جا زدهاند.
کارماکال از Mandiant که متعلق به گوگل است و تماسهای اضطراری از شرکتها دریافت میکرد که «به ما میگفتند با یک حمله فعال در حال مقابله هستند»، گفت: «آنها تمایل دارند برای چند هفته به مجموعهای از شرکتها در یک بخش خاص حمله کنند قبل از اینکه به سراغ بخش دیگری بروند.»
در حالی که M&S هنوز دقیقاً مشخص نکرده است که سیستمهایشان چگونه مورد نفوذ قرار گرفتهاند، شرکت Dynarisk مستقر در لندن، که تهدیدات آنلاین را رصد میکند، گفت که اطلاعات ورود به سیستم (credentials) به خطر افتاده از خردهفروشان بزرگ بریتانیا در انجمنهای آنلاین با پول معامله میشدند.
گروه Scattered Spider بیشتر به دلیل تسلط بر ترفندی به نام «مهندسی اجتماعی» شناخته شده است، که در آن آثار آنلاین به جا مانده توسط کارمندان میانرده در شرکتهای بزرگ را مطالعه میکنند تا بتوانند از نگهبانان میز پشتیبانی عبور کنند.
ادواردز از Silent Push گفت: «آنها یک هدف — شاید یک توسعهدهنده ارشد — را برای جعل هویت انتخاب میکنند، بنابراین ممکن است نام خانوادگی دوشیزگی، آدرس منزل او را بدانند، شاید از قبل یک پروفایل کارگزاری داده در مورد آن شخص خریداری کرده باشند.»
در حملات قبلی، هکرها خود را به جای کارمندان فناوری اطلاعات جا میزدند، زیرا حسابهای آنها امتیازاتی دارند که به آنها اجازه میدهد به سرعت در زیرساختهای فناوری شرکت حرکت کنند. هنگامی که Scattered Spider به MGM نفوذ کرد، رمز عبور قدیمی یکی از کارمندان فناوری اطلاعات، تغییریافتهای از نام گربهاش بود، طبق مجموعهای از دادهها که به صورت آنلاین فروخته شده و توسط FT مشاهده شده است.
«سلام، به نظر میرسد ایمیلم قفل شده است — آیا میتوانید همین الان کمک کنید یا باید در ساعات کاری تماس بگیرم؟» این صدای مردی با لهجه آمریکایی است که در یک فایل صوتی به FT از طریق تلگرام توسط فردی ارسال شده که ادعا میکند برای انجام کارهای صوتی برای Scattered Spider استخدام شده است.
این شخص گفت که به او با کسری از ارز دیجیتال اتریوم پرداخت شده، اما آخرین قسط هرگز نرسید. این شخص در کانالی در تلگرام که پر از میمهای نژادپرستانه بود، در مورد عدم پرداخت کامل گلایه کرد و گفت که اطلاعات ورود به یک شماره Google Voice به او داده شده بود که سپس از آن برای تماس با میز پشتیبانی یک ارائهدهنده بزرگ مخابراتی در آمریکا استفاده کرده است.
این فرد حساب تلگرام خود را پس از درخواست FT برای شواهد بیشتر در مورد همکاری با Scattered Spider حذف کرد. اما منطقی است که هکرها کسی را استخدام کنند تا از یک اسکریپت پیروی کند، زیرا داشتن صدای خودشان روی نوار، پیگرد قانونی آنها را آسانتر میکند.
هکرها ظاهراً هویت خود را از یکدیگر پنهان میکنند و در ارتباطات داخلی خود یکدیگر را Spider1، Spider2 و غیره مینامند، طبق گفته عضوی که در هک MGM در سال 2023 با FT صحبت کرد.
این موضوع مانع از ردیابی حداقل چند نفر از آنها توسط مجریان قانون نشده است. برخلاف گروههای هکری که در بلاروس یا روسیه — خارج از دسترس FBI یا یوروپل — فعالیت میکنند، «عنکبوتها»ی انگلیسیزبان معمولاً در غرب زندگی میکنند.
مجموعهای از دستگیریها در سال گذشته در اسپانیا، ایالات متحده و بریتانیا موقتاً فعالیت این گروه را مختل کرد. پس از یک وقفه، Scattered Spider دوباره به فعالیت بازگشته و از مرکز توجه لذت میبرد. یک شرکت امنیت سایبری که در مطالعه آنها تخصص دارد، CrowdStrike، در حال فروش فیگورهای اکشن از این گروه هکری بوده است.
قبل از حذف حساب خود، فردی که ادعا میکرد با هکرها کار میکند، گفت تمام چیزی که میخواست «یک سواری عالی با یک عنکبوت (Sp1DeR)» بود و یک عبارت رایج در کانال تلگرام را اضافه کرد: «شیطنت پیش از پول.»
گزارش تکمیلی توسط لورا اونیتا و کیران اسمیت