كشفت أبحاث حديثة لفرق Symantec وCarbon Black Threat Hunter التابعة لشركة Broadcom عن أدلة تشير إلى اختراق مجموعة قراصنة إيرانية لشبكات عدة شركات أمريكية، بما في ذلك بنوك ومطارات ومنظمات غير ربحية، بالإضافة إلى الفرع الإسرائيلي لشركة برمجيات.
تعود هذه الأنشطة إلى مجموعة القراصنة المدعومة من الدولة والمعروفة باسم MuddyWater (المعروفة أيضاً باسم Seedworm)، وهي مرتبطة بوزارة الاستخبارات والأمن الإيرانية. ويُقدّر أن الحملة قد بدأت في أوائل فبراير، مع رصد أنشطة حديثة عقب الضربات العسكرية الأمريكية والإسرائيلية على إيران.
مجموعة MuddyWater تشن هجمات سيبرانية متطورة
وأشارت شركة الأمن في تقرير مشترك إلى أن شركة البرمجيات المستهدفة هي مورد لصناعات الدفاع والطيران، ولها تواجد في إسرائيل، ويبدو أن العمليات الإسرائيلية للشركة كانت الهدف الأساسي لهذه الأنشطة.
وقد وُجد أن الهجمات التي استهدفت شركة البرمجيات، بالإضافة إلى بنك أمريكي ومنظمة كندية غير ربحية، مهدت الطريق لوجود باب خلفي (backdoor) لم يكن معروفاً من قبل، يُسمى Dindoor. ويستخدم هذا الباب الخلفي Deno JavaScript runtime للتنفيذ. كما حددت Broadcom محاولة لسرقة البيانات من شركة البرمجيات باستخدام أداة Rclone وتخزينها في سحابة Wasabi. ومع ذلك، لم يُعرف بعد ما إذا كانت هذه المحاولة قد نجحت.
بالإضافة إلى ذلك، تم العثور في شبكات مطار أمريكي ومنظمة غير ربحية على باب خلفي منفصل مكتوب بلغة Python يُدعى Fakeset. تم تنزيله من خوادم تابعة لـ Backblaze، وهي شركة أمريكية لتخزين البيانات السحابية والنسخ الاحتياطي. كما تم استخدام الشهادة الرقمية التي تم استخدامها لتوقيع Fakeset لتوقيع برمجيات خبيثة أخرى مثل Stagecomp وDarkcomp، والتي ارتبطت سابقاً بمجموعة MuddyWater.
تزايد قدرات الجهات الفاعلة السيبرانية الإيرانية
وذكرت Symantec وCarbon Black أن استخدام نفس الشهادات الرقمية يشير إلى أن نفس الجهة الفاعلة – وهي Seedworm – تقف وراء الأنشطة التي تمت ملاحظتها على شبكات الشركات الأمريكية، على الرغم من عدم رؤية هذه البرمجيات الخبيثة على الشبكات المستهدفة مباشرة.
من جهة أخرى، أضحت الجهات الفاعلة الإيرانية في مجال التهديدات السيبرانية أكثر كفاءة في السنوات الأخيرة. لم تتحسن أدواتهم وبرمجياتهم الخبيثة فحسب، بل أظهروا أيضاً قدرات قوية في الهندسة الاجتماعية، بما في ذلك حملات التصيد الاحتيالي الموجه (spear-phishing) وعمليات “الفخ العاطفي” (honeytrap) التي تُستخدم لبناء علاقات مع أهداف ذات أهمية للحصول على حسابات أو معلومات حساسة.
تأتي هذه النتائج في سياق تصاعد الصراع العسكري في إيران، مما أدى إلى وابل من الهجمات السيبرانية في الفضاء الرقمي. كشفت أبحاث حديثة من Check Point عن تحرك مجموعة الهاكتفيست المؤيدة للفلسطينيين المعروفة باسم Handala Hack (المعروفة أيضاً باسم Void Manticore) عبر نطاقات IP لشبكة Starlink، وذلك لفحص التطبيقات المواجهة للإنترنت بحثاً عن تكوينات خاطئة وبيانات اعتماد ضعيفة.
في الأشهر الأخيرة، لوحظ أن العديد من الجهات المعتدية ذات الصلة بإيران، مثل Agrius (المعروفة أيضاً بـ Agonizing Serpens، Marshtreader، و Pink Sandstorm)، تقوم بمسح الكاميرات الأمنية وأنظمة الاتصال الداخلي عبر الفيديو من نوع Hikvision بحثاً عن ثغرات أمنية معروفة.
شددت الهجمات والجهود الاستغلالية ضد كاميرات IP في أعقاب الصراع الحالي في الشرق الأوسط. وقد شهدت هذه محاولات استغلال مكثفة في إسرائيل ودول الخليج، بما في ذلك دول مثل الإمارات العربية المتحدة وقطر والبحرين والكويت، بالإضافة إلى لبنان وقبرص. وقد استهدفت هذه الأنشطة كاميرات من شركتي Dahua وHikvision، مستخدمة ثغرات أمنية معروفة.
وأضافت الشركة: “مجتمعة، تتفق هذه النتائج مع التقييم القائل بأن إيران، كجزء من عقيدتها، تستغل اختراق الكاميرات للدعم التشغيلي وتقييم الأضرار اللاحقة للعمليات الصاروخية، وربما في بعض الحالات قبل إطلاق الصواريخ.”
وبالتالي، فإن تتبع نشاط استهداف الكاميرات من بنى تحتية محددة تم عزوها قد يكون بمثابة مؤشر مبكر على احتمال حدوث نشاط حركي لاحق.
وقد دفعت الحرب بين الولايات المتحدة وإسرائيل وإيران أيضاً إلى إصدار تحذير من المركز الكندي للأمن السيبراني (CCCS)، الذي نبه إلى أن إيران ستستخدم على الأرجح جهازها السيبراني لشن هجمات انتقامية ضد البنية التحتية الحيوية وعمليات المعلومات لتعزيز مصالح النظام.
بشكل عام، تظهر قدرات إيران الهجومية السيبرانية كأداة دولة راسخة لدعم جمع المعلومات، والتأثير الإقليمي، والإشارات الاستراتيجية خلال فترات التوتر الجيوسياسي. وتُعد الهوية والتحكم السحابي السطح الأساسي للهجوم. بدلاً من التركيز على استغلال الثغرات غير المعروفة أو البرمجيات الخبيثة الجديدة على نطاق واسع، يميل المشغلون الإيرانيون إلى التركيز على تقنيات الوصول المتكررة مثل سرقة بيانات الاعتماد، والرذاذ العشوائي لكلمات المرور، والهندسة الاجتماعية، متبوعة بالمثابرة عبر خدمات المؤسسات واسعة الانتشار.