كشفت تقارير حديثة عن عودة نشاط مجموعات القرصنة الإيرانية الحكومية، المعروفة بـ “أمير بلاد فارس”، بحملة تجسس سيبراني معقدة تستهدف البنية التحتية الحيوية والشبكات الخاصة حول العالم. وقد لوحظت هذه التحركات بعد فترة من الهدوء النسبي، مما يشير إلى تطور في أساليب المجموعة.
تعمل هذه المجموعة منذ بداية القرن الحادي والعشرين، وقد لجأت مؤخراً إلى تطوير برمجيات خبيثة جديدة للتسلل إلى الأنظمة المؤسسية وسرقة معلومات استخباراتية حساسة. تعكس هذه العمليات الأخيرة تطوراً ملحوظاً في الكفاءة التقنية، حيث تستخدم المجموعة تقنيات تهرب مبتكرة وبنى تحتية لامركزية للقيادة والتحكم (C2) لتجاوز الدفاعات الأمنية الحديثة.
أنشطة جديدة لـ “أمير بلاد فارس” تستهدف البنية التحتية الحيوية
بدأت الهجمات الجديدة غالباً عبر ملفات Microsoft Excel ضارة تحتوي على ملفات قابلة للتنفيذ مدمجة، مما يمثل تحولاً تكتيكياً عن اعتمادها السابق على المستندات التي تدعم وحدات الماكرو. غالباً ما يتم خداع الضحايا بهذه الملفات، التي عادة ما تكون مموهة على أنها تحديثات إدارية أو أخبار إقليمية، لتهريب هذه الملفات الضارة وتجاوز محركات مكافحة الفيروسات القياسية.
بمجرد تفاعل الضحية مع الملف، تقوم البرمجية الخبيثة بتثبيت برنامج “Foudre” الخبيث، الذي يمثل الباب الخلفي الرئيسي، لتأسيس وجود أولي داخل الشبكة المخترقة. ومع ذلك، تظهر المجموعة أيضاً تطوراً في أساليبها، مستخدمة برمجيات مثل “Tonnerre” لتعزيز قدراتها.
تمكن محللو SafeBreach من تحديد هذا النشاط المتجدد بعد فترة كمون دامت ثلاث سنوات، مشيرين إلى انتقال المجموعة إلى ممارسات أمن تشغيلية أكثر مرونة. وسلطت الأبحاث الضوء على استخدام المجموعة لعائلات مميزة من البرمجيات الخبيثة، وهي Foudre و Tonnerre، التي تتميز الآن بقدرات متقدمة للمحافظة على التموضع وسرقة البيانات.
ربط التحقيق أيضاً العملية بشخصية محددة، تُعرف بـ “Ehsan”، مما يشير إلى إدارة مركزية وعمل بشري للبنية التحتية للحملة، وهو ما يعكس جهوداً منظمة لتعزيز حملات التجسس السيبراني.
التحليل التقني لعملية التسلل والتواصل مع خوادم القيادة والتحكم
يتجلى التعقيد التقني لهذه الحملة بشكل واضح في نشر نسختي Foudre v34 و Tonnerre v50. تعتمد Foudre v34 على عملية تحميل معقدة متعددة المراحل، حيث يقوم برنامج DLL، الذي تم التعرف عليه باسم Conf8830.dll، بتنفيذ دالة تصدير محددة تسمى f8qb1355.
تقوم هذه الدالة باستدعاء ملف DLL مموه، d232، الذي يتنكر كملف فيديو MP4 لخداع المستخدمين وأدوات الأمان الآلية. يعمل هذا التمويه على تسهيل اختراق الأجهزة دون إثارة الشكوك، مما يزيد من فعالية الهجوم.
بعد التنفيذ الناجح، تقوم البرمجية الخبيثة بإنشاء آلية للمحافظة على التواجد وبدء الاتصال بخوادم القيادة والتحكم باستخدام اسم نطاق تم إنشاؤه ديناميكياً. خوارزمية توليد النطاقات (DGA) مميزة بشكل خاص، حيث تقسم العملية إلى مرحلتين. المرحلة الأولى تحسب مجموع تحقق CRC32 بناءً على سلسلة بتنسيق تاريخي، مثل LOS1{}{}{}.format(date.year, date.month, weeknumber).
تُحول المرحلة الثانية هذا الناتج إلى اسم مضيف فريد مكون من ثمانية أحرف. علاوة على ذلك، تقدم سلالة Tonnerre v50 آلية إعادة توجيه فريدة تتضمن Telegram. بدلاً من بروتوكولات FTP التقليدية، تتواصل البرمجية الخبيثة مع روبوت Telegram لتلقي الأوامر.
يعتمد التواصل مع خوادم القيادة والتحكم على طلبات HTTP GET محددة للتحقق من صحة أجهزة الضحايا. يرسل Foudre v34 معرّفاً فريداً إلى الخادم باستخدام البنية التالية:
https://
يمنح هذا التحكم الدقيق المهاجمين القدرة على ترقية أو إزالة الإصابات بشكل انتقائي، مما يضمن بقاء عملياتهم غير مكتشفة مع الحفاظ على إمكانية الوصول طويل الأجل إلى أهداف ذات قيمة عالية. وتؤكد هذه القدرات على أهمية تطوير حلول أمن سيبراني متقدمة لمواجهة التهديدات المتطورة.