إيران تجند قراصنة لتنفيذ هجمات الكترونية ضد السعودية وأمريكا
الأربعاء - 19 ديسمبر 2018
Wed - 19 Dec 2018
لم تتوقف القرصنة الإيرانية التي ترعاها الدولة، والتي استهدفت باستمرار جيرانها في الشرق الأوسط، وركزت في الغالب على قطاع الطاقة، ودفعت موجة الهجمات الرقمية الأخيرة بعض المحللين الأمنيين إلى القول بأن المتسللين الإيرانيين الذين ترعاهم الدولة ربما زادوا هجماتهم الرقمية ضد الولايات المتحدة وأوروبا، بعد ما أثارت ذلك التصرفات الأمريكية بإعادة فرض العقوبات وانسحاب الرئيس دونالد ترمب من الاتفاق النووي بحسب موقع Wired .
يقول الزميل في قسم تكنولوجيا وتقنيات الأمن في سيمانتيك إريك شين، «إذا نظرت إلى هذه المجموعات، فإنها لا تخترق المال، فما تفعله هو دوافع الدولة القومية، وإذا استمررنا في رؤية القضايا الجيوسياسية في الشرق الأوسط، فإنك بالتأكيد ستشهد هجمات متواصلة، وإذا بدأت هذه القضايا الجيوسياسية في الحل، عندها سترى أنها تخف، وترتبط بشكل كبير بما يحدث في العالم الجيوسياسي».
هجمة أرامكو
تأتي أكبر صلة محتملة مباشرة لإيران من موجة جديدة من الهجمات باستخدام نوع من الفيروس المدمر الشهير المعروف باسم شمعون، الذي استخدم في هجوم عام 2012 على شركة النفط السعودية السعودية أرامكو، بإزالة الترسبات والتخلص من الخوادم والحواسيب الشخصية التي تصيبها، مما يمنح المهاجمين حق الوصول إلى معلومات الهدف بينما يعيثون فسادا في أنظمته.
وكان أحد الضحايا حتى الآن شركة النفط الإيطالية سايبم، وتقول الشركة إنها ستكون قادرة على التعافي من الحادث دون فقدان البيانات، لكنها لن تقول من تشتبه في أنه وراء الهجوم. أرامكو السعودية هي زبون كبير من سايبم.
يقول الباحثون الذين تابعوا «شمعون» لسنوات إن البديل الجديد له أوجه تشابه مع سابقه، ونسب إلى قراصنة إيرانيين ترعاهم الدولة، هذا لا يعني بشكل قاطع أن هذا البرنامج الضار الجديد تم إنشاؤه من قبل الفاعل نفسه، لكن المحللون يقولون حتى الآن إن هجمات شمعون الجديدة تذكر بالاعتداءات الماضية.
يتتبع ذلك تعليقات سايبم العلنية حول الحادث، إضافة إلى بحث سيمانتيك الذي يشير إلى أن شمعون ضرب منظمتين أخريين للغاز والنفط في الأسبوع نفسه، واحدة في السعودية والأخرى في الإمارات، وحلل باحثون في شركة أنومالي الأمنية عينة شمعون الجديدة التي قد تكون من موجة ثانية من الهجمات. ويقول محللون في شركة Crowd strike للاستخبارات التهديدية إنهم رأوا أدلة على وقوع ضحايا متعددين في الآونة الأخيرة.
نشاط شمعون
نشاط شمعون الأخير هو استمرار لظهور البرمجيات الخبيثة في 2016 و2017، وفقا لنائب رئيس Crowd strike آدم مايرز، ولكن ظهر إصدار جديد في 2016 يمكن تعديله ليكون له توليفات مختلفة من الوظائف.
وظائف شمعون المعدل:
- تشفير الملفات والكتابة فوقها
- تدمير جهاز التمهيد
- مسح محركات الأقراص الثابتة المرفقة
- تدمير نظام التشغيل
- مسح الملفات الخاصة ذات الأولوية
وترى الشركة أن الهجمات الأخيرة استفادت من هذه المرونة، بدلا من تمثيل جيل جديد من البرمجيات الخبيثة التي تقول إنها تقوي الصلة مع إيران. ووصفت شركات أخرى البرمجيات الخبيثة المستخدمة في هذه الهجمات الأخيرة بـ «شمعون 3»، مما يوحي بأنها الجيل التالي منه.
واجه تقييم حوادث شمعون عدم وضوح الرؤية في كيفية نشر المتسللين للفيروس على نظام مستهدف، حيث إنها تظهر من العدم، وتسقط البرمجيات الخبيثة دون ترك الكثير من أثر كيفية ظهورها لأول مرة على الشبكة وتوسيع نطاق وصولها.
ويضيف شين «إن هناك بعض الأدلة على أن المجموعات الأخرى ذات الصلة قد تحصد أوراق الاعتماد ومعلومات أخرى من الأهداف مقدما، ثم تنقلها إلى مجموعة «شمعون» لتسهيل الدخول إليها.
في مكان آخر عززت مجموعة قرصنة بارزة تعرف باسم Charming Kitten، أنشطتها أيضا وغالبا ما ترتبط بإيران، وهي معروفة بحملات التصيد العدوانية الموجهة التي تهدف إلى جمع أكبر قدر ممكن من بيانات اعتماد تسجيل الدخول.
والمجموعة أكثر نشاطا باستمرار من المهاجمين وراء شمعون، لكنها لا تزال تدور خلال فترات أكثر هدوءا تتبعها فترات من العمل المتزايد.
ونشرت مؤسسة الأوراق المالية البريطانية «Certfa» نتائج الأسبوع الماضي حول هجمات «Charming Kitten» المحتملة ضد مسؤولين في وزارة الخزانة الأمريكية، و»واشنطن دي سي» - هدف مفضل لدى «Charming Kitten» - مجموعات دبلوماسية وغيرها.
يقول مايرز من كرودستراك «لقد استهدفت إيران الغرب من قبل وستواصل ذلك. ومن الواضح أن بعض المجموعات المسؤولة عن فرض العقوبات ضد إيران، مثل وزارة الخزانة، ستكون هدفا واضحا لهم».
ومع ذلك، لم ينسب أحدث نشاط Charming Kitten بشكل قاطع إلى إيران، أما القراصنة الآخرون الذين يبدو أنهم نشطون الآن - مثل المجموعة APT 33 - فقد كانوا مرتبطين سابقا بإيران، لكنهم لم يكونوا مرئيين بشكل كاف في الأشهر الأخيرة حتى يتأكد المحللون من أصل المبادرات الجديدة، بالإضافة إلى ذلك، لا يزال الباحثون يناقشون النية وراء هجمات شمعون الأخيرة.
«إن اللاعبين الذين يقفون وراء شمعون لديهم هذا النوع من العادة في الابتعاد سنوات وبين الحين ثم يظهر فجأة مرة أخرى، ثم عندما يظهرون يضربون حفنة من المنظمات، ثم يختفون مرة أخرى».
«بالنسبة لبعض المجموعات فإن الكثير من الأدلة على وجود صلة بإيران تنظر إلى ملامح الضحية، وهي في الأساس كل بلد في الشرق الأوسط باستثناء إيران، وبالتأكيد تبدو المملكة العربية السعودية دائما في هذا المزيج كهدف، لذلك هذا النوع من الأشياء ليس رابطا صعبا في حد ذاته، ولكن إذا نظرت إلى نشاط شمعون وحده، يمكنك القول إن القرصنة الإيرانية قد ارتفعت».
إريك شين - زميل قسم التكنولوجيا وتقنيات الأمن في سيمانتيك
يقول الزميل في قسم تكنولوجيا وتقنيات الأمن في سيمانتيك إريك شين، «إذا نظرت إلى هذه المجموعات، فإنها لا تخترق المال، فما تفعله هو دوافع الدولة القومية، وإذا استمررنا في رؤية القضايا الجيوسياسية في الشرق الأوسط، فإنك بالتأكيد ستشهد هجمات متواصلة، وإذا بدأت هذه القضايا الجيوسياسية في الحل، عندها سترى أنها تخف، وترتبط بشكل كبير بما يحدث في العالم الجيوسياسي».
هجمة أرامكو
تأتي أكبر صلة محتملة مباشرة لإيران من موجة جديدة من الهجمات باستخدام نوع من الفيروس المدمر الشهير المعروف باسم شمعون، الذي استخدم في هجوم عام 2012 على شركة النفط السعودية السعودية أرامكو، بإزالة الترسبات والتخلص من الخوادم والحواسيب الشخصية التي تصيبها، مما يمنح المهاجمين حق الوصول إلى معلومات الهدف بينما يعيثون فسادا في أنظمته.
وكان أحد الضحايا حتى الآن شركة النفط الإيطالية سايبم، وتقول الشركة إنها ستكون قادرة على التعافي من الحادث دون فقدان البيانات، لكنها لن تقول من تشتبه في أنه وراء الهجوم. أرامكو السعودية هي زبون كبير من سايبم.
يقول الباحثون الذين تابعوا «شمعون» لسنوات إن البديل الجديد له أوجه تشابه مع سابقه، ونسب إلى قراصنة إيرانيين ترعاهم الدولة، هذا لا يعني بشكل قاطع أن هذا البرنامج الضار الجديد تم إنشاؤه من قبل الفاعل نفسه، لكن المحللون يقولون حتى الآن إن هجمات شمعون الجديدة تذكر بالاعتداءات الماضية.
يتتبع ذلك تعليقات سايبم العلنية حول الحادث، إضافة إلى بحث سيمانتيك الذي يشير إلى أن شمعون ضرب منظمتين أخريين للغاز والنفط في الأسبوع نفسه، واحدة في السعودية والأخرى في الإمارات، وحلل باحثون في شركة أنومالي الأمنية عينة شمعون الجديدة التي قد تكون من موجة ثانية من الهجمات. ويقول محللون في شركة Crowd strike للاستخبارات التهديدية إنهم رأوا أدلة على وقوع ضحايا متعددين في الآونة الأخيرة.
نشاط شمعون
نشاط شمعون الأخير هو استمرار لظهور البرمجيات الخبيثة في 2016 و2017، وفقا لنائب رئيس Crowd strike آدم مايرز، ولكن ظهر إصدار جديد في 2016 يمكن تعديله ليكون له توليفات مختلفة من الوظائف.
وظائف شمعون المعدل:
- تشفير الملفات والكتابة فوقها
- تدمير جهاز التمهيد
- مسح محركات الأقراص الثابتة المرفقة
- تدمير نظام التشغيل
- مسح الملفات الخاصة ذات الأولوية
وترى الشركة أن الهجمات الأخيرة استفادت من هذه المرونة، بدلا من تمثيل جيل جديد من البرمجيات الخبيثة التي تقول إنها تقوي الصلة مع إيران. ووصفت شركات أخرى البرمجيات الخبيثة المستخدمة في هذه الهجمات الأخيرة بـ «شمعون 3»، مما يوحي بأنها الجيل التالي منه.
واجه تقييم حوادث شمعون عدم وضوح الرؤية في كيفية نشر المتسللين للفيروس على نظام مستهدف، حيث إنها تظهر من العدم، وتسقط البرمجيات الخبيثة دون ترك الكثير من أثر كيفية ظهورها لأول مرة على الشبكة وتوسيع نطاق وصولها.
ويضيف شين «إن هناك بعض الأدلة على أن المجموعات الأخرى ذات الصلة قد تحصد أوراق الاعتماد ومعلومات أخرى من الأهداف مقدما، ثم تنقلها إلى مجموعة «شمعون» لتسهيل الدخول إليها.
في مكان آخر عززت مجموعة قرصنة بارزة تعرف باسم Charming Kitten، أنشطتها أيضا وغالبا ما ترتبط بإيران، وهي معروفة بحملات التصيد العدوانية الموجهة التي تهدف إلى جمع أكبر قدر ممكن من بيانات اعتماد تسجيل الدخول.
والمجموعة أكثر نشاطا باستمرار من المهاجمين وراء شمعون، لكنها لا تزال تدور خلال فترات أكثر هدوءا تتبعها فترات من العمل المتزايد.
ونشرت مؤسسة الأوراق المالية البريطانية «Certfa» نتائج الأسبوع الماضي حول هجمات «Charming Kitten» المحتملة ضد مسؤولين في وزارة الخزانة الأمريكية، و»واشنطن دي سي» - هدف مفضل لدى «Charming Kitten» - مجموعات دبلوماسية وغيرها.
يقول مايرز من كرودستراك «لقد استهدفت إيران الغرب من قبل وستواصل ذلك. ومن الواضح أن بعض المجموعات المسؤولة عن فرض العقوبات ضد إيران، مثل وزارة الخزانة، ستكون هدفا واضحا لهم».
ومع ذلك، لم ينسب أحدث نشاط Charming Kitten بشكل قاطع إلى إيران، أما القراصنة الآخرون الذين يبدو أنهم نشطون الآن - مثل المجموعة APT 33 - فقد كانوا مرتبطين سابقا بإيران، لكنهم لم يكونوا مرئيين بشكل كاف في الأشهر الأخيرة حتى يتأكد المحللون من أصل المبادرات الجديدة، بالإضافة إلى ذلك، لا يزال الباحثون يناقشون النية وراء هجمات شمعون الأخيرة.
«إن اللاعبين الذين يقفون وراء شمعون لديهم هذا النوع من العادة في الابتعاد سنوات وبين الحين ثم يظهر فجأة مرة أخرى، ثم عندما يظهرون يضربون حفنة من المنظمات، ثم يختفون مرة أخرى».
«بالنسبة لبعض المجموعات فإن الكثير من الأدلة على وجود صلة بإيران تنظر إلى ملامح الضحية، وهي في الأساس كل بلد في الشرق الأوسط باستثناء إيران، وبالتأكيد تبدو المملكة العربية السعودية دائما في هذا المزيج كهدف، لذلك هذا النوع من الأشياء ليس رابطا صعبا في حد ذاته، ولكن إذا نظرت إلى نشاط شمعون وحده، يمكنك القول إن القرصنة الإيرانية قد ارتفعت».
إريك شين - زميل قسم التكنولوجيا وتقنيات الأمن في سيمانتيك