الإيرانيون يسرقون 80 موقعا خليجيا
وزارة العدل تتهم 4 أشخاص من الحرس الثوري بالتجسس الرقمي يستخدمون بيانات مسروقة للوصول إلى رسائل البريد الخاصة بضحاياهم
وزارة العدل تتهم 4 أشخاص من الحرس الثوري بالتجسس الرقمي يستخدمون بيانات مسروقة للوصول إلى رسائل البريد الخاصة بضحاياهم
الثلاثاء - 05 مارس 2019
Tue - 05 Mar 2019
فيما ضربت الهجمات الإيرانية الخبيثة مواقع 6 وكالات اتحادية في الولايات المتحدة الأمريكية، وصل جواسيس الشبكة العنكبوتية إلى 80 هدفا في الخليج العربي، حيث يتسللون في جنح الظلام باستخدام بيانات مسروقة للوصول إلى رسائل البريد الخاصة بضحاياهم.
وكشف تقرير صدر أخيرا من شركة الأمن الخاصة FireEye أن الشركات والوكالات الحكومية في الولايات المتحدة تعرضت لهجمات عنيفة من قبل قراصنة إيرانيين وصينيين يعتقد خبراء أمنيون أنها حدثت بسبب انسحاب الرئيس دونالد ترمب من الصفقة النووية الإيرانية في العام الماضي، إضافة إلى صراعاته التجارية مع الصين.
من الصعب تحديد عدد الهجمات التجسسية الصناعية، لكنها صممت في الغالب لسرقة الأسرار التجارية الاستراتيجية، وليس نوع المعلومات الشخصية عن العملاء والموظفين الذين يتعين على الشركات الكشف عنها.
هاكرز إيراني
كانت الهجمات الإيرانية الأخيرة على البنوك الأمريكية والشركات والوكالات الحكومية أكبر، حيث ضرب الهاكرز العشرات من الشركات والوكالات المتعددة في الولايات المتحدة، ودفعت الهجمات المنسوبة إلى إيران من قبل محللين في وكالة الأمن القومي وشركة الأمن الخاصة FireEye، إلى جعل الأمر طارئ من قبل وزارة الأمن الداخلي خلال إغلاق الحكومة الشهر الماضي.
وتزامنت الهجمات الإيرانية مع هجوم صيني متجدد موجه نحو سرقة الأسرار التجارية والعسكرية من العسكريين الأمريكيين وشركات التكنولوجيا، وفقا لما ذكره تسعة من مسؤولي المخابرات وباحثين أمنيين خاصين ومحامين مطلعين على الهجمات، والذين ناقشوا الأمر شريطة عدم الكشف عن هويتهم بسبب سرية الاتفاقات.
وجاء في موجز التقارير أن بوينغ وجنرال الكتريك للطيران وتي موبايل كانت من بين الأهداف الأخيرة لجهود التجسس الصناعي الصيني، ورفضت الشركات جميعا مناقشة التهديدات، وليس من الواضح ما إذا كان أي من الخاطفين نجح في مسعاه.
التصدي للهجوم
تحاول الوكالات الفيدرالية مواجهة حملات تجسس إيرانية جديدة، فبعد انسحاب إدارة ترمب من الصفقة النووية، شهدت كيرستجن نيلسن وزير الأمن الداخلي أمام الكونجرس بأن وكالتها «توقعت إمكانية» أن تلجأ إيران إلى هجمات القرصنة.
وما زالت الهجمات الإيرانية، التي ضربت أكثر من 6 وكالات اتحادية في الشهر الماضي، تصيب الإدارة بالحذر، وقال باحثون أمنيون إن الاختراقات التي تستغل نقاط الضعف الكامنة في العمود الفقري لشبكة الانترنت مستمر، ويتواصل أكثر ضررا وانتشارا مما أقر به مسؤولو الوكالة.
وبدأ المتسللون الإيرانيون أحدث موجة من الهجمات في دول الخليج العربي في العام الماضي، ومنذ ذلك الحين، وصلت إلى 80 هدفا، بما في ذلك مقدمو خدمات الانترنت وشركات الاتصالات السلكية واللا سلكية والوكالات الحكومية في 12 دولة أوروبية، إضافة إلى الولايات المتحدة الأمريكية.
ويتبع الإيرانيون خطة جديدة، فبدلا من ضرب الضحايا مباشرة، يقول الباحثون إن المتسللين الإيرانيين كانوا يتابعون نظام التوجيه الأساسي للإنترنت، حيث اعترضوا المرور بين ما يسمى مسجلي أسماء النطاق، وبمجرد اعتراضهم على حركة زيارات العملاء للهدف، استخدموا بيانات اعتماد تسجيل الدخول المسروقة للوصول إلى رسائل البريد الالكتروني الخاصة بضحاياهم.
وقال بنجامين ريد وهو مدير كبير لتحليل المعلومات على الانترنت في FireEye «إنهم يأخذون صناديق بريد كاملة من البيانات»، وأضاف أن القراصنة الإيرانيين استهدفوا قوات الشرطة ووكالات الاستخبارات ووزارات الخارجية، مشيرا إلى حملة تجسس كلاسيكية تدعمها الدولة، وليس دافعا إجراميا يسعى إلى الربح.
حملة تجسس
أعلنت وزارة العدل لائحة اتهام ضد أخصائي الاستخبارات السابق في سلاح الجو، مونيكا ويت، بتهمة مساعدة إيران في حملة تجسس عبر الانترنت، كما اتهم أربعة من أعضاء الحرس الثوري لإيراني بـ «اقتحام أجهزة الكمبيوتر وسرقة الهوية المشددة» الموجهة إلى أعضاء مجتمع الاستخبارات في الولايات المتحدة.
وفي الأسبوع الماضي، قالت وزارة الخزانة إنها كانت تفرض عقوبات على شركتين إيرانيتين، هما منظمة نيو هورايزون وشركة نت بيجارد سامافات، والعديد من الأشخاص المرتبطين بهما. وقال مسؤولو وزارة الخزانة إن مؤسسة «نيو هورايزن» تقيم مؤتمرات سنوية يمكن لإيران من خلالها تجنيد وجمع المعلومات الاستخبارية من الحاضرين الأجانب.
وأثرت الهجمات الإيرانية الأخيرة المسؤولين الأمريكيين، ولكن بعد إصدار أمر الطوارئ بشأن الأمر الطارئ في الشهر الماضي، خفضتها وكالة الأمن السيبراني وأمن البنية التحتية التابعة لوزارة الأمن الوطني إلى حد كبير.
وقال مسؤول في وكالة الأمن السيبراني إن هناك اعتقادا بأنه لم تتم سرقة أي معلومات وأن الهجمات لم «تؤثر بشكل جوهري» على العمليات، ولكن هناك تصعيد ملحوظ في التجسس الرقمي الإيراني.
ويقول السيد برينر، المسؤول السابق في مكافحة التجسس «إذا أخبرت الإيرانيين بأنك ستنسحب من الاتفاق وأن تفعل كل ما بوسعك لتقويض حكومته، فلا يمكن أن تندهش إذا ما هاجمت شبكاتنا الحكومية».
قرصنة صينية
تباطأ التجسس الالكتروني الصيني قبل أربع سنوات بعد أن توصل الرئيس باراك أوباما والرئيس الصيني شي جين بينغ إلى اتفاق تاريخي لوقف عمليات الاختراق التي تهدف إلى سرقة الأسرار التجارية، ولكن هذه الاتفاقية ألغيت بشكل غير رسمي وسط التوتر التجاري المستمر بين الولايات المتحدة والصين، حسبما قال مسؤولو الاستخبارات والباحثون الأمنيون الخاصون.
وعاد المخترقون الصينيون إلى عملياتهم السابقة، على الرغم من أنهم أصبحوا الآن أكثر تعقيدا وأكثر تعقيدا.
تجسس روسي
لا تزال روسيا تعتبر الخصم الرئيسي لقرصنة أمريكا، إضافة إلى التدخل على نطاق واسع ونشر المعلومات المضللة خلال انتخابات الولايات المتحدة، ويعتقد أن قراصنة الكمبيوتر الروس شنوا هجمات على محطات نووية وشبكة كهربائية وأهداف أخرى.
وقال باحثون أمنيون ومحامون لحماية البيانات إن المتسللين الصينيين استأنفوا تنفيذ هجمات ذات دوافع تجارية، وقال الباحثون إن من أولويات المتسللين دعم خطة بكين الاقتصادية الخمسية التي تهدف إلى جعل الصين رائدة في مجال الذكاء الاصطناعي وغيرها من التقنيات المتطورة.
وذكر آدم سيجال مدير برنامج الفضاء الالكتروني في مجلس العلاقات الخارجية «بعض من جمع المعلومات الاستخبارية الأخيرة كان لأغراض عسكرية أو للتحضير لبعض الصراعات الالكترونية في المستقبل، ولكن كثير من عمليات السرقة الأخيرة كانت مدفوعة بمتطلبات الخطة الخمسية وغيرها من الاستراتيجيات التكنولوجية».
شركة نرويجية
كان الهدف الوحيد للقرصنة في مواجهة الوزارة علانية هو شركة فيسما (Visma)، وهي شركة نرويجية لخدمات الانترنت تضم 850،000 عميل. وهدف الهجوم عليها للوصول واسع النطاق إلى الملكية الفكرية لزبائنها وخططها الاستراتيجية ورسائل البريد الالكتروني، بما في ذلك شركات المحاماة الأمريكية التي تتعامل مع مسائل الملكية الفكرية للعملاء في قطاعات السيارات والطب الحيوي والأدوية والتقني.
كان من الصعب تعقب هجوم فيسما الذي بدأ عادة مع ما يسمى رسائل البريد الالكتروني spear phishing التي تهدف إلى سرقة أوراق الاعتماد الشخصية، وبدأ هذا الاعتداء بأوراق اعتماد مسروقة لخدمة طرف ثالث، وبدلا من استخدام البرمجيات الخبيثة التي يمكن تتبعها بسهولة إلى الصين، استخدم المهاجمون برمجيات خبيثة متوفرة على ما يسمى بـ «شبكة الويب المظلمة» التي يمكن أن تأتي من أي مكان. كما استخدموا خدمة التخزين عبر الانترنت Dropbox لنقل رسائل البريد الالكتروني والملفات المسروقة.
أساليب القراصنة:
وكشف تقرير صدر أخيرا من شركة الأمن الخاصة FireEye أن الشركات والوكالات الحكومية في الولايات المتحدة تعرضت لهجمات عنيفة من قبل قراصنة إيرانيين وصينيين يعتقد خبراء أمنيون أنها حدثت بسبب انسحاب الرئيس دونالد ترمب من الصفقة النووية الإيرانية في العام الماضي، إضافة إلى صراعاته التجارية مع الصين.
من الصعب تحديد عدد الهجمات التجسسية الصناعية، لكنها صممت في الغالب لسرقة الأسرار التجارية الاستراتيجية، وليس نوع المعلومات الشخصية عن العملاء والموظفين الذين يتعين على الشركات الكشف عنها.
هاكرز إيراني
كانت الهجمات الإيرانية الأخيرة على البنوك الأمريكية والشركات والوكالات الحكومية أكبر، حيث ضرب الهاكرز العشرات من الشركات والوكالات المتعددة في الولايات المتحدة، ودفعت الهجمات المنسوبة إلى إيران من قبل محللين في وكالة الأمن القومي وشركة الأمن الخاصة FireEye، إلى جعل الأمر طارئ من قبل وزارة الأمن الداخلي خلال إغلاق الحكومة الشهر الماضي.
وتزامنت الهجمات الإيرانية مع هجوم صيني متجدد موجه نحو سرقة الأسرار التجارية والعسكرية من العسكريين الأمريكيين وشركات التكنولوجيا، وفقا لما ذكره تسعة من مسؤولي المخابرات وباحثين أمنيين خاصين ومحامين مطلعين على الهجمات، والذين ناقشوا الأمر شريطة عدم الكشف عن هويتهم بسبب سرية الاتفاقات.
وجاء في موجز التقارير أن بوينغ وجنرال الكتريك للطيران وتي موبايل كانت من بين الأهداف الأخيرة لجهود التجسس الصناعي الصيني، ورفضت الشركات جميعا مناقشة التهديدات، وليس من الواضح ما إذا كان أي من الخاطفين نجح في مسعاه.
التصدي للهجوم
تحاول الوكالات الفيدرالية مواجهة حملات تجسس إيرانية جديدة، فبعد انسحاب إدارة ترمب من الصفقة النووية، شهدت كيرستجن نيلسن وزير الأمن الداخلي أمام الكونجرس بأن وكالتها «توقعت إمكانية» أن تلجأ إيران إلى هجمات القرصنة.
وما زالت الهجمات الإيرانية، التي ضربت أكثر من 6 وكالات اتحادية في الشهر الماضي، تصيب الإدارة بالحذر، وقال باحثون أمنيون إن الاختراقات التي تستغل نقاط الضعف الكامنة في العمود الفقري لشبكة الانترنت مستمر، ويتواصل أكثر ضررا وانتشارا مما أقر به مسؤولو الوكالة.
وبدأ المتسللون الإيرانيون أحدث موجة من الهجمات في دول الخليج العربي في العام الماضي، ومنذ ذلك الحين، وصلت إلى 80 هدفا، بما في ذلك مقدمو خدمات الانترنت وشركات الاتصالات السلكية واللا سلكية والوكالات الحكومية في 12 دولة أوروبية، إضافة إلى الولايات المتحدة الأمريكية.
ويتبع الإيرانيون خطة جديدة، فبدلا من ضرب الضحايا مباشرة، يقول الباحثون إن المتسللين الإيرانيين كانوا يتابعون نظام التوجيه الأساسي للإنترنت، حيث اعترضوا المرور بين ما يسمى مسجلي أسماء النطاق، وبمجرد اعتراضهم على حركة زيارات العملاء للهدف، استخدموا بيانات اعتماد تسجيل الدخول المسروقة للوصول إلى رسائل البريد الالكتروني الخاصة بضحاياهم.
وقال بنجامين ريد وهو مدير كبير لتحليل المعلومات على الانترنت في FireEye «إنهم يأخذون صناديق بريد كاملة من البيانات»، وأضاف أن القراصنة الإيرانيين استهدفوا قوات الشرطة ووكالات الاستخبارات ووزارات الخارجية، مشيرا إلى حملة تجسس كلاسيكية تدعمها الدولة، وليس دافعا إجراميا يسعى إلى الربح.
حملة تجسس
أعلنت وزارة العدل لائحة اتهام ضد أخصائي الاستخبارات السابق في سلاح الجو، مونيكا ويت، بتهمة مساعدة إيران في حملة تجسس عبر الانترنت، كما اتهم أربعة من أعضاء الحرس الثوري لإيراني بـ «اقتحام أجهزة الكمبيوتر وسرقة الهوية المشددة» الموجهة إلى أعضاء مجتمع الاستخبارات في الولايات المتحدة.
وفي الأسبوع الماضي، قالت وزارة الخزانة إنها كانت تفرض عقوبات على شركتين إيرانيتين، هما منظمة نيو هورايزون وشركة نت بيجارد سامافات، والعديد من الأشخاص المرتبطين بهما. وقال مسؤولو وزارة الخزانة إن مؤسسة «نيو هورايزن» تقيم مؤتمرات سنوية يمكن لإيران من خلالها تجنيد وجمع المعلومات الاستخبارية من الحاضرين الأجانب.
وأثرت الهجمات الإيرانية الأخيرة المسؤولين الأمريكيين، ولكن بعد إصدار أمر الطوارئ بشأن الأمر الطارئ في الشهر الماضي، خفضتها وكالة الأمن السيبراني وأمن البنية التحتية التابعة لوزارة الأمن الوطني إلى حد كبير.
وقال مسؤول في وكالة الأمن السيبراني إن هناك اعتقادا بأنه لم تتم سرقة أي معلومات وأن الهجمات لم «تؤثر بشكل جوهري» على العمليات، ولكن هناك تصعيد ملحوظ في التجسس الرقمي الإيراني.
ويقول السيد برينر، المسؤول السابق في مكافحة التجسس «إذا أخبرت الإيرانيين بأنك ستنسحب من الاتفاق وأن تفعل كل ما بوسعك لتقويض حكومته، فلا يمكن أن تندهش إذا ما هاجمت شبكاتنا الحكومية».
قرصنة صينية
تباطأ التجسس الالكتروني الصيني قبل أربع سنوات بعد أن توصل الرئيس باراك أوباما والرئيس الصيني شي جين بينغ إلى اتفاق تاريخي لوقف عمليات الاختراق التي تهدف إلى سرقة الأسرار التجارية، ولكن هذه الاتفاقية ألغيت بشكل غير رسمي وسط التوتر التجاري المستمر بين الولايات المتحدة والصين، حسبما قال مسؤولو الاستخبارات والباحثون الأمنيون الخاصون.
وعاد المخترقون الصينيون إلى عملياتهم السابقة، على الرغم من أنهم أصبحوا الآن أكثر تعقيدا وأكثر تعقيدا.
تجسس روسي
لا تزال روسيا تعتبر الخصم الرئيسي لقرصنة أمريكا، إضافة إلى التدخل على نطاق واسع ونشر المعلومات المضللة خلال انتخابات الولايات المتحدة، ويعتقد أن قراصنة الكمبيوتر الروس شنوا هجمات على محطات نووية وشبكة كهربائية وأهداف أخرى.
وقال باحثون أمنيون ومحامون لحماية البيانات إن المتسللين الصينيين استأنفوا تنفيذ هجمات ذات دوافع تجارية، وقال الباحثون إن من أولويات المتسللين دعم خطة بكين الاقتصادية الخمسية التي تهدف إلى جعل الصين رائدة في مجال الذكاء الاصطناعي وغيرها من التقنيات المتطورة.
وذكر آدم سيجال مدير برنامج الفضاء الالكتروني في مجلس العلاقات الخارجية «بعض من جمع المعلومات الاستخبارية الأخيرة كان لأغراض عسكرية أو للتحضير لبعض الصراعات الالكترونية في المستقبل، ولكن كثير من عمليات السرقة الأخيرة كانت مدفوعة بمتطلبات الخطة الخمسية وغيرها من الاستراتيجيات التكنولوجية».
شركة نرويجية
كان الهدف الوحيد للقرصنة في مواجهة الوزارة علانية هو شركة فيسما (Visma)، وهي شركة نرويجية لخدمات الانترنت تضم 850،000 عميل. وهدف الهجوم عليها للوصول واسع النطاق إلى الملكية الفكرية لزبائنها وخططها الاستراتيجية ورسائل البريد الالكتروني، بما في ذلك شركات المحاماة الأمريكية التي تتعامل مع مسائل الملكية الفكرية للعملاء في قطاعات السيارات والطب الحيوي والأدوية والتقني.
كان من الصعب تعقب هجوم فيسما الذي بدأ عادة مع ما يسمى رسائل البريد الالكتروني spear phishing التي تهدف إلى سرقة أوراق الاعتماد الشخصية، وبدأ هذا الاعتداء بأوراق اعتماد مسروقة لخدمة طرف ثالث، وبدلا من استخدام البرمجيات الخبيثة التي يمكن تتبعها بسهولة إلى الصين، استخدم المهاجمون برمجيات خبيثة متوفرة على ما يسمى بـ «شبكة الويب المظلمة» التي يمكن أن تأتي من أي مكان. كما استخدموا خدمة التخزين عبر الانترنت Dropbox لنقل رسائل البريد الالكتروني والملفات المسروقة.
أساليب القراصنة:
- اقتحام شبكات الموردين
- تجنب استخدام البرمجيات الخبيثة التي تنسب إلى الصين
- اعتمدوا على تشفير حركة المرور
- محو سجلات الخادم
- تكتيكات التشويش الأخرى
