عفاريت إيرانية تهدد 50 منظمة خليجية وأمريكية
سيمانتك 50 منظمة تعرضت للهجوم الالكتروني 42 % منها وجهت إلى شركات سعودية
سيمانتك 50 منظمة تعرضت للهجوم الالكتروني 42 % منها وجهت إلى شركات سعودية
الاثنين - 01 أبريل 2019
Mon - 01 Apr 2019
أعلنت الشركة العالمية المتخصصة في البرمجيات «سيمانتك» أنها عثرت على مجموعة تجسس الكترونية إيرانية تسمي نفسها العفاريت «Elfin»، تستهدف الإضرار بقطاعات البنية التحتية والطاقة والقدرات العسكرية لعدد من دول الخليج والولايات المتحدة الأمريكية وبعض دول العالم.
وأشار تقرير صادر عن موقع الشركة العالمية، إلى أن خطر القرصنة الإيرانية ما زال قائما، منذ أن أطلقت أعمالها الشريرة في أوائل 2015 واستهدفت ما يزيد على 50 منظمة ومؤسسة حكومية وخاصة، وباتت معروفة باسم APT33، وأطلق عليها موقع سيمانتك اسم إلفين، وترجمته بالعربية «العفاريت».
ولم يتوقف هجوم عفاريت إيران الالكتروني «وفقا للموقع» على السعودية التي استحوذت بمفردها على 42% من الهجمات، والولايات المتحدة الأمريكية التي نالت 34%، بل استهدف شركات في الإمارات العربية المتحدة والمغرب وبلجيكا وبريطانيا والصين وتايلاند.
الهجوم المستمر
رغم التركيز الشديد على الشرق الأوسط، إلا أن مجموعة إلفين أو «العفاريت» استهدفت عددا من المنظمات في الولايات المتحدة بما في ذلك الشركات الكبرى، وظلت نشطة للغاية على مدار الأعوام الثلاثة الماضية، حيث هاجمت ما لا يقل عن 50 منظمة في السعودية والولايات المتحدة الأمريكية ومجموعة من الدول الأخرى.
وأصبحت المجموعة نشطة لأول مرة في أواخر عام 2015 أو أوائل عام 2016، وتخصصت في المسح بحثا عن مواقع الويب الضعيفة واستخدامها لتحديد الأهداف المحتملة، إما للهجمات أو لإنشاء بنية تحتية للقيادة والتحكم.
تعرضت مجموعات واسعة للخطر بعد استهدافها من قبل المجموعة الإيرانية، بما في ذلك المواقع الحكومية إلى جانب المنظمات في مجال البحوث، والكيمياء، والهندسة، والتصنيع، والاستشارات، والتمويل، والاتصالات، وعدد من القطاعات الأخرى.
وقال جون ديماجيو، كبير محللي الاستخبارات في سيمانتك «يبدو أن هدف إلفين التخريب. سيمانتك منعت البرامج الضارة ولم تمكنهم من محاولة التسلل».
استغلال الضعف
في موجة من الهجمات الأخيرة خلال فبراير 2019، حاول إلفين استغلال ثغرة أمنية معروفة (CVE-2018-20250) في برنامج WinRAR، المتلعق بإداة أرشفة الملفات وضغط الملفات المستخدمة على نطاق واسع، القادرة على إنشاء ملفات أرشيف استخراج ذاتي، وتم استغلالها ضد هدف واحد في قطاع الكيماويات ببعض دول الخليج، وإذا تم استغلالها بنجاح على جهاز كمبيوتر غير مودع، فإن الثغرة الأمنية قد تسمح للمهاجم بتثبيت أي ملف على الكمبيوتر، مما يسمح فعليا بتنفيذ التعليمات البرمجية على الكمبيوتر المستهدف.
تلقى اثنان من المستخدمين في المؤسسة المستهدفة ملفا يسمى «JobDetails.rar»، والذي حاول استغلال مشكلة عدم حصانة WinRAR، ومن المحتمل أن يكون هذا الملف قد تم تسليمه عبر رسالة بريد الكتروني للتصيد الاحتيالي.
ومع ذلك، وقبل محاولة الهجوم هذه، قامت شركة سيمانتك بتوفير حماية استباقية ضد أي محاولة لاستغلال هذه الثغرة الأمنية (Exp.CVE-2018-20250). هذه الحماية نجحت في حماية المنظمة المستهدفة من التعرض للخطر.
سيمانتك.. لماذا؟
سيمانتك «Symantec» شركة عالمية متخصصة في صناعة البرمجيات .
- تأسست عام 1982 لبيع برامج الكمبيوتر، خاصة في مجال الأمن وإدارة المعلومات.
- يقع مقرها في كبيرتينو، كاليفورنيا، الولايات المتحدة الأمريكية.
- تعمل في أكثر من 40 دولة.
- في السنوات الأخيرة، أصبحت سيمانتك معروفة مع مضادات نورتن والبرامج الخدمية
- (بالإنجليزية: Symantec)
هي شركة عالمية تأسست عام 1982 لبيع برامج الكمبيوتر، خاصة في مجال الأمن وإدارة المعلومات. يقع مقرها في كبيرتينو، كاليفورنيا، الولايات المتحدة الأمريكية؛ وتعمل في أكثر من 40 دولة.
أدوات إلفين
- قامت إلفين بنشر مجموعة واسعة من الأدوات في هجماتها بما في ذلك البرامج الضارة المخصصة والبرامج الضارة للسلع وأدوات القرصنة مفتوحة المصدر.
تشمل البرامج الضارة المخصصة التي تستخدمها المجموعة ما يلي:
Notestuk (Backdoor.Notestuk):
برامج ضارة يمكن استخدامها لفتح الباب الخلفي وجمع المعلومات من جهاز كمبيوتر وتعريضه للخطر.
Stonedrill (Trojan.Stonedrill):
برامج ضارة مخصصة قادرة على فتح الباب الخلفي على جهاز كمبيوتر مصاب وتنزيل ملفات إضافية. وتشتمل البرامج الضارة أيضا على مكون مدمر، يمكنه مسح سجل التمهيد الرئيسي لجهاز كمبيوتر مصاب.
Remcos (Backdoor.Remvio)
أداة إدارة يمكن استخدامها لسرقة المعلومات من جهاز كمبيوتر مصاب .
DarkComet (Backdoor.Breut)
أداة تستخدم لفتح الباب الخلفي على جهاز كمبيوتر مصاب وسرقة المعلومات.
Quasar RAT (Trojan.Quasar)
يمكن استخدامها لسرقة كلمات المرور وتنفيذ الأوامر على جهاز كمبيوتر مصاب.
Pupy RAT (Backdoor.Patpoopy )
يمكنها فتح الباب الخلفي على جهاز كمبيوتر مصاب.
NanoCore (Trojan.Nancrat )
تستخدم لفتح الباب الخلفي على جهاز كمبيوتر مصاب وسرقة المعلومات.
NetWeird (Trojan.Netweird.B )
حصان طروادة سلعييمكنه فتح باب خلفي وسرقة معلومات من الكمبيوتر الذي يتعرضللخطر، وقد يتم أيضا تنزيل ملفات إضافية يحتمل أن تكون ضارة.
وسائل القرصنة
(SecurityRisk.LaZagne)
LaZagne
أداة لاستعادة تسجيل الدخول / كلمة المرور
Mimikatz (Hacktool.Mimikatz )
أداة مصممة لسرقة بيانات الاعتماد
Gpppassword
أداة تستخدم للحصول على كلمات مرور تفضيلات سياسة المجموعة (GPP) وفك تشفيرها
SniffPass (SniffPass )
أداة مصممة لسرقة كلمات المرور من خلال حركة مرور الشبكة
.
وأشار تقرير صادر عن موقع الشركة العالمية، إلى أن خطر القرصنة الإيرانية ما زال قائما، منذ أن أطلقت أعمالها الشريرة في أوائل 2015 واستهدفت ما يزيد على 50 منظمة ومؤسسة حكومية وخاصة، وباتت معروفة باسم APT33، وأطلق عليها موقع سيمانتك اسم إلفين، وترجمته بالعربية «العفاريت».
ولم يتوقف هجوم عفاريت إيران الالكتروني «وفقا للموقع» على السعودية التي استحوذت بمفردها على 42% من الهجمات، والولايات المتحدة الأمريكية التي نالت 34%، بل استهدف شركات في الإمارات العربية المتحدة والمغرب وبلجيكا وبريطانيا والصين وتايلاند.
الهجوم المستمر
رغم التركيز الشديد على الشرق الأوسط، إلا أن مجموعة إلفين أو «العفاريت» استهدفت عددا من المنظمات في الولايات المتحدة بما في ذلك الشركات الكبرى، وظلت نشطة للغاية على مدار الأعوام الثلاثة الماضية، حيث هاجمت ما لا يقل عن 50 منظمة في السعودية والولايات المتحدة الأمريكية ومجموعة من الدول الأخرى.
وأصبحت المجموعة نشطة لأول مرة في أواخر عام 2015 أو أوائل عام 2016، وتخصصت في المسح بحثا عن مواقع الويب الضعيفة واستخدامها لتحديد الأهداف المحتملة، إما للهجمات أو لإنشاء بنية تحتية للقيادة والتحكم.
تعرضت مجموعات واسعة للخطر بعد استهدافها من قبل المجموعة الإيرانية، بما في ذلك المواقع الحكومية إلى جانب المنظمات في مجال البحوث، والكيمياء، والهندسة، والتصنيع، والاستشارات، والتمويل، والاتصالات، وعدد من القطاعات الأخرى.
وقال جون ديماجيو، كبير محللي الاستخبارات في سيمانتك «يبدو أن هدف إلفين التخريب. سيمانتك منعت البرامج الضارة ولم تمكنهم من محاولة التسلل».
استغلال الضعف
في موجة من الهجمات الأخيرة خلال فبراير 2019، حاول إلفين استغلال ثغرة أمنية معروفة (CVE-2018-20250) في برنامج WinRAR، المتلعق بإداة أرشفة الملفات وضغط الملفات المستخدمة على نطاق واسع، القادرة على إنشاء ملفات أرشيف استخراج ذاتي، وتم استغلالها ضد هدف واحد في قطاع الكيماويات ببعض دول الخليج، وإذا تم استغلالها بنجاح على جهاز كمبيوتر غير مودع، فإن الثغرة الأمنية قد تسمح للمهاجم بتثبيت أي ملف على الكمبيوتر، مما يسمح فعليا بتنفيذ التعليمات البرمجية على الكمبيوتر المستهدف.
تلقى اثنان من المستخدمين في المؤسسة المستهدفة ملفا يسمى «JobDetails.rar»، والذي حاول استغلال مشكلة عدم حصانة WinRAR، ومن المحتمل أن يكون هذا الملف قد تم تسليمه عبر رسالة بريد الكتروني للتصيد الاحتيالي.
ومع ذلك، وقبل محاولة الهجوم هذه، قامت شركة سيمانتك بتوفير حماية استباقية ضد أي محاولة لاستغلال هذه الثغرة الأمنية (Exp.CVE-2018-20250). هذه الحماية نجحت في حماية المنظمة المستهدفة من التعرض للخطر.
سيمانتك.. لماذا؟
سيمانتك «Symantec» شركة عالمية متخصصة في صناعة البرمجيات .
- تأسست عام 1982 لبيع برامج الكمبيوتر، خاصة في مجال الأمن وإدارة المعلومات.
- يقع مقرها في كبيرتينو، كاليفورنيا، الولايات المتحدة الأمريكية.
- تعمل في أكثر من 40 دولة.
- في السنوات الأخيرة، أصبحت سيمانتك معروفة مع مضادات نورتن والبرامج الخدمية
- (بالإنجليزية: Symantec)
هي شركة عالمية تأسست عام 1982 لبيع برامج الكمبيوتر، خاصة في مجال الأمن وإدارة المعلومات. يقع مقرها في كبيرتينو، كاليفورنيا، الولايات المتحدة الأمريكية؛ وتعمل في أكثر من 40 دولة.
أدوات إلفين
- قامت إلفين بنشر مجموعة واسعة من الأدوات في هجماتها بما في ذلك البرامج الضارة المخصصة والبرامج الضارة للسلع وأدوات القرصنة مفتوحة المصدر.
تشمل البرامج الضارة المخصصة التي تستخدمها المجموعة ما يلي:
Notestuk (Backdoor.Notestuk):
برامج ضارة يمكن استخدامها لفتح الباب الخلفي وجمع المعلومات من جهاز كمبيوتر وتعريضه للخطر.
Stonedrill (Trojan.Stonedrill):
برامج ضارة مخصصة قادرة على فتح الباب الخلفي على جهاز كمبيوتر مصاب وتنزيل ملفات إضافية. وتشتمل البرامج الضارة أيضا على مكون مدمر، يمكنه مسح سجل التمهيد الرئيسي لجهاز كمبيوتر مصاب.
Remcos (Backdoor.Remvio)
أداة إدارة يمكن استخدامها لسرقة المعلومات من جهاز كمبيوتر مصاب .
DarkComet (Backdoor.Breut)
أداة تستخدم لفتح الباب الخلفي على جهاز كمبيوتر مصاب وسرقة المعلومات.
Quasar RAT (Trojan.Quasar)
يمكن استخدامها لسرقة كلمات المرور وتنفيذ الأوامر على جهاز كمبيوتر مصاب.
Pupy RAT (Backdoor.Patpoopy )
يمكنها فتح الباب الخلفي على جهاز كمبيوتر مصاب.
NanoCore (Trojan.Nancrat )
تستخدم لفتح الباب الخلفي على جهاز كمبيوتر مصاب وسرقة المعلومات.
NetWeird (Trojan.Netweird.B )
حصان طروادة سلعييمكنه فتح باب خلفي وسرقة معلومات من الكمبيوتر الذي يتعرضللخطر، وقد يتم أيضا تنزيل ملفات إضافية يحتمل أن تكون ضارة.
وسائل القرصنة
(SecurityRisk.LaZagne)
LaZagne
أداة لاستعادة تسجيل الدخول / كلمة المرور
Mimikatz (Hacktool.Mimikatz )
أداة مصممة لسرقة بيانات الاعتماد
Gpppassword
أداة تستخدم للحصول على كلمات مرور تفضيلات سياسة المجموعة (GPP) وفك تشفيرها
SniffPass (SniffPass )
أداة مصممة لسرقة كلمات المرور من خلال حركة مرور الشبكة
.
