أماني يماني - مكة المكرمة

كشف تقرير أمني حديث أن موجة جديدة من الهجوم الالكتروني الإيراني تستهدف 12 دولة حول العالم، تتقدمها السعودية والإمارات والولايات المتحدة الأمريكية، عبر قراصنة سيئي السمعة، يعملون على التجسس، وضرب وتهكير المعلومات في عدد من الشركات والمؤسسات الكبرى بهذه الدول.

وأكدت منظمة «كلير سكاي» الأمنية، أن موجتي الهجوم « APT33 « و»APT34 « بدأتا في الفترة الماضية، وحاولتا تهكير مواقع عشرات المنظمات في جميع أنحاء العالم، وشملت هجماتهما بعض نقاط الضعف الخاصة في مستوى الأمان السيبراني بالمؤسسات.

وأشار التقرير إلى أن الهجوم APT33 المعروف باسم «فوكس القاتل» مدعوم من الحكومة الإيرانية، ويستهدف مختلف الكيانات في الشرق الأوسط والولايات المتحدة الأمريكية وأوروبا وآسيا، حيث تعاونت المجوعتان منذ عام 2017 كجزء من حملة هجومية استهدفت العديد من الشركات والمؤسسات من قطاعات تكنولوجيا المعلومات والاتصالات والنفط والغاز والطيران والحكومة والأمن في جميع أنحاء العالم.

سرقة المعلومات

وبحسب التقرير، ركزت الحملة الخسيسة على الوصول إلى شبكات المنظمات المستهدفة وسرقة المعلومات القيمة، وإنشاء موطئ قدم طويل الأمد، وكسر شركات إضافية من خلال هجمات سلسلة التوريد.

وكشف باحثو الأمن عن وجود صلات بين مختلف مجموعات القرصنة المرتبطة بإيران، استنادا إلى إعادة استخدام البنية التحتية والشيفرات الخبيثة، لكن يبدو أن الجهود التعاونية بين البعض منها على الأقل قد تتعمق، وقال خبراء «إننا نعزو حملة فوكس القاتل، إلى مجموعة APT34، ووجدنا هناك تعاونا بين المجموعتين في البنية التحتية».

الهجمة الأولى

لوحظت الحملة، التي أطلق عليها اسم «فوكس القاتل» لأول مرة في الربع الرابع من عام 2019، على الرغم من أنها تمثل استمرارا للهجمات التي استمرت على مدار الأعوام الثلاثة الماضية، واستهدفت عشرات الشركات حول العالم.

ويحذر تقرير كلير سكاي من أن مجموعات إيرانية ليست بأي حال أقل قدرة من المتسللين الصينيين والروس والكوريين الشماليين، قد طورت قدرات تقنية جيدة لاستغلال الأخطاء الأمنية في فترات زمنية قصيرة، وفي بعض الحالات لاحظ الباحثون المتسللين المحترفين يستغلون أخطاء الأمان في غضون ساعات بعد الكشف عنها.

المملكة العربية السعودية

الإمارات العربية المتحدة

الكويت

لبنان

الولايات المتحدة الأمريكية

فرنسا

ألمانيا

بولندا

فنلندا

المجر

إيطاليا

النمسا

استراتيجية الحملات الخبيثة

تطوير وصيانة طرق الوصول إلى المنظمات المستهدفة

سرقة المعلومات القيمة من المنظمات المستهدفة

الحفاظ على موطئ قدم طويل الأمد في المنظمات المستهدفة

خرق شركات إضافية من خلال هجمات سلسلة التوريد

ماذا كشف التقرير؟

• نجحت مجموعات APT الإيرانية في اختراق وسرقة المعلومات من عشرات الشركات حول العالم في السنوات الثلاث الماضية.

• أكثر نواقل الهجوم الناجحة والأهمية التي استخدمتها مجموعات APT الإيرانية في السنوات الثلاث الماضية هو استغلال الثغرات الأمنية المعروفة في الأنظمة ذات خدمات VPN و RDP غير المتطابقة، من أجل التسلل والسيطرة على مخازن معلومات الشركة المهمة.

• استخدام هذه الطريقة أصبح هدف أغلب الهجمات لمجموعات الجرائم الالكترونية وهجمات الفدية وغيرها من المجموعات الهجومية التي ترعاها الدولة.

• طورت مجموعات APT الإيرانية قدرات هجومية تقنية جيدة وقادرة على استغلال نقاط الضعف لمدة يوم واحد في فترات زمنية قصيرة نسبيا، بدءا من عدة ساعات إلى أسبوع أو اثنين.

• منذ عام 2017، حددنا مجموعات APT الإيرانية التي تركز على شركات تكنولوجيا المعلومات التي تقدم مجموعة واسعة من الخدمات لآلاف الشركات.

• بعد اختراق المؤسسات، يحتفظ المهاجمون عادة بتكرار موطئ قدم وتشغيلي عن طريق تثبيت وإنشاء العديد من نقاط الوصول إلى شبكة الشركة الأساسية.

الأدوات المستخدمة

خلال حملة فوكس القاتلة استخدم المهاجمون العديد من الأدوات الهجومية المختلفة للحفاظ على موطئ قدم في المنظمة التي تسللوا إليها. عند التسوية الأولية لشبكة الشركة، ركز المهاجمون على

تأسيس قبضة قوية في المؤسسة من خلال تثبيت مجموعة من أدوات الوصول والاتصال عن بعد.

وأثناء البحث عن الحملة، تم تحديد العديد من التقنيات، التي تهدف إلى الحفاظ على موطئ قدم مستمر على الشبكة المستهدفة، أحد هذه الأدوات يستغل أدوات إمكانية الوصول إلى مايكروسوفت، ويبدو أن الإيرانيين يستغلون أدوات الوصول المختلفة المصممة لنظام التشغيل نظام ويندوز

فضح شمعون

في يناير 2020، نشرت الهيئة الوطنية للأمن السيبراني السعودي تقارير فضح البرامج الضارة المدمرة التي يطلق عليها «ZeroCleare» و «Dustman»، والتي انتشرت في الشرق الأوسط وتحديدا في الخليج، والتي تشبه «شمعون»

وكشف تقرير أن الهجوم انقسم إلى جزءين رئيسيين - الاختراق والوصول إلى الشبكة هما APT34، ثم توزيع القدرة التدميرية من قبل مجموعة إيرانية أخرى، والتي نقدر أنها APT33. وأشار التقرير إلى انتشار «Dustman» في البداية عن طريق استغلال نقاط الضعف VPN.

مؤسسة تجسس كبرى

• وصلت المؤسسة الهجومية الإيرانية إلى مستوى المعرفة والمرونة الذي يسمح لها باستخدام البرمجيات الخبيثة «اليوم الأول»، أي تطوير البرامج الضارة وتوزيعها باستخدام نقاط الضعف المكشوفة، في غضون ساعات إلى أيام منذ نشرها.

• يفهم الإيرانيون أن الهجوم المباشر على أنظمة الدفاع أمر صعب، في حين أن التسلل باستخدام أنظمة VPN التي تنقلك مباشرة إلى الأنظمة الأساسية للهدف هو أكثر فعالية من حيث التكلفة.

• توجد صلة قوية بمجموعتين تم تحليلهما حتى اليوم كوحدات منفصلة، وفي الأشهر الأخيرة، تم نشر العديد من التقارير التي تتناول الأداة المشتركة بين APT34 و APT33، بينما يمثل هذا التقرير التعاون بين الاثنين باعتباره مؤسسة تجسس كبيرة واحدة.

كيفية التصدي للهجوم الالكتروني الإيراني؟

• تشكل أنظمة VPN التي تسمح بالوصول عن بعد إلى أنظمة الشركات مخاطرة كبيرة، لأنها تتخطى أساسا جميع أنظمة الدفاع المنشورة مقابل الانترنت، فهناك حاجة إلى مراجعة وتقييم لفهم ما إذا كان يتم التحكم في الأنظمة ومراقبتها بالكامل من قبل المنظمة.

• يعد فحص الأنظمة التي تواجه الخارج، بما في ذلك أنظمة VPN المختلفة، أمرا بالغ الأهمية للشركة. فهناك حاجة إلى مراقبة مستمرة، والتأكد من تحديث الأنظمة باستمرار، ومنع التعرض غير الضروري لواجهات الإدارة للعالم الخارجي. نحن نقدر أيضا أن هناك حاجة لمحاولة تقليل الأنظمة إلى الحد الأدنى. إعادة فحص تحديثات الأمان لأنظمة VPN يجب أن يتم تشكيلها بشكل روتيني أيضا.

• بعد إجراء كل تحديث على أنظمة الشركة الأساسية، بما في ذلك أنظمة VPN، يوصى بإعادة تعيين كلمة المرور لجميع المستخدمين النهائيين في المؤسسة وإلزام جميع المستخدمين بإعادة الاتصال بالخدمات، من أجل تحديد الاتصالات غير المرغوب فيها. بالإضافة إلى ذلك، إذا كان ذلك ممكنا، يوصى بإنشاء مصادقة من خطوتين للأنظمة الأساسية للشركة.

• يوصى باستخدام خدمات VPN التي تحتفظ بسجلات على وسائط مختلفة (ويفضل أن تكون غير قابلة للمسح) أثناء الاتصال.

• يجب مراقبة أذونات المستخدمين والمستخدمين النشطين في كل محطة باستمرار. في هذه الحملة، أنشأ المهاجمون عدة مرات مستخدمين محليين سمحوا لهم بالتصرف بحرية.