ظهور مجموعة جديدة من القراصنة الإيرانيين.. يُدمرون معلومات الضحايا

أحمد باطبي- إيران وير

بدأ القراصنة الإيرانيون في قالب مجموعة حديثة تُدعى “آغريوس (Agrius)” جولة جديدة من الهجمات السيبرانية التي تجمع بين هجمات برامج الفدية (Ransomware) والهجمات المعروفة باسم “فايبر (Wiper)” والتي تدمر بيانات الضحايا أو تلحق بالضرر.

 و أعلن باحثون من شركة “سنتينل وان” (Sentinel One) الأميركية والمعنية برصد الهجمات السيبرانية، أن جماعة آغريوس بدأت نشاطها عبر برامج الفدية عام 2020، وأن أهدافًا إسرائيلية هي الهدف الرئيسي لهذه المجموعة، و يُقال إن هجمات فايبر Wiper Attack عبارة عن مجموعة من الهجمات السيبرانية الضارة التي يقوم فيها المهاجم أو المهاجمون بحذف معلومات الضحية أو التلاعب بها أو نسخها لتحقيق مكاسب مالية أو الإضرار بالضحية، ويهدف هذا النوع من الهجوم في الأساس إلى الإضرار بمعلومات الضحية وبياناته، بينما في بعض الأحيان قد يتم تنفيذها كجزء من هجمات برامج الفدية لممارسة الضغط على الضحية لقبول مطالب المهاجمين مثل هجمات مجموعة آغريوس.

ومن سمات هجمات برنامج الفدية في مجموعة آغريوس، أنه بالإضافة إلى الجمع بين هجمات الفدية وهجوم فايبر، يكون بإمكان المهاجمين عقب الاختراق والسيطرة على نظام الضحية، انتقاء أجزاء معينة من البيانات والتلاعب بها أو حذفها.

وقد أفاد محققون في سنتينل لاب (Sentinel Lab) بأن قراصنة آغريوس يتظاهرون في بعض الحالات بأنه تم تشفير البيانات التي استولوا عليها، ومن ثم يطالبون بفدية مقابل فك الشفرة، بينما حذفوا هذه البيانات فعليًا عبر الاستفادة من سمات هجمات فايبر، وعلى هذا الأساس، يبدو أن هدف المهاجمين ليس تحقيق المكاسب المالية فحسب، بل الإضرار بالضحايا وإتلاف ثرواتهم المعنوية.

وفق تقرير سنتنيل لاب، يستخدم القراصنة في المرحلة الأولى في بي ان (Virtual private network) لتشفير معلوماتهم المتبادلة مع الضحية والحد من احتمالية رصدهم، ثم يستغلون نقاط الضعف في برامج حاسوب الضحايا، و في عام 2020، كانت نقطة الضعف في هجمات هذه المجموعة على أهداف إسرائيلية هي ثغرة (FortiOS) بامتداد CVE-2018-13379 وهي إحدى الثغرات الأمنية التي اُستخدمت مرارًا للتسلل والسيطرة على الضحايا، وهذه الثغرة تتيح للقراصنة سرقة بيانات الاعتماد من خلال (webshell) وأدوات جمع البيانات، واستخدامها للتسلل إلى الشبكة والإضرار بها.

يستخدم قراصنة آغريوس مجموعة من الأدوات تُعرف باسم أدوات آغريوس، بما في ذلك البرامج الخبيثة مثل (Deadwood) و(Shamoon) و(ZeroCleare)، والتي سبق استخدامها من قبل قراصنة التهديد المستمر المتقدم APT33 وAPT34 وقراصنة آخرين تابعين للحكومة الإيرانية.

“APT” أو “Advanced Persistent Threat” أي “التهديد المستمر المتقدم” هي إشارة إلى التهديدات الدائمة التي يخلقها السيبرانيون التابعون للحكومات، على سبيل المثال، فإن قراصنة “APT34” هي إحدى مجموعات قراصنة “APT” والتي تنفذ هجماتها تحت رعاية الجمهورية الإيرانية، ويمكن مشاهدة هذا النوع من القرصنة والتسلل في هذا الرابط

ينشئ القراصنة عقب التسلل والسيطرة على الضحية، ثغرة تسلل مستدامة تُعرف باسم “الباب الخلفي” من نوع (NET backdoor) والتي يُطلق عليها (IPsec Helper)، وهذا الباب الخلفي يتيح للقراصنة الاتصال بخادم الأوامر والتحكم (C2) ويسمح لهم بتبادل المعلومات أو رفع المعلومات والبيانات أو تنزيلها، وفي هذه المرحلة، يمهد القراصنة لهجمات فايبر عبر إيجاد (NET wiper)، ويُطلق على هذه السمة اسم (Apostle)، ويبدو أن برنامج الـ (Apostle) الراهنة، هي نسخة متقدمة ومُعدلة من هذا البرنامج الخبيث الذي سبق أن تم استخدامه في الهجوم على مؤسسات حكومية إماراتية.

يقول محققو سنتنيل لاب أنه لا توجد أية مستندات قوية تشير إلى أن قراصنة آغريوس إيرانيين، لكن اهتمامهم بالقضايا المتعلقة بإيران وكذلك التقنيات الأدوات المستخدمة، تتوافق تمامًا مع الآثار التي خلفها القراصنة الإيرانيون منذ عام 2002 وحتى يومنا هذا. هؤلاء القراصنة الذين ارتكبوا العديد من الهجمات السيبرانية تحت رعاية الجمهورية الإيرانية.

في العام الماضي، تم تداول عدة تقارير رسمية عن أبحاث أجرتها شركات في الأمن السيبراني والمعنية برصد الهجمات السيبرانية، بأن هذه الهجمات نُفذت عبر قراصنة إيرانيين أو إدارتها من إيران، بما في ذلك هجمات الفدية المعروفة باسم (Dharma) التي اكتشفتها شركة (Group-IB) الأمنية، وقد ورد في هذا التقرير أن قراصنة إيرانيين جدد قد استهدفوا شركات مختلفة في روسيا والصين والهند واليابان بدافع تحقيق مكاسب مالية، وقام هؤلاء القراصنة بابتزاز ضحاياهم لدفع مبلغ يتراوح بين 11700 وحتى 59000 دولار (بعملة البيت كوين الرقمية BTC) ويُعد هذا المبلغ، مبلغ منخفض مقارنةً بمتوسط عمليات الابتزاز عبر الإنترنت في العالم.

يعود أهم هجوم للقراصنة الإيرانيين ببرامج الفدية، إلى عام 2018 والذي عُرف باسم “سم سام SamSam ransomware”. حيث استهدف القراصنة الإيرانيون شركات حكومية وخاصة، وكانت الولايات المتحدة أهم أهدافهم الرئيسية، وكان من بين ضحايا هذه القرصنة الإيرانية إدارة النقل في مدينة كولورادو في ولاية دينفر، ومستشفى العظام في ولاية نبراسكا، وشركة MedStar Health، وشركة LabCorp of America وعدة مستشفيات ومدارس وشركات وهيئات حكومية في مدينة نيوآرك بولاية نيوجيرسي وميناء سان ديغو في كاليفورنيا، وفي ديسمبر عام 2018، أصدر الادعاء العام الأمريكي بولاية نيوجيرسي، بيانًا ضد قراصنة فدية سم سام، وتم اتهام عضوين من هذه المجموعة هما “فرامرز شاهي ساوندي” و”محمد مهدي شاه منصوري” المقيمين في إيران بالتآمر على ارتكاب عمليات احتيال عبر الإنترنت ومحاولة الإضرار بأنظمة محمية.

وقد ورد في بيان الادعاء العام الأمريكي أن مصمم برنامج سم سام اخترقوا أكثر من 200 ضحية، وابتزوا الضحايا بأكثر من 6 مليون دولار، كما بلغت الأضرار المالية التي ألحقها هذا الابتزاز بأعمال الضحايا لأكثر من 30 مليون دولار، وقد اختفت مجموعة القراصنة التي تدير برنامج سم سام، بعد فترة وجيزة من التعرف على هذين العضوين، وقد ورد في الأحكام القضائية الأمريكية الصادرة في حق فرامرز شاهي ساوندي ومحمد مهدي شاه منصوري، أنهما مجرد متهمين، وسيتم اعتبارهما مدانين في حالة محاكمتهم وصدور حكم من المحكمة ضدهم.

اشترك في نشرتنا الإخبارية
اشترك هنا للحصول على آخر الأخبار والتحديثات والعروض الخاصة التي يتم تسليمها مباشرة إلى صندوق الوارد الخاص بك.
يمكنك إلغاء الاشتراك في أي وقت
قد يعجبك ايضا

يستخدم هذا الموقع ملفات تعريف الارتباط لتحسين تجربتك. سنفترض أنك موافق على ذلك ، ولكن يمكنك إلغاء الاشتراك إذا كنت ترغب في ذلك. قبول قراءة المزيد