تقرير تحليلي.. هجوم سيبراني لمجموعة معارضة على شبكة السكك الحديدية الإيرانية

أحمد باطبي – إيران وير 

قامت مجموعة البحث في شركة جيك بوينت (Check Point Research) وهي إحدى شركات الأمن السيبراني المعلوماتي بنشر تقرير خاص عن كيفية تسلل القراصنة إلى الأنظمة الحاسوبية لخطوط السكك الحديدية الإيرانية في 9 يوليو/تموز من العام الجاري.

تَعتبر جيك بوينت (ومقرها في إسرائيل) أن مجموعة إيندر (Indra) التي تُقدِّم نفسَها معارضةً للنظام الإيراني هي المسؤولة عن هذا الهجوم، قائلةً إن مجموعة بالاسم نفسه نفّذت في 2019 و2020 هجمات على بعض الأهداف في سوريا، منها الهجمات على الشركتين الخاضعتين للعقوبات الأمريكية مجموعة قاطرجي الدولية (Katerji Group) وشركة عرفادا للنفط (Arfada Petroleum).

في 9 يوليو/تموز 2021 ظهرت صورة على لوحات إعلان حركة القطارات كانت تنمّ عن هجوم سيبراني على الشبكة الحاسوبية للسكك الحديدية الإيرانية، ووفّر القراصنة في رسالتهم رقم الهاتف “64411” للركاب للحصول على معلومات إضافية، لكن هذا الرقم كان رقم العلاقات العامة في مكتب المرشد الأعلى “علي خامنئي”. 

وبعد يوم من هذه الفوضى الواسعة النطاق في نظام خدمات خطوط السكك الحديدية الإيرانية وقع هجوم آخر على وزارة النقل أَفضى إلى إغلاق موقعها على الإنترنت ومواقع الإدارات التابعة لها.

تشير دراسة الخبراء في شركة جيك بوينت إلى أنه وإن لم يكن هناك أي شبه ظاهري بين سلوك وأداء القراصنة المهاجمين على شبكة السكك الحديدية ووزارة النقل الإيرانية وبين القراصنة المهاجمين على الأهداف السورية إلا أن المؤشرات الفنية والطرق والأدوات المستخدَمة مشتركة في الهجومين.

استعمل قراصنة إيندرا في هجومهم طريقة قاسية تُعرَف في المجال السيبراني بمصطلح “المسّاحة” (wiper). ومعنى ذلك أن القراصنة يَمسحون ويدمّرون بيانات الضحية من دون ترك إمكانية استرجاعها. 

وفي السنوات الأخيرة استعملت مجموعة إيندرا في هجماتها على الأقل ثلاثة أنواع من البرمجيات الخبيثة المسمّاة بالمسّاحة؛ وهي “متيور” (Meteor) و“ستاردست” (Stardust) و“كومت” (Comet).

نشرت شركة الأمن السيبراني الإيرانية “إرساء الأمن” تقريراً بشأن برنامج خبيث اسـمُه (Trojan.Win32.BreakWin) تم استعماله في الهجمات الأخيرة لهذه المجموعة، كما أن شركة “سنتل ون” (SentinelOne) نشرت تقريراً مفصلاً بخصوص هذا التروجان أو حصان طروادة، وهو نوع من أنواع فيروسات الكمبيوتر.

اتخذ محققو شركة جيك بوينت اكتشافاتِ شركة “إرساء الأمن” للبرمجيات ركيزةً دراساتهم، وأدركوا أن هذه الهجمات بدأت بالاختفاء عن أعين مضادات الفيروس، واستمرت بالقضاء على الإعدادات المرتبطة بنظام الاقلاع في الكمبيوتر، وفي نهاية المطاف انتهت بإقفال ومسح بيانات الضحية.

يبدأ الهجوم بتطبيق عملية موقوتة تسمى “تحليل النظام” (AnalyzeSystem)؛ وهو تقليد لــ (Windows Power Efficiency Diagnostics)، في البداية يقوم القراصنة باستعمال ملف (setup.bat) لفصل أنظمة WSUSPROXY، وPIS-MOB PIS-APP، و PIS-DB عن غيرها من أنظمة الشبكة. إن (PIS) في بداية هذه الأنظمة هو اختصار لــ (Passenger Information System) أو “نظام معلومات المسافرين” الذي عادة ما يُستعمَل في المطارات ومحطات القطار والباصات. وقد استعمل القراصنة نظام (PIS) لإظهار رسالتهم على صفحة عرض لوحات إعلان حركة القطارات في محطة القطار.

في المرحلة الثانية يَقع الهجوم برفع الملفات التخريبية عن بُعد، ويبدأ ذلك برفع ملف اسـمُه “env.cab”. ورفع هذا الملف على مسار (\\railways.ir\sysvol\railways.ir\scripts\env.cab) يُشير إلى قضية أن القراصنة كانوا على معرفة جيدة بالمكان المهاجَم عليه قبل الهجوم، وكانوا يتقنون بنحو من الأنحاء هيئته الحوسبية أيضاً. ثم يتم رفع أدوات أخرى مثل update.bat hackemall، msrun.bat، cache.bat، bcd.bat  في هذه المرحلة حيث يقوم كلٌّ منها بمهمة بعينها في المراحل اللاحقة.

إن لغة البرمجة النصية (cache.bat) إذ تَقوم بتعطيل جميع محوّلات التيار المتردد للشبكة تُضيف، في حال لم يكن برنامج “مضاد الفيروس كاسبرسكاي” (Kaspersky Antivirus) منصوباً على جهاز الكمبيوتر، الأدواتِ المرفوعةَ إلى فهرس الملفات المسموح بها لــ (Windows Defender). وتتمثّل وظيفة الأداة (bcd.bat) بتخريب حوسبة (boot) عن طريق (BCDEdit) الداخلية للويندوز وكذلك ازالة ومسح جميع آثار (Security، System and Application Event Viewer) باستعمال (wevtutil).

يحدث الضرر الأصلي؛ وهو مسح المعلومات، عن طريق لغة البرمجة النصية (msrun.bat)؛ ذلك أن لغة البرمجة النصية تترك ملف المسّاحة (Wiper) على مسار (C: \ temp) وتَخلق برنامجاً يسمَّى (mstask) لا يتم تفعليه سوى مرة واحدة تَكون في الساعة (23:55:00) فيقوم بمسح بيانات الضحية.

في مرحلة مسح البيانات يَتكفّل الملف التطبيقي (msapp.exe) بالعمل الرئيس؛ ومهمّته هي إخراج الضحية من نظام الخدمة عن طريق إقفاله ومسح المعلومات الموجودة على نظام التشغيل. ويَقوم بهذه العملية ملفُ حوسبةٍ مُشفَّرٌ يسمى (msconf.conf) يُتيح للمقرصِنِ المهاجِم إمكانيةَ تنظيم وضبط نوع الهجوم ودرجتِه على الأهداف الخاصة. كما أن هذا الملف يستعين بلغة برمجة نصية تُستخدَم في إزالة الشفرات.

إذا لم تتم عملية الهيئة الحوسبية بشكل جيد حتى هذه المرحلة فستَدخل أداة (Meteor) على الخط وتقوم بإكمال الحوسبة الضرورية لتلوث نظام تشغيل الضحية بالفيروسات، وليقوم البرنامجُ الخبيث بالحيلولة دون قيام الضحية بتعطيل عملية الحوسبة فإنه يفصل في بداية الأمر الكمبيوتر المستهدَف عن (WinAPI) أو فصل (WMI) عن (Active Directory domain) حتى لا تنتقل أي أداة أو وصلة إصلاحية إلى كمبيوتر الضحية، ثم يخرب سمة (boot) للويندوز، أو يَمسح مَداخل (BCD) في نُسَخ الويندوز بدءاً من النسخة السابعة فما بعدها، وبعد هذه المرحلة يُغيِّر البرنامج الخبيث كلمة المرور للمستخدمين المحليِّين، ويُقدِّم لهم كلمة مرور جديدة مستعملاً نموذج “التسلسل العشوائي”، أما الخطوة التالية للبرنامج الخبيث فهي تعطيل شاشة التوقف واستبدالها بصور خاصة بدلاً من صورة الويندوز الخلفية المفترضة، وكانت صور صيغتَـي (JPEG) و(BMP) على شاشات حواسيب خطوط السكك الحديدية ووزارة النقل الإيرانية نماذجَ لهذا الاستبدال.

بعد استبدال صورة خلفية شاشة الويندوز يَمسح البرنامج الخبيث جميعَ المستخدمين المحليين من الويندوز ويَستعمل الملف التطبيقي (mssetup.exe) في إقفال الفأرة ولوحة المفاتيح وكذلك إغلاق مداخل كمبيوتر الضحية، يستطيع هذا البرنامج الخبيث أن يَستمر في البقاء في الحاسوب المستهدَف حتى تُطبَّق هذه المرحلة في كل مرة يتم فيها تشغيل الحاسوب، ويَحدث الخلل في أداء الضحية الطبيعي.

يَستخدم البرنامج الخبيث في مسح بيانات الضحية (Prefix Suffix wiper) التهيئة الحوسبية (paths_to_wipe)، ويَقوم بإعداد فهرس سوابق ولواحق الملفات الموجودة في نظام التشغيل، وتَضطلع سلسلة تسمى (Middle Wiper) بمهمّة مسح ملفات هذا الفهرس وكذلك استنساخات الظل، كما يُطالعنا شبيهُ هذه الطريقة في المسح في كثير من برامج الفدية الإنترنتية.

وتَعتبر مجموعة البحث في جيك بوينت أن الهجوم السيبراني على شبكة السكك الإيرانية نموذجاً من الهجمات السيبرانية الخطيرة على البنى التحتية التي تُشكِّل شريان الحياة للدول، بحيث يمكن لها تعريض أرواح الناس للخطر أينما كانوا، وتشير جيك بوينت إلى حقيقة أنه “لا وجود لأي سحر”. 

تأسيساً على ذلك، لا بدّ للدول من امتلاك نسخة الدعم وبرنامج استرجاع المعلومات، وتحديث البرمجيات ونصب الوصلات الأمنية، واستعمال البرامج الحامية مثل جدار الحماية و مضادات الفيروس، كما أن جيك بوينت تَعتبر أن التعليم والارتقاء بمستوى وعي روّاد العالم الافتراضي مهمٌّ في تقليص الأخطار الناجمة عن هذه الهجمات.

اشترك في نشرتنا الإخبارية
اشترك هنا للحصول على آخر الأخبار والتحديثات والعروض الخاصة التي يتم تسليمها مباشرة إلى صندوق الوارد الخاص بك.
يمكنك إلغاء الاشتراك في أي وقت
قد يعجبك ايضا

يستخدم هذا الموقع ملفات تعريف الارتباط لتحسين تجربتك. سنفترض أنك موافق على ذلك ، ولكن يمكنك إلغاء الاشتراك إذا كنت ترغب في ذلك. قبول قراءة المزيد