تفاصيل هجوم برنامج “الفدية الخبيث” الإيراني على مجموعة إعلامية أمريكية

أحمد باطبي – إيران وير 

قال “ركورد” (The Record) إنه عثر على دلائل تفيد أن عناصر ما وراء الكواليس في هجوم برنامج الفدية الخبيث في مايو/ أيار 2021 على “مجموعة كوكس الإعلامية” (Cox Media Group)، الواقعة في مدينة أتلانتا، في ولاية جورجيا الأمريكية، كانوا قراصنة مرتبطين بالنظام الإيراني.

وموقع “ركورد” (The Record) هو موقع إلكتروني يعكس الأخبار والوقائع المتعلقة بأمن العالم الافتراضي

وبحسب ركورد فإن العمل على بدء اختراق مجموعة كوكس وإحداث تلوّث في أجهزة هذه المؤسسة منذ يونيو/ حزيران عام 2021 تقريباً، لكن خبر هذا الهجوم الذي طالب بفدية” تَسرّب في 3 يوليو/ تموز،  وذلك حين فعّل المهاجمون برامجهم الخبيثة، وعطّلوا جزءاً من أنظمة تقنية المعلومات والبثّ المباشر لمحطات الراديو والتلفزيون في هذه المؤسسة من خلال تشفير عدة خوادم.

في البداية حاولت مجموعة كوكس الإعلامية إبداء القليل من الاهتمام بشأن الموضوع، وطلبت من الصحافيين المحليين ومن الذين نشروا عبر التويتر تفاصيل هذا الهجوم أن يحذفوا تغريداتهم، وصحيح أن رقعة الهجوم لم تبلغ حداً يتسبّب في تعطيل شامل لأنشطة المؤسسة الإعلامية إلا أنه أدى إلى تأكيد المؤسسة بعد أربعة أشهر، في نوفمبر، رسمياً حدوث هذا الهجوم.

في البداية، نُسِب هذا الهجوم الخبيث إلى مجموعة اسمُها هو الرمز “DEV-0270”؛ وهي المجموعة التي تُنسَب إليها هجمات خبيثة على شركات أمريكية أخرى إلى جانب الهجوم على كوكس.

إن قيام “شركة مايكروسوفت للتكنولوجيا” برصد عناصر التهديد المعروفين بمجموعات “DEV” يفيد أن مجموعة “DEV-0270” كانت منشغلة منذ مدة طويلة لدوافع مادية بالبحث في الإنترنت وجمع المعلومات.

نشر “مركز معلومات التهديدات في مايكروسوفت” (MSTIC)، في 16 نوفمبر/ تشرين الأول 2021، تقريراً مفصلاً عنوانُه “العملية المتنامية لعناصر التهديد الإيراني”، تناول فيه التغييرات الحاصلة في أداء القراصنة المرتبطين بالنظام الإيراني الحاكم.

يقول هذا التقرير إن هؤلاء القراصنة تطوروا في السنة الأخيرة في ثلاثة مجالات على الأقل:

  • الاستعمال المتزايد يومياً للبرامج الخبيثة بغرض الحصول على فدية إنترنتية و/أو إحداث الخلل في أنشطة الضحايا العادية.
  • الصبر والهدوء الأكبر قياساً إلى الماضي إزاء التحديات و/أو الوصول إلى الهدف.
  • استمرار الحملات الهجومية بلا رحمة على الضحايا، مع الاحتفاظ بالهدوء والصبر التام.

منذ سبتمبر/ أيلول 2020 حتى نشر التقرير قام مركز معلومات التهديدات لمايكروسوفت باكتشاف ما لا يقل عن ست مجموعات تهديدية مرتبطة بالنظام الإيراني والتي كانت نشطة في مجال هجوم برامج الفدية الخبيثة، وقامت كل ستة أو ثمانية أسابيع على الأقل بإطلاق موجة جديدة من هجماتها الخبيثة.

إحدى هذه المجموعات الستّ هي مجموعة القراصنة الموسومة بـ “فوسفورس” (PHOSPHORUS)، وهي من مجموعات “التهديد المتطور الدائم” (APT) العاملة تحت إشراف النظام الإيراني والتي ذَكَرتها مايكروسوفت قبل الآن مراتٍ ومرات.

وفي 2021، قامت هذه المجموعة على الأقل مرة واحدة باستعمال هجوم الفدية الخبيث مستغلةً الخلل الأمني الموجود في “Fortinet FortiOS SSL VPN”، وعندما توصلت إلى الخوادم التي يمكن إلحاق الأذى بها قامت بتلويثها ببرنامج الفدية الخبيث. وحدث هذا التلويث عن طريق تشفير “BitLocker” على أربع مراحل:

  • الـمَسح الضوئي: منذ أوائل سنة 2021 مسحت مجموعة فوسفورس ملايين “بروتوكولات الإنترنت” (IP) في جميع أرجاء العالم بهدف الوصول إلى مكامن خلل “CVE-2018-13379”، وحصلت على الاعتماد المالي لما لا يقل عن 900 خادم “VPN Fortinet” في كلٍّ من أمريكا وأوروبا وإسرائيل، وتطرقت في النصف الثاني من 2021 إلى إقامة التواصل مع خوادم لم يتمّ إصلاحها.
  • الاستثمار: بهدف تثبيت واستمرار حضورها في أجهزة الضحايا، استخدمت فوسفورس “Plink runner” أو خطر القيادة المسمَّى “MicrosoftOutLookUpdater.exe”، الذي يتيح إمكانية إرسال وتنفيذ أوامر أكثر عن بعد. كما أن القراصنة أرسلوا طُعماً مشفَّراً موصَّى عليه، الأمر الذي مكّنهم من تغيير تسجيل الجهاز وكذلك التنزيل و/أو تحميل ملفات يريدونها.
  • العبور: بعد تثبيت مجموعة فوسفورس حضورها في جهاز الضحية، تَقوم بإنشاء حساب مستخدم خاص يُتيح الوصول عن بعد بهدف ضمان وصولها إلى عنوان المدير في المستقبل.
  • مرحلة إعمال برنامج الفدية الخبيث: في هذه المرحلة يَستخدم القراصنة “BitLocker”، ثم يقومون بتشفير جهاز الضحية، ثم يَستعملون الخوادم الملوَّثة وتطبيق سكربيت خاص على نحو متسلسل، وهكذا يتسنى لهم تشفير الأجهزة الأخرى الموجودة على الشبكة فتَخرج عن الخدمة.

يشير خبراء مركز معلومات التهديدات لمايكروسوفت إلى صبر وعزيمة قراصنة مجموعة فوسفورس، وإطلاقهم حملات خداع إلكتروني متعددة، مثل إرسال إيميلات مزيَّفة تتضمن اقتراح العمل و/أو مقابلة التوظيف،  ويشيرون إلى التكلفة الزائدة لهذه التدابير، ويَعتبرون هذا علامةً على تمتع هذه المجموعة بدعم وقدرة مالية مناسبة.

والمجموعة المقرصِنة “كوريوم” (CURIUM) هي مجموعة أخرى من تهديدات برامج الفدية الإيرانية الخبيثة. وقد رصدتها مايكروسوفت في السنة الأخيرة. هذه المجموعة أيضاً جعلت عمليات الخداع الإلكتروني محوراً لأنشطتها، وأبدت صبراً كبيراً أثناء القيام بأعمالها. أحياناً تُعرِّف هذه المجموعة بنفسها باسم “المرأة الجذابة” التي تقوم بالدردشة اليومية مع الضحايا عن طريق “لينكدان” و“فيسبوك” وغيرهما، ثم تُرسِل إليهم مقاطع فيديو عن النساء بغرض اكتساب مزيد من ثقتهم، ثم تَقوم في نهاية المطاف بإرسال ملفات ملوَّثة، واستخراج معلومات الضحايا.

المجموعة المقرصنة الأخرى المرقَّمة بـ “DEV-1343” واحدة أخرى من التهديدات السيبرانية المرتبطة بالنظام الإيراني. وقد نجح المختصون في مايكروسوفت بكشفها.

تَعمل هذه المجموعة من السبت إلى الخميس من الساعة الرابعة صباحاً حتى الرابعة عصراً بتوقيت إيران، وحتى الآن قامت بالهجوم على عشرات الأهداف في المجال العسكري والجوفضائي ومجال الاتصالات ونقل البضائع وغيرها في أمريكا وأوروبا وإسرائيل والشرق المتوسط.

بحسب مايكروسوفت، شُوهِد أن “DEV-0343” تقوم بالهجوم على أهداف كانت قد استهدفتها مجموعات قراصنة إيرانيين في وقت سابق أيضاً. وهذا دليل على الهدف المشترك لجميع عناصر التهديد المرتبطة بالنظام الإيراني في الجرائم السيبرانية.

تقول مايكروسوفت إن عناصر التهديد الإيراني قادرون اليومَ على استخدام برامج الفدية الخبيثة، ثم مسح جميع بيانات الضحايا من دون إمكانية استرجاعها، وكذلك قرصنة الهواتف المحمولة، وسرقة كلمات العبور، والقيام بهجمات الخداع الإلكتروني، والاستثمار الجماعي، وإدارة وتنفيذ سلسلة العمليات الاستخبارية. وكذلك هم قادرون على إحداث الخلل والتخريب، بل حتى إنهم قادرون على تقديم الدعم للحملات الحضورية.

في البيان الذي نشرته مجموعة كوكس تَقول إن هجوم الفدية الخبيث هذا اكتشفه خبراء هذه المؤسسة منذ يومه الأول، وعلى الفور اتخذوا تدابير احترازية؛ منها البدء بإخراج الأنظمة النظيفة عن الخدمة. وتزامناً مع ذلك أُنجِزت التحقيقات الضرورية بالتعاون مع مكتب التحقيقات الفيدرالي الأمريكي (FBI) في منطقة “نيوآرك” و“دالاس”، وفي النهاية تمت إعادة الأمور إلى نصابها من دون الحاجة إلى دفع أيّ فدية.

ناهيك عن أن رصد العالم الافتراضي والويب المظلم (dark web) يفيد أنه لم يتم حتى الآن تسريب أي معلومات شخصية أو مؤسساتية في العالم الافتراضي.في هذا البيان لا تتم الإشارة إلى هوية عناصر ما وراء الكواليس لهذا الهجوم الخبيث. والمتحدثون باسم مجموعة كوكس الإعلامية لم يردّوا على مطالب (The Record) بإبداء رأيهم حول هذا الموضوع.

اشترك في نشرتنا الإخبارية
اشترك هنا للحصول على آخر الأخبار والتحديثات والعروض الخاصة التي يتم تسليمها مباشرة إلى صندوق الوارد الخاص بك.
يمكنك إلغاء الاشتراك في أي وقت
قد يعجبك ايضا

يستخدم هذا الموقع ملفات تعريف الارتباط لتحسين تجربتك. سنفترض أنك موافق على ذلك ، ولكن يمكنك إلغاء الاشتراك إذا كنت ترغب في ذلك. قبول قراءة المزيد