القراصنة الإيرانيين للخطر شركات الطيران والمطارات وشركات البنية التحتية الحيوية

2024

Ø³ÙƒØ³ Ù†Ø§Ø± Video

خلال العامين الماضيين ، قام فريق من المتسللين الإيرانيين بتهديد أجهزة الكمبيوتر والشبكات التي تنتمي إلى أكثر من 50 منظمة من 16 دولة ، بما في ذلك شركات الطيران ، ومقاولي الدفاع ، والجامعات ، والمنشآت العسكرية ، والمستشفيات ، والمطارات ، وشركات الاتصالات ، والوكالات الحكومية ، و شركات الطاقة والغاز

وقد أطلق على هذه الهجمات اسم "عملية الساطور" بعد سلسلة من الأدوات الخبيثة المختلفة التي استخدمتها مجموعة القراصنة ، والتي يعتقد أنها تعمل بشكل أساسي خارج طهران.

"اكتشفنا أكثر من 50 ضحية في وقال باحثون من شركة "سيلاينس" للأمن المعلوماتي في تقرير موسع: "تحقيقنا تم توزيعه في جميع أنحاء العالم" مستأجر الثلاثاء. يقع المقر الرئيسي لعشرة من هؤلاء الضحايا في الولايات المتحدة ، ومنهم شركة طيران كبرى ، وجامعة طبية ، وشركة طاقة متخصصة في إنتاج الغاز الطبيعي ، وصانع سيارات ، ومتعهد دفاعي كبير ، ومرفق عسكري كبير.

[ القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك

تم التعرف على ضحايا آخرين في كندا والصين وانجلترا وفرنسا وألمانيا والهند وإسرائيل والكويت والمكسيك وباكستان وقطر والمملكة العربية السعودية وكوريا الجنوبية وتركيا الإمارات العربية المتحدة.

استخدم المهاجمون أدوات الهجوم والمآثر المتاحة للجمهور ، بالإضافة إلى برامج ضارة متخصصة أنشأوها بأنفسهم. يعتقد Cylance أن الفريق يتكون من ما لا يقل عن 20 من المتسللين والمطورين الذين يدعمون المصالح الإيرانية وربما تم تجنيدهم من جامعات البلاد.

"البنية التحتية المستخدمة في الحملة كبيرة جدًا بحيث لا تكون فردية أو مجموعة صغيرة" وقال الباحثون Cylance. "نحن نعتقد أن هذا العمل رعته إيران."

تباينت نوع الوصول إلى المتسللين الذين تم الحصول عليهم داخل المنظمات المختلفة والبيانات التي سرقوها على نطاق واسع. في حالة الجامعات ، استهدفت البيانات البحثية ومعلومات الطلاب وسكن الطلاب ، بالإضافة إلى تحديد المعلومات والصور وجوازات السفر. في حالة شركات البنية التحتية الحيوية ، قاموا بسرقة معلومات حساسة يمكن أن تسمح لهم أو للمنظمات التابعة لها بتخريب أنظمة التحكم الصناعية و SCADA (السيطرة الإشرافية وحيازة البيانات) ، كما قال الباحثون في Cylance.

لا يوجد دليل على هذا التخريب من قبل المجموعة موجودة حتى الآن ، ولكن يعتقد Cylance أن هذا يمكن أن يكون الهدف النهائي للحملة ، كرد انتقامي من جانب إيران على هجمات البرامج الضارة Stuxnet و Duqu و Flame. ويعتقد أن ستكسنت ، التي ينظر إليها على أنها أول سلاح سيبراني في العالم ، أنشأتها الولايات المتحدة وإسرائيل لتخريب جهود إيران في تخصيب اليورانيوم وإعادة برنامجها النووي.

"ربما كان أكثر الأدلة التي جمعناها في هذه وقال الباحثون في Cylance إن الحملة كانت تستهدف شبكات شبكات وأنظمتها وشبكاتها مثل الخطوط الجوية والمطارات في كوريا الجنوبية والمملكة العربية السعودية وباكستان. "بدا مستوى الوصول واسع الانتشار في كل مكان: تم اختراق نطاقات Active Directory تمامًا ، إلى جانب محولات Cisco Edge وأجهزة التوجيه والبنية التحتية للشبكات الداخلية بالكامل."

"حققوا الوصول الكامل إلى بوابات المطار وأنظمة التحكم في الأمان لديهم ، مما يسمح لهم وقال الباحثون إنهم اعترفوا بسرقة أوراق اعتماد البوابة. "لقد تمكنوا من الوصول إلى أوراق اعتماد PayPal و Go Daddy ، مما سمح لهم بإجراء عمليات شراء احتيالية والسماح لهم بالدخول غير المقيد إلى نطاقات الضحية. لقد شهدنا كمية مروعة من الوصول إلى أعمق أجزاء هذه الشركات والمطارات التي تعمل فيها. ”

وقد تم تسمية فريق القراصنة الإيرانيين بـ Tarh Andishan- المترجم إلى الإنجليزية كـ“ مفكرون ”أو“ مبتكرون ”- لأن بعض تم تتبع عملياتها إلى مجموعات عناوين IP (بروتوكول الإنترنت) المسجلة إلى كيان يدعى Tarh Andishan في طهران.

وقال الباحثون في "Cylance": "إن الكتل الصافية أعلاه لها ارتباطات قوية بشركات النفط والغاز المملوكة للدولة". "لدى هذه الشركات موظفين حاليين وسابقين خبراء في نظام التحكم الصناعي".

استخدم قراصنة "تارهان أنديشان" حقن SQL الشائعة أو هجمات التصيد بالرمح أو هجمات ثقب المياه للحصول على وصول أولي إلى جهاز كمبيوتر واحد أو أكثر من مؤسسة مستهدفة . ثم استخدموا أدوات استغلال الامتيازات وأدوات أخرى لخرق أنظمة إضافية والتعمق أكثر داخل شبكتها. ومع ذلك ، لم تتم ملاحظة أية عمليات استغلال لليوم صفر ، والتي تعتبر مآثر لثغرات أمنية لم تكن معروفة من قبل.

الأداة الرئيسية للمجموعة عبارة عن برنامج طروادة مخصص يسمى TinyZBot تم إنشاؤه بواسطة مطوريها. ومع ذلك ، فقد أصدرت Cylance أكثر من 150 أداة ، وعينات من البرامج الضارة ومؤشرات التسوية المرتبطة بنشاط المجموعة من أجل مساعدة صناعة الأمن في الكشف عن تسويات عملية Cleaver الحالية والمستقبلية.

"تقرير Cleaver للتوثيق يوثق كيف أن إيران هي الأولى يقول ستيوارت مكلور ، الرئيس التنفيذي والرئيس التنفيذي لسيليانس ، في مدونة على الإنترنت: "إن العالم الغربي ذو الدوافع العالية والمتحمس لتنفيذ هجمات خطيرة ضد البنية التحتية العالمية ، وليس استهداف الولايات المتحدة فحسب ، بل البنية التحتية الحيوية لأكثر من 12 دولة مختلفة". "إنهم لا يبحثون عن بطاقات ائتمانية أو تصميمات دقيقة ، بل يقومون بتحصين قبضتهم على عشرات الشبكات التي إذا أصيبت بالشلل فستؤثر على حياة المليارات من الناس."