يقوم الباحثون بتفكيك عملية التجسس الإيراني على مدى عقد من الزمان

عمل الباحثون مع مسجلي النطاق للاستيلاء على المجالات المستخدمة من قبل المهاجمين للسيطرة على أجهزة الكمبيوتر المصابة Infy وتوجيه الضحايا "حركة المرور إلى الخادم بالثقب - الخادم الذي يسيطر عليه الباحثون.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

تم بعد ذلك نقل التحكم في الخادم إلى مؤسسة Shadowserver ، وهي مجموعة صناعية تتعقب شبكات الروبوت وتعمل مع مزودي خدمات الإنترنت وأطراف أخرى لإخطار الضحايا.

اقتحم عمل البنية التحتية للقيادة والتحكم (C2) المتسللين "القدرة على سرقة البيانات من الضحايا ، وهو أمر حاولوا تصحيحه دون جدوى عندما أدركوا أن هناك شيئًا خاطئًا."

لاحظ باحثو بالو ألتو 326 جهازًا مصابًا بفيروسات عدوى في 35 دولة ، مع وجود نصفهم تقريبًا في إيران. هذا يشير إلى أن مجموعة القراصنة كانت تركز على المواطنين الإيرانيين ، ربما لأغراض المراقبة.

إجمالي عدد الضحايا منخفض نسبياً مقارنة بحملات سايبركريمين ، ولكن ليس استثنائياً لعمليات التجسس السيبراني ، التي هي بطبيعتها مستهدفة في الطبيعة. > حوالي 50 بالمائة من الضحايا كانوا مصابين بفيروس Infy و Infy M ، وهو نوع أحدث وأكثر قدرة من البرامج الضارة ، مما يوحي بأن هؤلاء الضحايا ربما كانوا أهدافًا ذات قيمة عالية تستحق مزيدًا من الاهتمام.

من المرجح أن المجموعة Infy سيعود مع حملات هجوم جديدة في المستقبل ، ولكن لن يكون من السهل إعادة بناء بنيتهم ​​الأساسية. ومن المحتمل أيضًا أن يكون حل هذه الأهداف مرة أخرى أمرًا صعبًا ، خاصةً وأن Shadowserver عمل على إخطار الضحايا.

شاركت Palo Alto Networks بمؤشرات التسوية و Infly sample hashes لذا يجب على المهاجمين تجديد العملية بأكملها إذا أرادوا البقاء غير مكتشفة في المستقبل.