قراصنة إيرانيون مرتبطون بمجموعة MuddyWater يستهدفون شبكات أمريكية بباب خلفي جديد يُدعى Dindoor

كشفت أبحاث جديدة صادرة عن فريق Symantec وCarbon Black Threat Hunter التابعين لشركة Broadcom عن أدلة تشير إلى أن مجموعة قرصنة مرتبطة بإيران تمكنت من التسلل إلى شبكات عدد من الشركات داخل الولايات المتحدة، من بينها بنوك ومطارات ومنظمات غير ربحية، إضافة إلى الفرع الإسرائيلي لإحدى شركات البرمجيات.

وقد نُسب هذا النشاط إلى مجموعة قرصنة مدعومة من الدولة تُعرف باسم MuddyWater (وتُعرف أيضًا باسم Seedworm)، وهي مجموعة يُعتقد أنها مرتبطة بوزارة الاستخبارات والأمن الإيرانية Iranian Ministry of Intelligence and Security. وتشير التقديرات إلى أن الحملة بدأت في أوائل شهر فبراير، مع رصد نشاط متجدد عقب الضربات العسكرية الأمريكية والإسرائيلية على إيران.

وذكر التقرير أن شركة البرمجيات المستهدفة تُعد موردًا لقطاعات الدفاع والطيران وغيرها، ولديها وجود في إسرائيل، ويبدو أن الفرع الإسرائيلي للشركة كان الهدف الرئيسي من هذه الهجمات.

باب خلفي جديد باسم Dindoor

أظهرت التحقيقات أن الهجمات التي استهدفت شركة البرمجيات، إضافة إلى بنك أمريكي ومنظمة غير ربحية في كندا، مهدت الطريق لنشر باب خلفي جديد غير معروف سابقًا أُطلق عليه اسم Dindoor. ويعتمد هذا الباب الخلفي على بيئة تشغيل JavaScript المعروفة باسم Deno لتنفيذ الأوامر.

كما أفادت Broadcom بأنها رصدت محاولة لسرقة بيانات من شركة البرمجيات باستخدام أداة Rclone لنقل البيانات إلى مخزن سحابي تابع لخدمة Wasabi Technologies، إلا أنه لم يتضح حتى الآن ما إذا كانت عملية تسريب البيانات قد نجحت.

اكتشاف باب خلفي آخر باسم Fakeset

كما عُثر داخل شبكات مطار أمريكي ومنظمة غير ربحية على باب خلفي آخر مكتوب بلغة Python يُعرف باسم Fakeset، وقد تم تنزيله من خوادم شركة Backblaze الأمريكية المتخصصة في التخزين السحابي والنسخ الاحتياطي للبيانات.

وأشار الباحثون إلى أن الشهادة الرقمية المستخدمة لتوقيع برنامج Fakeset استُخدمت أيضًا لتوقيع برمجيات خبيثة أخرى مثل Stagecomp وDarkcomp، وكلاهما ارتبط سابقًا بمجموعة MuddyWater.

وأكد باحثو Symantec وCarbon Black أن استخدام نفس الشهادات الرقمية يشير بقوة إلى أن الجهة نفسها، أي مجموعة Seedworm، تقف وراء النشاط الذي استهدف شبكات الشركات الأمريكية.

تطور قدرات القراصنة الإيرانيين

وأوضح التقرير أن الجهات الإيرانية المنخرطة في الهجمات السيبرانية أصبحت أكثر تطورًا خلال السنوات الأخيرة، إذ لم تكتفِ بتطوير أدواتها وبرمجياتها الخبيثة، بل أظهرت أيضًا مهارات متقدمة في الهندسة الاجتماعية، مثل حملات التصيد الاحتيالي الموجهة وعمليات ما يُعرف بـ”مصيدة العسل” التي تهدف إلى بناء علاقات مع الضحايا للحصول على معلومات حساسة أو الوصول إلى حساباتهم.

تصاعد الهجمات السيبرانية مع التوتر العسكري

تأتي هذه التطورات في ظل تصاعد التوتر العسكري في إيران، ما أدى إلى موجة متزايدة من الهجمات الإلكترونية. فقد كشفت أبحاث حديثة من شركة Check Point أن مجموعة القراصنة المؤيدة لفلسطين المعروفة باسم Handala Hack (المعروفة أيضًا باسم Void Manticore) استخدمت نطاقات عناوين IP لخدمة الإنترنت الفضائي Starlink لاستهداف التطبيقات المتصلة بالإنترنت والبحث عن أخطاء في الإعدادات أو بيانات اعتماد ضعيفة.

وخلال الأشهر الأخيرة، لوحظ أيضًا أن جهات تهديد مرتبطة بإيران مثل مجموعة Agrius تقوم بمسح شبكات الإنترنت بحثًا عن كاميرات المراقبة الضعيفة من شركة Hikvision مستغلة ثغرات أمنية معروفة مثل:

• CVE-2017-7921
• CVE-2023-6895

استهداف كاميرات المراقبة في الشرق الأوسط

ووفقًا لـCheck Point، فقد تصاعدت محاولات استغلال الثغرات في كاميرات المراقبة بشكل ملحوظ مع اشتداد الصراع في الشرق الأوسط، خصوصًا في إسرائيل ودول الخليج مثل الإمارات وقطر والبحرين والكويت، إضافة إلى لبنان وقبرص.

وشملت الهجمات كاميرات من شركات مثل Dahua Technology و**Hikvision** باستخدام عدة ثغرات أمنية من بينها:

• CVE-2021-36260
• CVE-2025-34067
• CVE-2021-33044

وأشار التقرير إلى أن اختراق الكاميرات قد يُستخدم لأغراض عسكرية، مثل دعم العمليات الميدانية وتقييم الأضرار بعد الهجمات الصاروخية.

تحذيرات من هجمات انتقامية

في السياق ذاته، أصدر Canadian Centre for Cyber Security تحذيرًا من احتمال أن تستخدم إيران قدراتها السيبرانية لتنفيذ هجمات انتقامية ضد البنية التحتية الحيوية أو تنفيذ عمليات تأثير إعلامي لخدمة مصالحها.

تطورات أخرى في المشهد السيبراني

شهدت الأيام الأخيرة عدة تطورات مرتبطة بالصراع السيبراني، من أبرزها:

• تقارير إعلامية تشير إلى أن أجهزة الاستخبارات الإسرائيلية اخترقت شبكة كاميرات المرور في طهران لسنوات لمراقبة تحركات حراس المرشد الإيراني Ali Khamenei ومسؤولين آخرين.
• إعلان وسائل إعلام إيرانية أن Islamic Revolutionary Guard Corps استهدفت مركز بيانات تابع لشركة Amazon في البحرين.
• تقارير عن هجمات تخريبية باستخدام برمجيات Wiper ضد قطاعات الطاقة والمال والحكومة والمرافق في إسرائيل.
• تحذيرات من نشاط متزايد لمجموعات القرصنة الإيرانية المدعومة من الدولة مثل MuddyWater وCharming Kitten وOilRig استعدادًا لهجمات انتقامية محتملة.

تحذيرات للمنظمات والشركات

ينصح خبراء الأمن السيبراني المؤسسات باتخاذ إجراءات وقائية لتعزيز أمنها الرقمي، مثل:

• تعزيز أنظمة المراقبة الأمنية.
• تقليل الأنظمة المكشوفة على الإنترنت.
• تعطيل الوصول البعيد إلى أنظمة التشغيل الصناعية.
• استخدام المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي.
• تقسيم الشبكات داخليًا.
• الاحتفاظ بنسخ احتياطية غير متصلة بالإنترنت.
• تحديث جميع التطبيقات والخوادم والأجهزة المتصلة بالإنترنت باستمرار.

وأكد خبراء الأمن أن المؤسسات الغربية يجب أن تبقى في حالة تأهب مرتفعة، إذ قد تتطور الهجمات الإلكترونية من مجرد نشاط تخريبي أو دعائي إلى عمليات أكثر تدميرًا مع استمرار التصعيد في المنطقة.

المصدر: thehackernews