اكتشاف ملف خبيث في تحقيق هجوم Stryker الإلكتروني المرتبط بإيران
تحقيق Stryker بعد هجوم سيبراني مرتبط بالحكومة الإيرانية
شاركت شركة Stryker، عملاق التكنولوجيا الطبية، تحديثًا حول تحقيقها في الهجوم السيبراني الأخير المرتبط بإيران، كاشفة عن تحديد ملف خبيث استخدمه المهاجمون.
ظهر الحادث لأول مرة في 11 مارس، عندما تبنت مجموعة الهاكرز Handala الهجوم.
تُعتبر Handala على نطاق واسع شخصية هاكتيفست تحت سيطرة وزارة الاستخبارات والأمن الإيرانية (MOIS)، وادعت أنها قامت بمحو أكثر من 200,000 جهاز، مما اضطر Stryker لإغلاق مكاتبها في عشرات الدول.
تشير بعض التقارير الأولية إلى أن Handala استخدمت برمجيات محو البيانات (wiper malware) في الهجوم، لكن Stryker أوضحت أنها لم تجد أي دليل على نشر برمجيات خبيثة أو فدية على أنظمتها.
السيناريو الأكثر ترجيحًا
بناءً على الأدلة المتوفرة، من المرجح أن المهاجمين محو الأنظمة من خلال استغلال Microsoft Intune الخاص بشركة Stryker، وهو أداة تُستخدم لإدارة أجهزة المكتب والهواتف المحمولة والتطبيقات عن بُعد.
هناك دلائل على أن Handala قد استخدمت بيانات اعتماد تم الحصول عليها عبر برمجيات سرقة المعلومات (infostealer malware) للوصول إلى النظام.
أفادت Stryker أن الحادث أدى إلى تعطيل معالجة الطلبات، التصنيع، والشحن، لكنها أعلنت يوم الإثنين أنها أحرزت تقدمًا ملموسًا في استعادة الأنظمة المتأثرة.
الملف الخبيث المكتشف
لأول مرة، شاركت Stryker بعض المعلومات التقنية حول الحادث:
“في بداية التحقيق، لم نر أي مؤشر على وجود برمجيات خبيثة أو فدية. لكن مع تقدم التحقيق، وبالتعاون مع Palo Alto Networks Unit 42 وخبراء آخرين، اكتشفنا أن الجهة المهددة استخدمت ملفًا خبيثًا لتشغيل أوامر سمحت لهم بإخفاء نشاطهم داخل أنظمتنا.”
وأضافت الشركة:
“لنكون واضحين، هذا الملف لم يكن قادرًا على الانتشار داخل بيئتنا أو خارجها. والأهم من ذلك، لم يتم تحديد أي نشاط خبيث يستهدف عملائنا أو مورّدينا أو شركائنا.”
يبدو أن الملف المذكور قد يكون برنامجًا صغيرًا مخصصًا أو سكريبتًا بدلًا من كونه برمجية خبيثة حقيقية، لكنه يدل على أن المهاجمين نشروا أدواتهم الخاصة على الأنظمة المخترقة ولم يعتمدوا فقط على برامج موجودة مسبقًا.
تعاون مع الحكومة الأمريكية وتقييم Palo Alto Networks
- قامت Stryker بنشر تقييم من Palo Alto Networks لتأكيد احتواء الحادث.
- ربطت الحكومة الأمريكية رسميًا Handala بوزارة الاستخبارات الإيرانية (MOIS)، وتم تعطيل عدة مواقع إلكترونية استخدمها المهاجمون.
- أصدرت FBI تنبيهًا يوضح معلومات عن الهجمات التي نفذها جهات مهددة مثل Handala، بما في ذلك البرمجيات التي تستخدمها:
“حصل مكتب التحقيقات الفيدرالي على عينات برمجيات خبيثة من خلال التحقيقات، صُنفت كالتالي:
- مرحلة 1: برمجيات متنكرة كمستخدم شائع مثل Pictory، KeePass، وTelegram وتحتوي على الملفات الثنائية للمرحلة التالية.
- مرحلة 2: زرع مستمر (persistent implant) يظهر بعد تشغيل المرحلة الأولى وتفاعل محتمل من المستخدم. في هذه المرحلة، قام الفاعلون السيبرانيون بتكوين قناة تحكم وسيطرة (C2) باستخدام بوت على Telegram، مما يسمح بالاتصال ثنائي الاتجاه بين الجهاز المخترق وapi.telegram[.]org. تُعتبر هذه المرحلتان الوظائف الأساسية للحملة الخبيثة.”
أكدت Stryker أنها تعمل مع الوكالات الحكومية الأمريكية في التحقيق، لكن من غير المحتمل أن يكون الملف الموصوف في تنبيه FBI مرتبطًا بالهجوم على الشركة، إذا لم يكن هناك أي برمجيات خبيثة فعلًا مستخدمة في الحادث.
اقرا ايضا:
هجوم سيبراني مدمر يضرب شركة Stryker: برمجية Wiper تمسح الأنظمة عالميًا وتعطل عمليات الشركة
