نشر موقع شركة “سيكييور ووركس” (Secureworks ) الأميركية المتخصصة بالأمن السيبراني وحماية المؤسسات من التهديدات السيبرانية، تقريراً عن هجمات مستمرة ضد مواقع أميركية، وربطت هذه الهجمات عدا عن الممارسات الصينية، بالاستغلال الإيراني المتكرر للثغرات “بشكل مرجح لأهداف متعلقة بعمليات التجسس”. وبحسب المقال الذي يرد مصدره أدناه، “قام فريق Secureworks بالتحقيق في اقتحام طويل الأمد وخروقات متعددة، تظهر روابطها أنها تابعة لمجموعات تهديد إيرانية.
وتركزت هذه الخروقات على خوادم “مايكروسوفت”، “شيربوينت” (SharePoint) أو المخدم التبادلي المستخدم في المراسلة، “أكسشاينج” (Exchange)، وربطت بما يعرف بـ”قذائف الويب” (أي التي تستخدم في الهجمات) بروابط إلكترونية لمجموعات تهديد إيرانية. وهذا الأمر مستمر منذ مدة، حيث أبلغ باحثون في شهري آذار وتشرين الثاني 2020، عن حملة استهدفت فيها الجهات المهددة، باستخدام ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في خادم مايكروسوفت ( Microsoft Exchange Server ). ولاحظ الباحثون استمرار نشاط الاختراق هذا، حتى شهر نيسان 2021 على الأقل، وقد امتد على الأرجح حتى حزيران 2021. وقد صنف هذا النشاط كنشاط تطفل قديم حالي أي مستمر (…) وخلال عملية البحث عن التهديدات السيبرانية في نيسان 2021، حدد المستجيبون حوادث (…) أجريت بواسطة مجموعات تهديد مختلفة. ويسرد التقرير بالتفصيل عمليات التهديد بخرق عدة خوادم في نيسان 2019، بترميز ثابت، سمح للباحثين سابقاً بربط عناوين بروتوكول الإنترنت ( IP) وأسماء الملفات التي استخدمها المهاجمون في الإطار الزمني لشهر نيسان 2019، بمجموعة صينية. وربطت تقارير الأطراف الثالثة بعض أنشطة الاستغلال بمجموعة تهديد ما يعرف بـ”الاتحاد البرونزي” (BRONZE UNION) ومقرها الصين، وهي مجموعة معروفة بالتركيز على التجسس باستخدام عدة أدوات وأساليب.
(…) ويمكن للمهاجم الذي يمتلك بيانات اعتماد صالحة للمستخدم الاستفادة من الثغرة الأمنية المكتشفة لتنفيذ تعليمات برمجية عشوائية (…) وفي أوائل العام 2021، سجلت هجمة باستخدام نفس الحساب المخترق على الأرجح (…) وبعد حوالي ثلاثة أشهر، أعاد المهاجم استخدام تقنيات الاختراق نفسها لتنفيذ الأوامر مباشرة مع الاستفادة المحتملة من التعليمات البرمجية المتاحة من تطبيق “جيتهاب” (GitHub) للتعليمات البرمجية (…) ومن خلال التحقيق في اسم المضيف والحسابات المخترقة، حدد محققو Secureworks نشاط اقتحام إضافي، حيث توصل المهاجمون السيبرانيون إلى (…) إمكانية تحميل الملفات وتنزيلها وتنفيذ التعليمات البرمجية عن بعد (…) ومن المحتمل أن الاعتداءات نفذت من قبل الفاعل نفسه، على الرغم من أن لا دليل يؤكد ذلك بشكل قاطع.
أهداف تجسسية إيرانية
ومع ذللك، يربط التحليل نشاط التطفل الذي بدأ باختراق خوادم Exchange، بمجموعة تهديد إيرانية، وربما يحمّل المجموعة الإيرانية الشهيرة بالتجسس ” كوبالت جيبسي” (COBALT GYPSY)، المسؤولية (…) وتؤكد الطبيعة طويلة الأمد للتطفل، على الإصرار والمثابرة لتوفير نقاط خرق متعددة، أما العمل لمدة طويلة فهو نموذجي للجهات الفاعلة التي تركز على التجسس وليس على المكاسب المالية. ولوحظ أن طبيعة المنظمات المتضررة والاستهداف والنشاط الموصوف في تقارير الأطراف الثالثة (…) تتوافق مع أهداف مجموعات التهديد الإيرانية (…) أما بالنسبة لتقنيات إدخال البيانات وإخراجها، فقد سبق للجماعات الإيرانية أن استخدمت خدمات مماثلة (…) ويستنتج من ذلك أن مجموعات التهديد الإيرانية لا تزال تشكل تهديداً كبيراً. حيث تبحث بالإضافة إلى غيرها من الجهات الفاعلة في الهجمات السيبرانية، بنشاط عن نقاط الضعف التي يمكن استخدامها كسلاح. وتحاول بمجرد الوصول إلى شبكة مخترقة، تأسيس نقاط اختراق متعددة وسرقة بيانات اعتماد المستخدم الشرعية للحفاظ على إمكانية الوصول للمعلومات حتى بعد تصحيح الثغرات الأمنية.
حرب سيبرانية
وفي هذا السياق، لا تنكر إيران ولا الولايات المتحدة الأميركية أن الحرب السيبرانية تحتل قلب الاستراتيجية الحربية منذ أعوام، وقد نشرت تقارير عدة عن حملات استهدفت بنى تحتية في البلدين. وكان تقرير نشر على موقع “إيران بريمر” في تشرين الأول 2019 قد سلط الضوء على منح إدارة الرئيس الأميركي السابق، دونالد ترامب، صلاحيات مضافة لشن هجمات إلكترونية ضد البنية التحتية المدنية لوكالة الاستخبارات المركزية في أيلول 2018، وربط ذلك بحملة عرفت باسم “الألعاب الأولمبية”، وكانت تهدف منذ إدارة أوباما وبوش، لشلّ قدرات إيران النووية. ومن أحدث الأمثلة على الهجمات السيبرانية، الفوضى التي اندلعت في محطات القطارات في إيران مطلع تموز الجاري، على خلفية “هجوم سيبراني مجهول المصدر ضد شركة القطارات الوطنية”، بحسب ما نقل عن وكالة “فارس” الإيرانية.
إقرأ أيضاً: النفوذ الإيراني في سوريا “قشة” في ظهر الروس
ولا تكتفي الجهات الاميركية بتوجيه إصبع الاتهام لإيران وحدها، بل لحلفائها أيضاً، حيث اتهم وزير الخارجية الأميركي أنتوني بلينكن الاثنين، وزارة أمن الدولة الصينية، بتكليف قراصنة باستغلال ثغرة في أنظمة “مايكروسوفت”، للتجسس على الآلاف من الأجهزة التابعة لمؤسسات حكومية أميركية في وقت سابق من هذا العام.
المصادر: