أخبار الإنترنتالأمن الإلكترونيتحت الضوءدراسات وتقارير

فاير آي: الإيرانيون يقفون وراء حملة قرصنة غير مسبوقة

كشفت شركة فاير آي FireEye المتخصصة في الأمن الإلكتروني عن حملة قرصنة عالمية متطورة للغاية لاختطاف نظام أسماء النطاقات DNS hijacking، وفي حين أن الشركة لم تربط هذا النشاط بأي مجموعة متتبعة، إلا أن الأبحاث الأولية تشير إلى أن الممثل أو الجهات الفاعلة المسؤولة تتعامل مع إيران وتنسجم مصالح الحملة مع مصالح الحكومة الإيرانية، حيث قامت هذه الجهات خلال الحملة بإعادة توجيه حركة المرور من الشركات في جميع أنحاء العالم عبر خوادمها الخبيثة، مع تسجيل بيانات اعتماد الشركات من أجل هجمات مستقبلية.

وعملت فاير آي عن كثب مع الضحايا ومنظمات الأمن ووكالات تطبيق القانون، حيث تشمل المنظمات المتأثرة بهذه الحملة شركات الاتصالات ومزودي خدمات الإنترنت ومقدمي البنية التحتية للإنترنت والحكومات والكيانات التجارية الحساسة في جميع أنحاء الشرق الأوسط وشمال أفريقيا وأوروبا وأمريكا الشمالية، والتي قد تكون معلوماتها السرية ذات أهمية للحكومة الإيرانية.

وتستخدم هذه الحملة بعض التكتيكات التقليدية، إلا أنها تختلف عن غيرها من النشاط الإيراني الذي تابعته الشركة، إذ إنها تستغل تقنية اختطاف نظام أسماء النطاقات بشكل كبير، ويعتقد محللو FireEye أن المجموعة الواقع مقرها في إيران هي المسؤولة عن الهجمات، بالرغم من عدم وجود دليل قاطع يمكن الاستناد عليه حتى الآن.

وقال الباحثون إن القيمة المادية للكيانات المستهدفة من قبل المجموعة ضئيلة نسبيًا، كما قالوا إنهم وجدوا أن بعض البنى التحتية للضحايا تم الوصول إليها خلال هذه الهجمات عبر عناوين IP إيرانية تمت مراقبتها سابقاً أثناء قيام فاير آي FireEye بالتصدي لهجمات أخرى، والتي نسبت إلى التجسس الإيراني.

وأصدرت شركة فاير آي FireEye تقرير يعطي فكرة عن هذه الهجمات، والتي كانت تحدث على الأقل منذ شهر يناير/كانون الثاني 2017، ووصفت نطاق وتأثير هذه الحملة بأنه غير مسبوق، حيث لم يهاجم القراصنة الضحايا لجمع بيانات اعتماد البريد الإلكتروني، مثل معظم مجموعات التجسس الإلكتروني، بل قاموا بدلًا من ذلك بتعديل سجلات DNS لإعادة تشكيل حركة مرور الإنترنت داخل المؤسسات واختطاف الأجزاء التي يريدونها.

وتقول فاير آي FireEye إنها حددت ثلاثة أساليب مختلفة تستخدم في هذه الهجمات:

الأسلوب الأول: يغير المهاجمون سجلات DNS لخادم بريد الضحية لإعادة توجيهه إلى خادم البريد الإلكتروني الخاص بهم، كما يستخدم المهاجمون أيضًا شهادات Let’s Encrypt لدعم حركة مرور HTTPS والاتصال بموازن التحميل لإعادة توجيه الضحايا إلى خادم البريد الإلكتروني الحقيقي بعد جمع بيانات اعتماد تسجيل الدخول من الضحايا ضمن الخادم الخاص بهم دون أن يلاحظ الضحايا أي تغييرات ما عدى وجود تأخير طفيف.

الأسلوب الثاني: نفس الأسلوب الأول، لكن الفرق يكمن في تعديل سجلات DNS الفعلية للشركة، حيث قام المهاجمون في الأسلوب الأول بتغيير سجلات DNS A عبر حساب في مزود DNS المدار، بينما في هذا الأسلوب، قام المهاجمون بتغيير سجلات DNS NS عبر حساب موفر TLD (اسم المجال) من أجل جمع بيانات اعتماد تسجيل الدخول من الضحايا ضمن الخادم الخاص بهم دون أن يلاحظ الضحايا أي تغييرات ما عدى وجود تأخير طفيف.

الأسلوب الثالث: يعتمد هذا على الأسلوب على DNS Redirector، والذي هو عبارة عن صندوق عمليات للمهاجمين يستجيب لطلبات DNS من سجل DNS المختطف، بحيث إذا جاء طلب DNS (لخادم بريد الشركة) من داخل الشركة، فسوف يتم إعادة توجيه المستخدم إلى الخادم الخبيث الذي يشغله المهاجمون، لكن إذا جاء الطلب من خارج الشركة، فسوف يتم توجيه الطلب إلى خادم البريد الإلكتروني الحقيقي.

وتعتمد كل هذه الهجمات على قدرة المهاجمين على تغيير سجلات DNS الخاصة بالشركة، والتي لا يستطيع سوى عدد قليل من الأشخاص داخل الشركة القيام بها، ويتطلب هذا عادًة الوصول إلى الحسابات على مسجلي النطاقات أو الشركات التي توفر خدمات DNS المدارة أو خوادم DNS الداخلية.

وقالت فاير آي: “بالرغم من أن الآلية الدقيقة التي تم من خلالها تغيير سجلات DNS ما تزال غير معروفة، إلا أننا نعتقد أن بعض السجلات، على الأقل، قد تم تغييرها من خلال اختراق حساب مسجل النطاق الخاص بالضحية”، وأوضحت أن تحقيقاتها في حملة الاختراق العالمية هذه لا تزال مستمرة إلى حد كبير.

كما أشارت شركة الأمن الإلكتروني الأمريكية إلى أن هذا النوع من الهجمات يصعب صدها لأن المهاجمين لا يدخلون إلى الشبكة الداخلية للشركة في معظم الحالات، ومن غير المرجح أن تطلق برامج الأمن المحلية تنبيهات حولها، وتتمثل الخطوات الأولى لمكافحة هذه الهجمات، كما توصي فاير آي، في تمكين المصادقة الثنائية لحسابات إدارة DNS و TLD، وإعداد التنبيهات لأي تغييرات في سجلات DNS A أو NS.

زر الذهاب إلى الأعلى