القراصنة الإيرانيون يستهدفون العسكريين الأمريكيين
أوضح باحثون من وحدة سيسكو تالوس Cisco Talos الأمنية أن المتسللين المدعومين من الحكومة الإيرانية يحاولون إصابة المحاربين القدامى في الجيش الأمريكي بالبرامج الضارة بمساعدة موقع ويب ضار.
ويقدم الموقع – الذي يتظاهر بأنه المنظمة المسماة توظيف الأبطال العسكريين (HMH) – تطبيقًا مزيفًا لسطح المكتب للتنزيل على أمل تنزيله وتثبيته من قبل المحاربين القدامى الأمريكيين لكي يتمكنوا من الوصول إلى عروض الوظائف.
لكن الباحثين في سيسكو تالوس يقولون: إن التطبيق يثبت برامج ضارة فقط على أنظمة المستخدمين ويظهر رسالة خطأ تشير إلى فشل التثبيت.
وتستمر البرامج الضارة بالعمل على أجهزة الحواسيب الخاصة بالضحايا خلف الكواليس، مع جمع المعلومات حول المواصفات التقنية للنظام، وإرسال البيانات إلى صندوق بريد جيميل يتحكم فيه المهاجمون.
وتشمل البيانات المجمعة من قبل البرامج الضارة معلومات حول النظام والتصحيحات الأمنية وعدد المعالجات وإعدادات الشبكة والأجهزة والعتاد وإصدارات البرامج الثابتة ووحدة تحكم المجال واسم المسؤول وقائمة الحساب والتاريخ والوقت.
وقال الباحثون في سيسكو تالوس الذين قاموا بتحليل البرامج الضارة: هذه كمية كبيرة من المعلومات المتعلقة بجهاز ما، مما يجعل المهاجم مستعدًا لتنفيذ هجمات إضافية.
وإلى جانب جمع البيانات، فإن البرامج الضارة تثبت حصان طروادة عن بعد (RAT)، وهو نوع من البرامج الضارة التي يمكن أن تمنح المهاجمين إمكانية الوصول عبر نظام مصاب.
ووفقًا لتقرير سيسكو تالوس، فإن بإمكان حصان طروادة (RAT) تشغيل الملفات التي تم تنزيلها من الإنترنت، وتنفيذ أوامر (Shell)، وإزالة نفسه من حاسب المضيف، إذا لزم الأمر.
ويبدو أن طريقة عمل المتسللين تعتمد على استخدام الموقع المزيف لتوظيف المحاربين القدامى من أجل إصابة الضحايا ثم تحديد الهدف الذي يريدون متابعته.
وقال أحد محللي الأمن السيبراني التابع لوزارة الأمن الداخلي: إن المهاجمين يطاردون الشبكات العسكرية بشكل واضح، مضيفًا أن المتسللين لا يستهدفون المحاربين القدامى، بل يستهدفون الجنود الذين يبحثون عن وظائف عندما تنتهي خدمتهم.
وأضاف “يأمل المتسللون في أن يستخدم أحد أهدافهم نظام وزارة الدفاع لتنزيل البرامج الضارة وتشغيلها، وبالرغم من أن الفرص منخفضة، لكنها تستحق العناء”.
وقالت وحدة الأمن سيسكو تالوس: إنها لا تملك أي تفاصيل حول الأساليب التي يستخدمها المتسللون لنشر روابط هذا الموقع وخداع الضحايا لتثبيت البرامج الضارة.
وربط فريق تالوس هذه الحملة بمجموعة القرصنة المكتشفة مؤخرًا المعروفة باسم تورتواشيل (Tortoiseshell)، والتي يعتقد أنها تعمل تحت حماية الحكومة الإيرانية.
ووفقًا لسيمانتيك، فإن هذه المجموعة متورطة في هجمات على 11 من مزودي تكنولوجيا المعلومات في المملكة العربية السعودية، ويعتقد أن الغرض من هذه الهجمات هو استخدام البنى التحتية لهذه الشركات الـ 11 لنشر البرامج الضارة ضمن شبكات عملائها.
