القراصنة الإيرانيون يخترقون خوادم VPN
كشف تقرير جديد صادر عن شركة الأمن السيبراني ClearSky أن مجموعات القرصنة التي تدعمها الحكومة الإيرانية قد أعطت أولوية قصوى في العام الماضي لاستغلال أخطاء الشبكات الافتراضية الخاصة VPN، بمجرد أن تصبح عامة؛ من أجل التسلل وزرع الأبواب الخلفية في الشركات في جميع أنحاء العالم.
واستهدف المتسللون الإيرانيون الشركات العاملة في قطاعات تكنولوجيا المعلومات والاتصالات والنفط والغاز والطيران والحكومة والأمن، ويأتي التقرير لتبديد فكرة أن المتسللين الإيرانيين ليسوا متطورين، وأنهم أقل موهبة من نظرائهم الروس أو الصينيين أو الكوريين الشماليين.
وتقول ClearSky: إن مجموعات الاختراق الإيرانية طورت قدرات هجومية تقنية جيدة وقادرة على استغلال نقاط الضعف في فترات زمنية قصيرة نسبيًا، ولاحظنا في بعض الحالات أن الجماعات الإيرانية تستغل عيوب VPN في غضون ساعات بعد الكشف عن الأخطاء بشكل علني.
وأوضحت شركة الأمن السيبراني أن الجماعات الإيرانية كانت سريعة في استغلال الثغرات الأمنية التي تم الكشف عنها في عام 2019 ضمن خدمات Connect VPN و FortiOS VPN و Global Protect VPN و ADC VPN من شركات Pulse Secure و Fortinet و Palo Alto Networks و Citrix.
وبدأت الهجمات على هذه الأنظمة في الصيف الماضي، عندما نُشرت تفاصيل حول الأخطاء، لكنها استمرت أيضًا في عام 2020، وكان الغرض منها هو اختراق شبكات المؤسسات، والتحرك بشكل خفي في جميع أنحاء أنظمتها الداخلية، وزرع الأبواب الخلفية لاستغلالها في وقت لاحق.
وبينما استهدفت المرحلة الأولى من هجماتهم اختراق شبكات VPN، فإن المرحلة الثانية تضمنت استخدام مجموعة شاملة من الأدوات والتقنيات، التي توضح مدى تقدم وحدات التطفل الإيرانية هذه في السنوات الأخيرة.
واستغل المتسللون تقنية معروفة منذ فترة طويلة للحصول على حقوق المسؤول على أنظمة ويندوز عبر أداة الوصول السريع المسماة Sticky Keys، كما استغلوا أدوات قرصنة مفتوحة المصدر مثل JuicyPotato و Invoke the Hash، إلى جانب استخدام أدوات مسؤول النظام مثل Putty أو Plink أو Ngrok أو Serveo أو FRP.
وكشف التقرير أيضًا عن أن الجماعات الإيرانية تتعاون وتتصرف كمجموعة واحدة، وسلطت ClearSky الضوء على أن الهجمات على خوادم VPN في جميع أنحاء العالم تبدو وكأنها من عمل ثلاث مجموعات إيرانية، وهي APT33 أو Shamoon و APT34 أو Oilrig و APT39 أو Chafer.
ويبدو أن الغرض من هذه الهجمات في الوقت الحالي هو إجراء عمليات الاستطلاع وزرع الأبواب الخلفية من أجل عمليات المراقبة، ومع ذلك، تخشى ClearSky من أن الوصول إلى جميع شبكات المؤسسات المصابة هذه يمكن استخدامه في المستقبل لنشر برامج ضارة تمسح البيانات وتخرب الشركات، وتوقف الشبكات والعمليات التجارية.
