كانت الجهات الفاعلة في مجال التهديد الإيراني على الرادار وفي مرمى الحكومة الأمريكية والباحثين الأمنيين على حدٍ سواء هذا الشهر مع ما يبدو أنه تكثيف وحملة قمع لاحقة ضدهم. نشاط التهديد من مجموعات التهديد المستمر المتقدم (APT) المرتبطة بالحرس الثوري الإسلامي الإيراني (IRGC).
وكشفت الحكومة الأمريكية يوم الأربعاء في وقت واحد مخطط قرصنة متقن من قبل ولوائح اتهام ضد العديد من المواطنين الإيرانيين بفضل وثائق المحكمة التي تم الكشف عنها مؤخرًا، وحذرت المنظمات الأمريكية من نشاط APT الإيراني إلى استغلال نقاط الضعف المعروفة - بما في ذلك ProxyShell الذي تعرض لهجوم واسع النطاق و Log4Shell العيوب – بغرض هجمات برامج الفدية.
وفي الوقت نفسه، كشف بحث منفصل مؤخرًا أن جهة فاعلة تهديدية إيرانية ترعاها الدولة تم تتبعها باسم APT42 قد تم الربط إلى أكثر من 30 هجومًا تجسسيًا إلكترونيًا مؤكدًا منذ عام 2015، والتي استهدفت أفرادًا ومنظمات ذات أهمية استراتيجية لإيران، مع أهداف في أستراليا وأوروبا والشرق الأوسط والولايات المتحدة.
وتأتي هذه الأخبار وسط توترات متزايدة بين الولايات المتحدة وإيران في أعقاب العقوبات المفروضة ضد الأمة الإسلامية بسبب نشاطها الأخير في مجال التهديدات المستمرة المتقدمة، بما في ذلك الهجوم السيبراني ضد الحكومة الألبانية في يوليو/تموز، تسبب ذلك في إغلاق المواقع الحكومية والخدمات العامة عبر الإنترنت، وتعرض لانتقادات واسعة النطاق.
علاوة على ذلك، قال الباحثون إنه مع تصاعد التوترات السياسية بين إيران والغرب مع تحالف الدولة بشكل أوثق مع الصين وروسيا، فإن الدافع السياسي لإيران لنشاط التهديد السيبراني يتزايد. من المرجح أن تصبح الهجمات ذات دوافع مالية عندما تواجه عقوبات من الأعداء السياسيين، كما تشير نيكول هوفمان، كبيرة محللي استخبارات التهديدات السيبرانية في شركة Digital Shadows التي تقدم حلول الحماية من المخاطر.
مستمرة ومفيدة
ومع ذلك، في حين يبدو أن العناوين الرئيسية تعكس زيادة في نشاط التهديدات السيبرانية الأخيرة من التهديدات المستمرة المتقدمة الإيرانية، قال الباحثون إن الأخبار الأخيرة عن الهجمات ولوائح الاتهام هي انعكاس للنشاط المستمر والمستمر من قبل إيران لتعزيز مصالح مجرمي الإنترنت وأجندتها السياسية في جميع أنحاء العالم. .
وأشار إميل هيغيبارت، محلل مانديانت، في رسالة بالبريد الإلكتروني إلى دارك ريدينغ: "إن التقارير الإعلامية المتزايدة حول نشاط التهديد السيبراني الإيراني لا ترتبط بالضرورة بارتفاع النشاط المذكور".
ويوافقه أوبري بيرين، كبير محللي استخبارات التهديدات في شركة Qualys، قائلاً: "إذا نظرت إلى النطاق الكامل لنشاط الدولة القومية، فستجد أن إيران لم تبطئ جهودها". "تمامًا مثل أي مجموعة منظمة، فإن إصرارهم هو مفتاح نجاحهم، سواء على المدى الطويل أو القصير."
ومع ذلك، فإن إيران، مثل أي جهة تهديد، انتهازية، ومن المؤكد أن الخوف وعدم اليقين السائدين حاليًا بسبب التحديات الجيوسياسية والاقتصادية - مثل الحرب المستمرة في أوكرانيا، والتضخم، والتوترات العالمية الأخرى - يعزز بالتأكيد جهود التهديدات المستمرة المتقدمة لديهم. يقول.
السلطات تأخذ إشعارا
لم تمر الثقة والجرأة المتزايدة للتهديدات المستمرة الإيرانية الإيرانية دون أن تلاحظها السلطات العالمية - بما في ذلك تلك الموجودة في الولايات المتحدة، التي يبدو أنها سئمت من الاشتباكات السيبرانية العدائية المستمرة في البلاد، بعد أن تحملتها طوال العقد الماضي على الأقل.
سلطت لائحة الاتهام التي كشفت عنها وزارة العدل (DoJ) ومكتب المدعي العام الأمريكي في مقاطعة نيوجيرسي يوم الأربعاء الضوء بشكل خاص على نشاط برامج الفدية التي حدثت بين فبراير 2021 وفبراير 2022 وأثرت على مئات الضحايا في عدة ولايات أمريكية، بما في ذلك إلينوي. ميسيسيبي ونيوجيرسي وبنسلفانيا وواشنطن.
وكشفت لائحة الاتهام أنه منذ أكتوبر 2020 وحتى الوقت الحاضر، شارك ثلاثة مواطنين إيرانيين – منصور أحمدي، وأحمد خطيبي أغدا، وأمير حسين نيكاين رافاري – في هجمات برامج الفدية التي استغلت نقاط الضعف المعروفة لسرقة وتشفير بيانات مئات الضحايا في الولايات المتحدة. المملكة المتحدة وإسرائيل وإيران وأماكن أخرى.
حذرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ومكتب التحقيقات الفيدرالي (FBI) ووكالات أخرى في وقت لاحق من أن الجهات الفاعلة المرتبطة بالحرس الثوري الإيراني، وهي وكالة حكومية إيرانية مكلفة بالدفاع عن القيادة من التهديدات الداخلية والخارجية المتصورة، قد استغلت ومن المرجح أن تستمر في استغلال مايكروسوفت. ونقاط الضعف في Fortinet - بما في ذلك خلل في Exchange Server يُعرف باسم بروكسيشيل – في النشاط الذي تم اكتشافه بين ديسمبر 2020 وفبراير 2021.
وقالت الوكالات إن المهاجمين، الذين يُعتقد أنهم يتصرفون بناءً على طلب من APT إيرانية، استخدموا الثغرات الأمنية للوصول الأولي إلى كيانات عبر العديد من قطاعات البنية التحتية الحيوية الأمريكية والمنظمات في أستراليا وكندا والمملكة المتحدة لبرامج الفدية وغيرها من عمليات الجرائم الإلكترونية. قال.
يقوم ممثلو التهديد بحماية أنشطتهم الخبيثة باستخدام اسمين لشركتين: شركة Najee Technology Hooshmand Fater LLC، ومقرها في كرج، إيران؛ وشركة أفكار سيستم يزد، ومقرها مدينة يزد الإيرانية، بحسب لائحة الاتهام.
APT42 وفهم التهديدات
إذا كانت الموجة الأخيرة من العناوين الرئيسية التي تركز على التهديدات المستمرة المتقدمة الإيرانية تبدو مذهلة، فذلك لأن الأمر استغرق سنوات من التحليل والتحري فقط لتحديد النشاط، ولا تزال السلطات والباحثون على حد سواء يحاولون فهم كل شيء، كما يقول هوفمان من شركة Digital Shadows.
وتقول: "بمجرد التعرف على هذه الهجمات، يستغرق التحقيق فيها أيضًا قدرًا معقولاً من الوقت". "هناك الكثير من قطع الألغاز التي يجب تحليلها وتجميعها."
قام الباحثون في Mandiant مؤخرًا بتجميع لغز واحد تم الكشف عنه سنوات من نشاط التجسس الإلكتروني يبدأ كتصيد احتيالي ولكنه يؤدي إلى مراقبة هواتف أندرويد ومراقبتها بواسطة APT42 المرتبطة بالحرس الثوري الإيراني، والتي يُعتقد أنها مجموعة فرعية من مجموعة تهديد إيرانية أخرى، APT35/القط الساحر/الفوسفور.
معا، المجموعتان أيضا متصل قال الباحثون إن مجموعة التهديدات غير المصنفة التي يتم تتبعها باسم UNC2448، والتي حددتها Microsoft وSecureworks على أنها مجموعة فرعية من الفوسفور تنفذ هجمات برامج الفدية لتحقيق مكاسب مالية باستخدام BitLocker.
ولتكثيف المؤامرة بشكل أكبر، يبدو أن هذه المجموعة الفرعية تديرها شركة تستخدم اسمين مستعارين عامين، هما Secnerd وLifeweb، اللذان لهما روابط بإحدى الشركات التي يديرها المواطنون الإيرانيون المتهمون في قضية وزارة العدل: Najee Technology Hooshmand.
حتى مع استيعاب المنظمات لتأثير هذه الاكتشافات، قال الباحثون إن الهجمات لم تنته بعد ومن المرجح أن تتنوع مع استمرار إيران في هدفها المتمثل في ممارسة الهيمنة السياسية على أعدائها، حسبما أشار هيغيبارت من مانديانت في بريده الإلكتروني.
وقال لدارك ريدينغ: "نقدر أن إيران ستواصل استخدام مجموعة كاملة من العمليات التي تتيحها قدراتها السيبرانية على المدى الطويل". "بالإضافة إلى ذلك، نعتقد أن النشاط التخريبي باستخدام برامج الفدية والممسحات وغيرها من تقنيات القفل والتسريب قد يصبح شائعًا بشكل متزايد إذا ظلت إيران معزولة على الساحة الدولية واستمرت التوترات مع جيرانها في المنطقة والغرب في التفاقم."
