حقائق سريعة

• UNC1549، المرتبطة بإيران، تستهدف شركات الطيران والدفاع منذ عام 2023 على الأقل.
• يستغل المهاجمون ضعف الموردين من الأطراف الثالثة لتجاوز الدفاعات الأساسية القوية.
• تشمل البرمجيات الخبيثة الرئيسية المستخدمة DEEPROOT (باب خلفي لنظام لينكس) وTWOSTROKE (باب خلفي لنظام ويندوز).
• يتم الحصول على الوصول الأولي غالبًا عبر التصيد الاحتيالي واستغلال بيانات اعتماد الشركاء الموثوقين.
• تظل البرمجيات الخبيثة خاملة لأشهر، ولا تنشط إلا بعد محاولات إزالتها.

التجسس في الظلال: كيف تتجاوز UNC1549 الدفاعات

تخيل لعبة شطرنج تُلعب في الظلام. المدافعون - وهم شركات الطيران والدفاع الكبرى - يعززون قلاعهم، مستعدين لهجوم مباشر. ومع ذلك، يصل التهديد الحقيقي بهدوء، متسللًا عبر باب جانبي تركه شريك موثوق مفتوحًا. هذه هي الحركة المميزة لـ UNC1549، مجموعة القرصنة المرتبطة بإيران والمعروفة أيضًا باسم Nimbus Manticore أو Subtle Snail.

وفقًا لتقارير Mandiant التابعة لجوجل وتحقيقات حديثة، تدير UNC1549 حملة متطورة منذ أواخر 2023، تستهدف ليس فقط عمالقة صناعات الطيران والدفاع في الشرق الأوسط، بل أيضًا مورديهم من الأطراف الثالثة الذين غالبًا ما يتم تجاهلهم. من خلال اختراق هذه الروابط الأضعف - سواء كان مزود خدمات تقنية صغير أو شريك ذو أمن ضعيف - يحصل المهاجمون على موطئ قدم، ويجمعون بيانات الاعتماد وينتقلون إلى الشبكات الرئيسية.

ترسانة البرمجيات الخبيثة: DEEPROOT، TWOSTROKE، وأكثر

بمجرد الدخول، تطلق UNC1549 مجموعة أدوات متنوعة كأدوات لص محترف. تشمل برمجياتهم الخبيثة المخصصة DEEPROOT، وهو باب خلفي متخفي لنظام لينكس مكتوب بلغة Go، وTWOSTROKE، باب خلفي لنظام ويندوز قادر على جمع بيانات النظام، والتلاعب بالملفات، وضمان إمكانية إعادة الدخول متى أرادوا. تعمل هذه البرامج كأنفاق سرية، تتيح للقراصنة التجسس والسرقة والبقاء.

سلسلة العدوى ماكرة بقدر ما هي تقنية. غالبًا ما ترسل UNC1549 رسائل تصيد موجهة - أحيانًا متنكرة في شكل عروض عمل - لإغراء الموظفين أو المسؤولين بالنقر على روابط خبيثة. وفي أحيان أخرى، يستغلون خدمات سطح المكتب البعيد مثل Citrix أو Azure باستخدام بيانات اعتماد مسروقة من الموردين، ليخرجوا من البيئات المعزولة ويتحركوا بحرية داخل الأنظمة المستضيفة.

وتكتمل ترسانتهم بأدوات لتسجيل ضغطات المفاتيح، وسرقة رسائل البريد الإلكتروني وكلمات مرور المتصفح، وتهريب البيانات خارج الشبكات عبر قنوات خفية تحاكي خدمات السحابة الشرعية. يمكن أن تظل البرمجيات الخبيثة خاملة لأشهر، ولا "تستيقظ" إلا بعد أن يظن المدافعون أن التهديد قد زال، مما يمكّن القراصنة من استعادة الوصول ومواصلة مهمتهم التجسسية.

الصورة الأكبر: الأنماط والدوافع وتأثير السوق

هذه ليست المرة الأولى التي تخوض فيها إيران مجال التجسس الإلكتروني. على مدى العقد الماضي، استهدفت مجموعات إيرانية مثل APT33 وAPT34 قطاعات الطيران والاتصالات والطاقة حول العالم مرارًا وتكرارًا. يبرز التركيز على هجمات سلسلة التوريد - حيث يستغل القراصنة العلاقات الموثوقة لتجاوز الدفاعات القوية - تكتيكات مشابهة لتلك المستخدمة في اختراقات شهيرة مثل حادثة SolarWinds.

الدوافع واضحة: جمع الأسرار العسكرية، والوثائق التقنية، والملكية الفكرية التي قد ترجح كفة التوازن الجيوسياسي. أما بالنسبة للصناعات المستهدفة، فالعواقب تتعدى الحدود - ابتكارات ضائعة، استراتيجيات مكشوفة، وثقة مهزوزة بين الشركاء. ومع تسارع الدول لتأمين حدودها الرقمية، تذكّر هذه الحملة الجميع بأن أضعف حلقة قد تطيح حتى بأقوى الدفاعات.

ويكي كروك

• الباب الخلفي: الباب الخلفي هو وسيلة خفية للوصول إلى جهاز كمبيوتر أو خادم، متجاوزًا الفحوصات الأمنية المعتادة، وغالبًا ما يستخدمه المهاجمون للسيطرة السرية.
• التصيد الموجه: التصيد الموجه هو هجوم إلكتروني يستهدف أفرادًا أو مؤسسات محددة عبر رسائل بريد إلكتروني مخصصة لخداعهم وكشف معلومات حساسة.
• هجوم سلسلة التوريد: هجوم سلسلة التوريد هو هجوم إلكتروني يستهدف مزودي البرمجيات أو الأجهزة الموثوقين، لنشر البرمجيات الخبيثة أو الثغرات إلى العديد من المؤسسات دفعة واحدة.
• الحركة الجانبية: الحركة الجانبية تعني انتقال المهاجمين داخل الشبكة بعد اختراقها، للوصول إلى أنظمة أو بيانات أكثر حساسية وتوسيع سيطرتهم.
• الاستمرارية: الاستمرارية تشمل تقنيات تستخدمها البرمجيات الخبيثة للبقاء بعد إعادة التشغيل والبقاء مخفية في الأنظمة، غالبًا عبر تقليد العمليات أو التحديثات الشرعية.