داخل اختراق سترايكر: كيف استخدم قراصنة إيرانيون ملفًا مخفيًا لشلّ عملاق في تكنولوجيا الطب

العنوان الفرعي: يكشف تحقيق سترايكر عن تكتيكات المهاجمين المتخفّية، ما يثير مخاوف بشأن تطوّر دليل عمل التهديدات السيبرانية المرتبطة بإيران.

كان صباح يوم اثنين حين استيقظت سترايكر، الرائدة عالميًا في تكنولوجيا الطب، على كابوس: مكاتب مغلقة عبر القارات، وتعطّل معالجة الطلبات، ومجموعة هاكتيفيست سيئة السمعة مرتبطة بإيران تزعم أنها مسحت مئات الآلاف من الأجهزة. لكن مع انقشاع الغبار، تبدو القصة الحقيقية لما حدث داخل شبكات سترايكر أكثر تعقيدًا - وربما أكثر إثارة للقلق - مما أوحت به العناوين الأولى.

حقائق سريعة

استُهدفت سترايكر في مارس من قبل “هندالا”، وهي مجموعة مرتبطة بوزارة الاستخبارات والأمن الإيرانية.
تبيّن أن المخاوف الأولية من برمجيات خبيثة واسعة الانتشار لا أساس لها؛ وبدلًا من ذلك، عُثر خلال التحقيق على ملف مخصص خبيث.
أساء المهاجمون استخدام نظام Microsoft Intune لدى سترايكر لمسح الأنظمة عن بُعد، على الأرجح باستخدام بيانات اعتماد مسروقة.
مكّن الملف الخبيث القراصنة من إخفاء آثارهم، لكنه لم يكن قادرًا على الانتشار أو مهاجمة العملاء مباشرة.
تساعد Palo Alto Networks ومكتب التحقيقات الفيدرالي (FBI) في التحقيق الجاري، مع اعتبار الحادثة الآن تحت السيطرة.

عندما أعلنت مجموعة هندالا - التي يُعتقد أنها واجهة مدعومة من إيران - أنها دمّرت البنية التحتية لتقنية المعلومات لدى سترايكر، استعدّ عالم الأمن السيبراني لسيناريو كلاسيكي لبرمجيات المسح (wiper). فسوابق هندالا في استخدام شيفرات تدميرية لمحو البيانات من شبكات الضحايا جعلت هذا الافتراض منطقيًا. غير أن فرق التحليل الجنائي لدى سترايكر، وبمشاركة خبراء من Unit 42 التابعة لـ Palo Alto Networks، لم تجد أي دليل على برمجيات خبيثة تقليدية أو فدية.

بدلًا من ذلك، كان سلاح المهاجمين أكثر خفاءً: ملف خبيث مخصص، يُرجّح أنه ثنائي خفيف أو نص برمجي، صُمّم لا للانتشار بل لتنفيذ الأوامر ومحو آثار وجود القراصنة. أتاح هذا الملف لجهات التهديد العمل تحت الرادار، عبر استغلال Microsoft Intune لدى سترايكر - وهي أداة شرعية لإدارة أجهزة الشركة - لمسح الأنظمة عن بُعد. ويُشتبه في أن القراصنة حصلوا على الوصول عبر بيانات اعتماد سُرقت بواسطة برمجيات سرقة المعلومات (infostealer)، لا عبر إصابة بيئة سترايكر مباشرة بسلالات جديدة من البرمجيات الخبيثة.

ورغم أن التطور التقني للهجوم لافت، فإن ما يميّزه هو تلاشي الخط الفاصل بين هجمات البرمجيات الخبيثة التقليدية وتكتيكات “العيش على موارد النظام”. فمن خلال استخدام بنية سترايكر نفسها ضدها وتقليل الاعتماد على شيفرات خبيثة قابلة للرصد، عقّد المهاجمون كلاً من الاكتشاف والاستجابة.

وعلى الرغم من الفوضى المبكرة، تفيد سترايكر بتحقيق “تقدّم ملموس” في استعادة الأنظمة. والأهم أن الشركة تؤكد عدم وجود دليل على أن الهجوم استهدف أو اخترق بيانات تخص العملاء أو المورّدين أو الشركاء. ومع ذلك، أثارت الحادثة نقاشًا أوسع حول الطبيعة المتغيرة للتهديدات السيبرانية المرتبطة بالدول والمخاطر التي تتهدد البنية التحتية الصحية الحيوية.

ربطت الحكومة الأميركية هندالا بجهاز الاستخبارات الإيراني وأسقطت عددًا من أصولها على الإنترنت. وفي الوقت نفسه، يواصل الـFBI تحذير المؤسسات من تكتيكات المجموعة المتطورة، التي غالبًا ما تتضمن برمجيات خبيثة متنكرة في هيئة تطبيقات شرعية وزرعات مستمرة قادرة على اتصال ثنائي الاتجاه مع خوادم القيادة والتحكم.

ومع انقشاع الغبار، تقف محنة سترايكر كتحذير: في عالم الصراع السيبراني المعتم، تكون أخطر التهديدات أحيانًا هي تلك التي لا تبدو كبرمجيات خبيثة على الإطلاق. دليل العمل يتغير - وعلى المدافعين أن يتكيفوا بالسرعة نفسها التي يتكيف بها المهاجمون.

WIKICROOK

برمجيات المسح (Wiper Malware): برمجيات المسح هي برمجيات خبيثة تحذف الملفات نهائيًا أو تُتلفها، ما يجعل الاستعادة مستحيلة ويتسبب في فقدان شديد للبيانات أو تعطّل الأنظمة.
برمجيات سرقة المعلومات (Infostealer Malware): برمجيات سرقة المعلومات هي برمجيات خبيثة تجمع سرًا معلومات حساسة، مثل كلمات المرور والبيانات المالية، من أجهزة الكمبيوتر المصابة.
Microsoft Intune: Microsoft Intune أداة سحابية لإدارة الأجهزة والتطبيقات والمستخدمين وتأمينها، تساعد المؤسسات على حماية البيانات وضمان الامتثال.
العيش على موارد النظام (Living off the Land): يعني “العيش على موارد النظام” أن المهاجمين يستخدمون أدوات النظام الموثوقة والمضمنة لأغراض خبيثة، ما يجعل أنشطتهم أصعب كشفًا.
القيادة والتحكم (C2): القيادة والتحكم (C2) هو النظام الذي يستخدمه القراصنة للتحكم عن بُعد في الأجهزة المصابة وتنسيق الهجمات السيبرانية الخبيثة.