حقائق سريعة

• استهدف فريق MuddyWater، المرتبط بالدولة الإيرانية، ما لا يقل عن 17 مؤسسة إسرائيلية في حملة حديثة.
• استخدم المهاجمون أداة تحميل برمجيات خبيثة متخفية في هيئة لعبة "سنيك" القديمة لتجنب اكتشاف الأمن السيبراني.
• البرمجية الخبيثة الجديدة، المسماة "Fooder"، تؤخر تنفيذ أنشطتها الضارة لتتجاوز عمليات الفحص الأمني التلقائي.
• تكتيكات MuddyWater تظهر تحولاً نحو هجمات أكثر تطوراً وهدوءاً - لكن الأخطاء التشغيلية لا تزال موجودة.
• شملت الأهداف جامعات وشركات هندسية ومرافق خدمات وحكومات محلية في جميع أنحاء إسرائيل.

انتهت اللعبة؟ ليس بعد - عودة الكلاسيكيات لتطارد من جديد

تخيل هذا: أفعى رقمية تزحف بهدوء عبر ذاكرة الحاسوب، ليس لجمع النقاط، بل لجمع الأسرار. هذه ليست لعبة طفولة - بل أحدث حيلة من MuddyWater، إحدى أشهر مجموعات التجسس السيبراني الإيرانية. في هجومهم الأخير على المؤسسات الإسرائيلية، استبدل هؤلاء القراصنة القوة الغاشمة بالمكر، وأخفوا شيفرتهم الخبيثة خلف تفاصيل مألوفة من لعبة موبايل من تسعينيات القرن الماضي.

من الارتجال إلى الدهاء: تطور MuddyWater

لطالما اشتهر MuddyWater، المعروف أيضاً بالاسم الرمزي TA450، بهجماته الفوضوية وأحياناً الهواة. تاريخياً، كانت عملياتهم تترك آثاراً واضحة - ملفات غير ضرورية، برمجيات خبيثة مكررة، ونشاط شبكي صاخب. ومع ذلك، وفقاً لباحثي ESET، فإن حملتهم الأخيرة تمثل تحولاً. بين سبتمبر 2023 ومارس 2024، استهدفت المجموعة 17 هدفاً إسرائيلياً، من بينها جامعات وشركات هندسية وبنية تحتية حيوية، بالإضافة إلى شركة تقنية مصرية.

ما يميز هذه الحملة هو إدخال أداة تحميل برمجيات خبيثة جديدة تُدعى "Fooder". بدلاً من تنفيذ الهجوم فوراً، تحاكي Fooder منطق لعبة "سنيك" القديمة، مستخدمة تأخيرات زمنية متعمدة - تماماً مثل حركة الأفعى الدائرية في اللعبة - لإخفاء نواياها الحقيقية. هذا يعني أن أدوات الأمن التلقائية، التي تراقب غالباً لبضع دقائق فقط، قد تفوت الخطر الحقيقي الذي يظهر بعد فترة الهدوء الأولية.

ألعاب قديمة، تهديدات حديثة: التفاف تقني

التنكر البرمجي للبرمجيات الخبيثة كبرامج بريئة ليس جديداً، لكن استخدام MuddyWater لأداة تحميل مستوحاة من "سنيك" هو لمسة ذكية. حتى أن الشيفرة تتضمن لافتة ساخرة تقول "Welcome to snake Game"، مما يوفر إنكاراً معقولاً ويُربك المحللين. الأهم من ذلك، أن Fooder تستفيد من أنظمة التشفير في ويندوز (المعروفة باسم CNG) لتندمج مع العمليات الشرعية - وهي خدعة تشبه لصاً يتنكر في زي عامل نظافة ليتجول دون أن يلاحظه أحد.

هذه التكتيكات، التي يُطلق عليها "العيش من موارد النظام"، حيث يستخدم المهاجمون أدوات النظام الموثوقة بدلاً من الشيفرات المخصصة، تجعل الاكتشاف والتحقيق أكثر صعوبة. وعلى الرغم من أن مشغلي MuddyWater لا يزالون يرتكبون أخطاء مبتدئين - مثل نشر أدوات مكررة أو ترك سجلات غير ضرورية - إلا أن التطور واضح: هجمات أكثر خفاءً، وأكثر إصراراً، وابتكاراً متزايداً.

الجغرافيا السياسية ولوحة الشطرنج السيبرانية

توقيت هذه الحملة ليس صدفة. مع تصاعد التوترات بين إيران وإسرائيل، تصبح الفضاء السيبراني امتداداً خفياً للصراع الواقعي. مثل هذه الهجمات لا تهدف فقط إلى سرقة البيانات - بل هي حرب نفسية، واختبار للدفاعات، وإرسال رسائل. مجموعات التهديد المتقدم المستمر (APT) المماثلة، مثل Fancy Bear الروسية أو APT41 الصينية، استخدمت تكتيكات مشابهة لاختراق خصومها، وغالباً ما تتعلم من ابتكارات بعضها البعض.

بالنسبة للمدافعين، الدرس واضح: تهديدات الأمس الواضحة يتم استبدالها بخصوم خفيين وصبورين مستعدين للعب لعبة طويلة - حرفياً ومجازياً.

ويكي كروك

• محمل البرمجيات الخبيثة: هو برنامج يقوم بتثبيت برامج خبيثة أخرى، غالباً أكثر خطورة، بشكل سري على جهاز أو شبكة.
• العيش من موارد النظام: يعني أن المهاجمين يستخدمون أدوات النظام الموثوقة (LOLBins) لتنفيذ أنشطة خبيثة، مما يجعل اكتشافهم صعباً للغاية.
• تهديد متقدم مستمر (APT): هو هجوم سيبراني طويل الأمد ومستهدف من قبل مجموعات ماهرة، غالباً مدعومة من دول، بهدف سرقة بيانات أو تعطيل عمليات.
• أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالباً من خادم تحكم، لتوجيهه لتنفيذ إجراءات محددة، أحياناً لأغراض خبيثة.
• واجهة برمجة تطبيقات التشفير (CNG): هي ميزة في ويندوز لإدارة التشفير والأمان، لكن يمكن للمخترقين استغلالها لإخفاء الأنشطة الخبيثة.