جوجل: إيران زرعت أبوابًا خلفية عبر شركات الاتصالات في الشرق الأوسط
أصبحت العملية السيبرانية داخل وزارة الاستخبارات والأمن الإيرانية وسيلة وصول أساسية متطورة للمتسللين في البلاد، مما يوفر وصولاً مستمرًا إلى أنظمة الاتصالات والمنظمات الحكومية في جميع أنحاء الشرق الأوسط.
نشرت شركة Mandiant، التابعة لشركة Google، تقريرًا يوم الخميس حول عملية تسمى UNC1860. ووفقا للباحثين، فقد طور المتسللون المنتسبون إلى الوحدة مجموعة رائعة من الأدوات المتخصصة والأبواب الخلفية السلبية التي تواصل دعم عمليات القرصنة الإيرانية الأخرى.
وأوضح مانديانت: “يُقال إن هذه المجموعات أتاحت أيضًا إمكانية الوصول الأولي إلى العمليات التخريبية والمدمرة ضد إسرائيل في أواخر أكتوبر 2023 باستخدام BABYWIPER وألبانيا في عام 2022 باستخدام ROADSWEEP”، مشيرًا إلى أنه في حين أنهم لا يستطيعون التأكيد بشكل مستقل على أن UNC1860 متورطة في كلتا العمليتين، أوضح مانديانت. ووجدوا أدوات “من المحتمل أن تكون تهدف إلى تسهيل عمليات التسليم”.
وقال مانديانت إن إحدى السمات الرئيسية لـ UNC1860 هي “الحفاظ على هذه المجموعة المتنوعة من الأدوات القائمة على المستمع/الأدوات السلبية التي تدعم الوصول الأولي للمجموعة وأهداف الحركة الجانبية”.
تم تصميم الأدوات لتجاوز برامج مكافحة الفيروسات وتوفير الوصول السري إلى الأنظمة التي يمكن استخدامها لأغراض مختلفة.
ووصف مانديانت UNC1860 بأنه “ممثل تهديد هائل” ومن المحتمل أن يكون له “أهداف مختلفة تتراوح من التجسس إلى هجمات الشبكات”.
ووجدت الشركة الأمنية أدلة على أن أدوات UNC1860 يتم استخدامها من قبل مجموعات القرصنة الأخرى التابعة لوزارة الاستخبارات والأمن الداخلي، مثل APT34 – وهي مجموعة تهديد إيرانية بارزة مسؤولة عن اختراق الأنظمة الحكومية في الأردن وإسرائيل والمملكة العربية السعودية وغيرها. وفي الأسبوع الماضي، كشف الباحثون عن عملية واسعة النطاق APT34 استهدفت مسؤولين حكوميين في العراق.
وقال مانديانت إنه تم التعاقد مع الشركة في عام 2020 للرد على الحوادث التي استخدمت فيها UNC1860 شبكة ضحايا غير مسماة لمسح عناوين IP والكشف عن الثغرات الأمنية الموجودة بشكل أساسي في المملكة العربية السعودية. ووجدت الشركة أيضًا أدلة على اهتمام UNC1860 بالمناطق التابعة لقطر.
وأضافت الشركة أن الأدوات المستخدمة في حملة مارس 2024 مع البرامج الضارة لمسح البيانات ضد المنظمات الإسرائيلية يمكن إرجاعها أيضًا إلى UNC1860.
وقال مانديانت: “بعد الحصول على موطئ قدم في البداية، تقوم المجموعة عادة بنشر أدوات إضافية ومجموعة مختارة من الغرسات السلبية التي تكون أكثر سرية من الأبواب الخلفية التقليدية”.
وقد سلطت شركات أخرى الضوء على أدوات UNC1860 في الماضي، بما في ذلك Cisco وCheck Point وFortinet.
ومع تزايد جرأة عملياتها السيبرانية، تواجه إيران اهتماما متزايدا من الباحثين الأمنيين والوكالات الحكومية.
مساء الأربعاء، قال مكتب التحقيقات الفيدرالي ووكالات إنفاذ القانون الأخرى إن المتسللين سرقوا وثائق من حملة الرئيس السابق دونالد ترامب وحاولوا، لكنهم فشلوا، في نقل المعلومات إلى الحملات والمنافذ الإخبارية المنافسة.
وقال مانديانت: “مع استمرار تصاعد التوترات في الشرق الأوسط، نعتقد أن قدرة هذا الممثل على الوصول أولاً إلى البيئات المستهدفة تمثل رصيداً قيماً للنظام البيئي السيبراني الإيراني الذي يمكن الاستفادة منه للتقدم ضد الأهداف المتطورة والاستجابة مع تغير الاحتياجات”.