إسرائيل تحبط الهجوم السيبراني الإيراني المعروف باسم "المستنقع الرملي"

أحمد باطبي-إيران وير

أحبطت إسرائيل الشهر الماضي هجوماً لقراصنة تابعين للحكومة الإيرانية.

ونشرت شركة كليرسكاي (Clearsky) الإسرائيلية الرائدة في مجال الأمن السيبراني، بالتعاون مع شركة بروفيرو (Profero)، تقريراً حول هذا الهجوم، ورد فيه أن مجموعة من القراصنة التابعين لإيران والمعروفين باسم “مودي ووتر” (Muddywater أي المياه الموحلة) شنوا هجوماً سيبرانياً عُرف باسم “المستنقع الرملي” على المنظمات الإسرائيلية بهدف تدمير بنيتها التحتية.

وبحسب خبراء الشركتين أظهرت عمليات المستنقع الرملي أن إيران بدأت جولة جديدة من الهجوم السيبراني على إسرائيل باستخدام أدوات جديدة.

ورغم عدم الكشف عن هوية “قراصنة مودي ووتر”، إلا أن التقرير يؤكد  أن أسلوب هذه المجموعة، يتشابه مع هجمات تم شنها صيف العام الحالي على بعض دول الشرق الأوسط وجنوب أفريقيا، بما في ذلك مهاجمة منشآت هيئة المياه الإسرائيلية.

كما تشبه العمليات الهجوم الذي تم شنه عام 2012 على آرامكو السعودية والمعروف باسم “شمون”.

وورد في جزء من التقرير أن مجموعة “قراصنة مودي ووتر” استخدمت أسلوبين في عمليات المستنقع الرملي؛ الأول هو التصيد الاحتيالي وإرسال ملفات في صيغة “إكسل” أو “بي دي إف” عبر البريد الإلكتروني الذي يقوم تلقائياً بتنزيل نسخة من برنامج الفدية ثانوس (Thanos) على جهاز الحاسوب في حال خداع الضحية وفتح الملفات.

وقد تم طرح برنامج الفدية في فبراير من العام الجاري على متجر بيع هذه البرامج في موقع “ويب تاريك”، وهو يشبه في برمجته برنامج “هاكبيت” (Hakbit).

ويعمل برنامج الفدية مثل برنامج قديم يُعرف باسم بيتيا (Petya)، لكن قدراته التدميرية أكبر.

ويقوم ثانوس (Thanos) بتغيير إعدادات أهم جزء في سجل الإقلاع الرئيسي “master boot report (MBR)” ويقوم بالكتابة فوقه وطمس البيانات الرئيسية عن طريق تشفير هذا الجزء بطريقة “آر اس ايه” (RSA) وباستخدام مفتاح تشفير مكون من 2048 بايت، ما يؤدي إلى عرقلة تشغيل الأكواد والأداء الصحيح الخاص بأقسام الجهاز، وفي نهاية الأمر يقوم بإغلاق الحاسوب.

وخلال شهري مايو ويوليو من العام الجاري وقعت العديد من الشركات في الشرق الأوسط وشمال أفريقيا ضحية لهذا البرنامج، وطُلب من الضحايا 200 ألف دولار من البيتكوين. وفي بعض الحالات، كان تشفير برنامج الفدية فاشلاً، ما يدل على ضعف هذا البرنامج واستمرار تطويره.

ويتمثل الأسلوب الثاني الذي استخدمه قراصنة “المستنقع الرملي” في تنزيل برنامج الفدية ثانوس (Thanos) عبر ثغرة في نظام تشغيل ويندوز تُعرف باسم “CVE-2020-0688”. وتتعلق ببرنامج إكسل أحد برامج مايكروسوفت، ويتيح للمتسللين إمكانية تشغيل الكود عن بُعد.

وقد ورد في تقرير شركتي كليرسكاي وبروفيو ملاحظة كلمة “Covic” في الأكواد التشغيليلة للقراصنة، ومن المرجح أنها مستوحاة من كلمة “Covid-19”.

وإذا افترضنا صحة الأمر، فهذا يؤكد أن “قراصنة مودي ووتر” قد طوروا برنامج الفدية “ثانوس” لأهداف خاصة.

وذكر التقرير أنه رغم استخدام القراصنة لبرنامج الفدية، إلا أنهم لم يطلبوا أموالاً من الأهداف التي تمت مهاجمتها في “المستنقع الرملي”.

وفي أوائل الشهر الجاري، أعلنت شركة مايكروسوفت عن استغلال قراصنة مودي ووتر لثغرة “CVE-2020-1472” المعروفة باسم زيرولوجن (Zerologon).

وهذه الثغرة تشبه ثغرة “CVE-2020-0688” التي تتيح للمتسللين إمكانية تشغيل الأكواد عن بُعد، وتسمح لهم بالانتقال من نظام التحقق من هوية الخادم والمعروف باسم “خادم وحدة التحكم” (DC) والوصول إلى شبكات الشركات عبر عملية نت لوجن (Netlogon).

وقد كشف مركز معلومات التهديدات في مايكروسوفت “MSTIC” عن هذه الهجمات، وذكر أن قراصنة مودي ووتر كانوا يستغلون هذه الثغرة لمدة أسبوعين. ومن المرجح أن أداءهم تباطأ أو توقف بعد أسبوع من تحديد الثغرة وإصلاحها.

وذكرت مايكروسوفت في تقرير الدفاع الرقمي الصادر في سبتمبر الماضي، أن مجموعة مودي ووتر قد تكون متعاقدة مع الحرس الثوري الإيراني، وشنت نحو 10% من الهجمات السيبرانية في عام 2020، ونحو 7% من الهجمات التي استهدفت الشركات التقنية هذا العام.

وفي نفس السياق، ذكرت شركة سايمانتك الأمنية في تقرير عام 2018 عن مهاجمة مجموعة مودي ووتر 131 شخصاً و30 شركة في مختلف أنحاء العالم.

وقد أدرجت شركة كاسبرسكاي الأمنية وشركة فاير آي في تقارير منفصلة أسماء منظمات حكومية وعسكرية وخاصة في مناطق متفرقة في آسيا وأوروبا وأمريكا الشمالية، على أنها ضحية لقراصنة مودي ووتر عام 2018.

وفي 2019، نشرت شركة كليرسكاي تقريراً مفصلاً عن هجمات مودي ووتر على الهيئات والإدارات الحكومية وهيئات الاتصالات، والهيئات العسكرية والجامعية في تركيا ولبنان وعمان، وكذلك الأحزاب السياسية الكردية عبر استغلال ثغرة “CVE-2020-0199″، ورجح التقرير أن مجموعة مودي ووتر تعمل كثاني مجموعة قرصنة في شركة تغطية تابعة لوزارة الاستخبارات الإيرانية وتُعرف باسم “مؤسسة رانا للحوسبة الذكية”.

ويعتقد خبراء كليرسكاي، أن مؤسسة رانا تقسم العمل إلى حد ما عبر الفصل بين عمليات تحديد الهوية والهندسة الاجتماعية وبين القرصنة والتسلل، وتُسنِد مسؤولية هذه العمليات إلى مجموعتين تحت غطائها.

 في سبتمبر الماضي أدرجت وزارة الخزانة الأمريكية شركة رانا للحوسبة الذكية و45 من موظفيها في قائمة العقوبات بتهمة الهجوم السيبراني، وانتهاك الخصوصية، وقمع المواطنين الإيرانيين، وسرقة المعلومات والملكية الفكرية للشركات والحكومات الأجنبية.

كما اتهمت أمريكا وزارة الاستخبارات الإيرانية بدعم الأنشطة الإجرامية لمجموعة القرصنة التابعة لشركة رانا، والمعروفة باسم مجموعة “التهديد المتقدم المستمر 39” (APT 39).

وفي وقت سابق، ورد ذكر اسم مودي ووتر في قناتين على تليغرام وفي منفذين على موقع ويب تاريك، على أنه أحد المصادر الثلاثة لتسريب المعلومات عن شركة رانا والقرصنة المدعومة بها.

وقد تم التحقق من المعلومات المعطاة باسم مودي ووتر من قبل بعض الشركات الرائدة في مجال الأمن السيبراني، لكن التناقضات الواضحة بين الأدلة الخاصة بدعم الجمهورية الإيرانية لهذه المجموعة إلى جانب الفضائح المنسوبة لمودي ووتر تدل على أن معرفة الصناعة السيبرانية عن هذه المجموعة ضعيفة للغاية، وأن الجهات الفاعلة التي تقف وراءها وكذلك أعضاءها قد نجحوا في إخفاء هويتهم في الفضاء الافتراضي.