المخترقون الإيرانيون يَستهدفون لبنانيين

أحمد باطبي – إيران وير

سعى المخترقون (الخاضعون لأوامر النظام الإيراني) إلى خداع بعض اللبنانيين واختراق حواسيبهم والتسلل إلى شبكاتهم، وذلك من خلال إرسال معلومات متعلقة بفرص العمل.

وفي هذا الصدد نَشرت شركة أمن المعلومات “تشيك بوينت” (Check Point) تقريراً خاصاً مُعلِنةً فيه أن مجموعة جديدة اسـمُها الحركي هو “أويل ريج” (OilRig)، من المجموعات المرتبطة بــ “التهديد المتطور المستمر” (APT34)، استهدفت بعض اللبنانيين في لبنان من خلال الهجوم عليهم هجوماً تسلليّاً من نوع “الباب الخلفي” (Backdoor). وقد أطلق الخبراء في شركة تشيك بوينت على هذه الحملة اسم “سايد تويست” (SideTwist).

يُشار إلى أن الهجوم الـمُسمَّى بالباب الخلفي يُطلَق على حملات اختراقية يُحدِث فيها المهاجِمُ طريقاً للعودة بعد تسلُّله، ليَتسنى له في المستقبل الوصولُ إلى حاسوب أو شبكة الضحية، و“APT” أو “Advanced Persistent Threat” يعني “التهديد المتطور المستمر”، ويشير إلى التهديدات المستمرة التي يتم إحداثها إجمالاً من قِبَل المجرمين السيبرانيين المرتبطين بالحكومات؛ على سبيل المثال مجموعة “APT34” تتبع لمجموعات “APT” التي تمارس أنشطة إجرامية بدعم من النظام الإيراني.

وبحسب شركة تشيك بوينت، فإنه وبعد افتضاح أمر الأدوات الاختراقية لمجموعة “التهديد المتطور المستمر” الإيرانية (APT34)، وانتشار هذه الأداة في القناة التلجرامية “الشفاه الـمُخيَّطة”، فإن هذه المجموعة تدأب جاهدةً في سبيل تحديث وتطوير أدواتها لإصلاح وترميم نقاط ضعفها التي يمكن أن تؤدي إلى كشفها، ومن ثم إلى فشل عملياتها الهجومية.

بعد الهجوم التجسسي (DNSpionage) الذي قامت به (APT34)، والذي بدأ منذ 2018، فإن الإعلان عن فرص العمل هو إحدى الحالات التي يَتوصّل بها مخترقو هذه المجموعة لمخادعة ضحاياهم، وهذا النوع من الحملات المندرجة ضمن حملات “فيشينج” يُنجَز في معظمه عن طريق شبكة لينكدن.

وفي الهجوم على الأهداف اللبنانية، صَمّم المخترقون ملف مايكروسوفت يُسمَّى (Job-Details.doc) شبيهاً بوثائق الشركة الاستشارية (Ntiva IT) الواقعة في ولاية فيرجينيا الأمريكية، ويُرسلون هذا الملف بغيةَ تحقيق أغراضهم وأهدافهم.

صُمِّم هذا الملف بحيث إذا قامت الضحية بتفعيل خيار “ماكرو” فلن يَتطلب الأمرُ سوى خمس دقائق حتى الانتهاء من عملية الاختراق.

منذ سنوات وهذه المجموعة التابعة للمخترقين المرتبطين بالنظام الإيراني تَعمل على تطوير هذا الملف الملوَّث كي تَستثمره بوصفه أولَ مرحلة من التسلل والتلويث، أيْ عملية إحداث نفق DNS، وذلك من خلال استثمار شفرات ماكرو التخريبية. وهكذا يُطلَب، بادئَ ذي بدء عبْر رسالة بوساطة البرمجيات من الـمُستهدَف أن يُوافِق على اتصال الماوس (الفأرة) بالحاسوب (Anti-Sandboxing technique)، وفي حال الضغط على خيار الموافقة يتم إرسال هوية جهازه إلى منظومة القيادة والتحكم (C2 server) لدى المهاجمين، ويتم تحرير البرنامج التخريبي للمخترقين باللاحقة (doc) بشكل تلقائي في كمبيوتر الضحية، وبعد قليل من الوقت يتغيَّر هذا البرنامج إلى ملف تنفيذي باللاحقة (EXE)، ويتم نصبُه على الكمبيوتر على شكل برنامج تابع للويندوز مع توافره على إمكانية التطبيق المكرَّر والموقوت زمنياً.

كما أن هذه المجموعة كانت قد استخدمت تقنية إحداث النفق (DNS) مراتٍ ومرات، وأُضيف إحداث النفق (DNS) من خلال استخدام شفرات ماكرو التخريبية إلى أجندة العمل (APT34) مؤخراً.

ولكي يَبقى المخترقون مَخفيِّين أكثرَ عن أعين الأدوات وإمكانيات المراقبة يَستعملون الخدمة المجانية المعروضة في موقع (www.requestbin.net)، واستعمال هذه الخادم كان يتسبب في عجز نظام الضحية عن كشف بنى المهاجمين، ومَردُّ ذلك إلى تشفير المعلومات. والصورة أدناه نموذج على تشفير خادم (RequestBin) الذي يَقوم بتشفير اسم مستخدِم يُدعى (John) واسم مستضيف يُدعى (john-pc) في إطار (DNS data).

ويُفيد الخبراء في شركة تشيك بوينت أن المجموعة الاختراقية (APT34) كانت في السابق تَستخدم أساليبَ مثل (DNSpionage) و(TONEDEAF) و(TONEDEAF2.0)، لكنّ هذه الحالة التي بين أيدينا أُنجِزت من خلال الباب الخلفي بأسلوب (SideTwist) المتضمن تحميل المادة ورفعها وتنفيذ الأمر، وهذه أوّل مرة نقف فيها على هذه الحالة لدى هذه المجموعة.

إن إحداث الباب الخلفي في نظام الضحية هو المرحلة الثانية من عمليات التسلُّل والتلويث. في هذه المرحلة لا تتمتع بالسمة الدائمة سوى ماكروات تم تنفيذها في المرحلة الأولى، أما المرحلة الثانية فتفتقد أيَّ نوع من أنواع الدوام، والشيء الدائم المتبقي من المرحلة الأولى يُوجَد من خلال برنامج تنفيذي يُدعى (SystemFailureReporter) يقوم بمهمته تلقائياً من خلال تطبيقه خمس مرات كل خمس دقائق. وفي المرات الخمس لتطبيق برنامج (SystemFailureReporter) يتلقى نظام الضحية أمراً جديداً من خادم (القيادة والتحكم) للمهاجمين، ويتم إعادة تشغيلة مرةً واحدة كي تبلغ الأوامرُ المتلقاة مرحلة التطبيق.

أول ما يقوم به الباب الخلفي هو استلام المعلومات الأساسية للضحية؛ اسم المستخدم، واسم جهاز الكمبيوتر، واسم النطاق المستهدَف في إطار عملية حسابية يَبلغ حجمها 4 بايت بوصفها تهيئةً أوليةً، ثم إرسالها إلى خادم (القيادة والتحكم) لإيجاد مسار الاتصال، فإذا أُنجِزت جميع المراحل بشكل صحيح فإن وجود ملف (update.xml) في حاسوب الضحية الذي أُحدِث في المرحلة الأولى، يكون قد تمت الموافقة عليه، وهكذا سيستمر العمل.

كما أن اتصال (القيادة والتحكم) بين خادم المهاجمين وحاسوب الضحية يتم عن طريق بروتوكول (HTTP) ومَنافذ 443 و80 بخوارزمية التشفير المشتركة. وكذلك فإن طلب هذا الاتصال أيضاً يُرسَل عبر رابط مثيل (sarmsoftware[.]com/search/{identifier}) يتم إخفاؤه في الصفحات المزيَّفة كما هو الشكل التالي:

ونتيجةُ الأمر المرسَل من خادم (القيادة والتحكم) أيضاً تَعود إلى المهاجمين على صيغة رابط مشابه، هو (sarmsoftware[.]com/search/{identifier}). وهذا الاتصال يُشفَّر على أساس خوارزميةٍ من نوع (Mersenne Twister). ومن بين (الواسمات) الأربعة الأولية يتم استخدام كلّ واحدة من هذه الشيفرات لفك شيفرة بقية الرسائل، كما يتم العمل على شيفرات (Base64) من خلال برنامجٍ بلغة البرمجة “بايثون” (Python).

يقول خبراء شركة تشيك بوينت: “إن الماكروات التخريبية المستعمَلة في هذا الهجوم، وعمليات الاستهداف، والتقنيات المستخدَمة هي جميعها تتطابق مع مجموعة (APT34)، وذلك من خلال ما تركت خلفها من آثار ووثائق موثوق بها. على سبيل المثال، فإن شفرات ماكرو التخريبية، سواءٌ في المرات السابقة أم في الهجوم على الأهداف اللبنانية تَستخدم توابع (MouseAvailable) لمنع اكتشافها، وتحتوي على برنامج من أجل التنفيذ في أوقات محدَّدة”.

في الشكل التالي يمكن مشاهدة الشفرات التي أَنجزتها هذه المجموعة في هجماتها السابقة (DNSpionage) تحت مسمَّى فرص العمل. والفرق الوحيد بين هاتين الشفرتَين هو متغيَّر (beacher) الذي تم تحديثه باسم آخر.

الحالة الجديدة الوحيدة التي تَسترعي الانتباهَ في الهجوم الأخير لهذه المجموعة هي نوع تنفيذ هجوم الباب الخلفي الذي يَحدث من خلال استعمال محتوى مَخفي في صفحة مزيَّفة (HTML) مرتبطة بموقع إلكتروني قانوني ومن دون استرعاء انتباه الضحية.

وفي النهاية، تُحذِّر شركة تشيك بوينت من النشاطات الواسعة لـ (APT34) في الشرق الأوسط ولا سيما في لبنان، وتقول إن هذه المجموعة قامت بتحديث أدواتها وأساليبها، ولا يُرى تقلُّصٌ في سرعة أنشطتها.