العربية نت

بعد هجوم إيران الإلكتروني على ألبانيا والتي دفعت طهران ثمنه بقطع تيرانا العلاقات معها وفرض الولايات المتحدة عقوبات جديدة عليها، أخذت الأنظار تتجه نوح أنشطة إيران في مجال القرصنة الإلكترونية. وفي هذا السياق نشر "فريق التهديدات المعلوماتية" التابع لشركة مايكروسوفت تقريراً حول هجمات "الفدية" أو "الابتزاز" الإلكتروني التي تقوم بها مجموعة قرصنة تابعة لإيران.

مجموعة "فوسفورس" للقرصنة

وفي هذا السياق، رصدت مايكروسوفت "هجوم فدية" يُعرف باسم"DEV-0270" ، وضمن مجريات هذا الهجوم، يمكن تقفي أثر مجموعة "فوسفورس" للقرصنة وهي من مجموعات التسلل التابعة لإيران.

وأفادت مايكروسوفت، بأن المتسللين "مسحوا بشكل واسع" نقاط الضعف في مناطق جغرافية "لا تمثل قيمة استراتيجية كبيرة لطهران"، وبالتالي استنتجت الشركة أن هدف المتسللين من وراء تنفيذ هذه الهجمات كان كسب الدخل.

وفي إحدى هذه الهجمات "الناجحة"، طالب القراصنة من الضحية بمبلغ قدره 8000 دولار. وفي حالة أخرى، عندما رفضت مؤسسة مستهدفة دفع الفدية، عرض المتسللون المعلومات المسروقة من هذه المؤسسة على الإنترنت للبيع.

يذكر أن "DEV-0270"، هي عبارة عن ثغرة أمنية شديدة الخطورة تسمح للقراصنة بتشفير بيانات الضحية باستخدام أداة "Windows BitLocker" والتحكم فيها. وهذه الأداة هي إحدى ميزات Windows التي تمكّن المستخدمين من تشفير البيانات في محركات الأقراص باستخدام مفاتيح 128 أو 256 بت.

ابتزاز جاء من كرج غرب طهران

وبحسب موقع "إيران بريفينغ"، فقد أظهرت تحقيقات مايكروسوفت أن هجمات الفدية هذه تم توجيهها من خلال العنوانين "secnerd [.] ir" و "lifeweb [.] ir، التابعين لشركة "ناجي فناوري هوشمند" (ناجي للتقنية الذكية) الإيرانية من مقرها في مدينة كرج، غرب طهران.

واستخدم المتسللون سبلاً مختلفة للولوج الأولي لجهاز الضحية، بما في ذلك الثغرة الخطيرة "CVE-2021-26855" المعروفة باسم "ProxyLogon"، والتي تمنح المتسلل صفة "المدير" وتسمح له بتجاوز نظام التعرفة على الهوية وتمكنه من تسجيل الدخول إلى جهاز الضحية.

ومع التأكيد على ضرورة المراقبة المستمرة لأنشطة مجموعة "فوسفورس" للقرصنة الإيرانية، طلبت مايكروسوفت من المستخدمين تحديث أنظمة تشغيل "Windows" في حواسيبهم بأحدث حزم الأمان واختيار كلمات مرور قوية لحماية بياناتهم وتجنب الوقوع في فخ المتسللين.

تاريخ قراصنة "فوسفورس"

ومجموعة القرصنة المعروفة باسم "فوسفورس" هي إحدى أفرع مجموعة "التهديد المستمر المتقدم" (APT) التي يدعمها النظام الإيراني. وسبق وأن أبلغت مايكروسوفت عن الأنشطة الضارة لهذه المجموعة الابتزازية عدة مرات.

وقامت المجموعة بهجمات مماثلة العام الماضي، فجمعت بيانات من أكثر من 900 خادم في كل من الولايات المتحدة وأوروبا وإسرائيل، ولهذه الغاية استخدمت ثغرة "CVE-2018-13379" في منتج "Fortinet FortiOS SSL VPN" من خلال "BitLocker" وقامت بتشفيرها.

ونشرت مايكروسوفت في نوفمبر 2020 أيضاً نتائج تحقيق أظهر أن مجموعة "فوسفورس" قامت بهجوم منظم، حاولت من خلاله اختراق أجهزة المدعوين لمؤتمرات دولية باستخدام هجمات التصيد وإنشاء صفحات مزيفة واستغلال نقاط الضعف الأمنية في منتجات مايكروسوفت.

وذكرت تحقيقات شركة مايكروسوفت أن الشركة رصدت وأفشلت ما لا يقل عن 100 هجوم إلكتروني بهدف اختراق الضيوف أو المدعوين المحتملين لـ"مؤتمر ميونخ للأمن" قامت به مجموعة "فوسفورس" للقرصنة.

اختراق الحملات الانتخابية الأميركية

وفي أكتوبر 2018، حذرت مايكروسوفت في تقرير لها من محاولات المتسللين لاختراق وتعطيل عملية الانتخابات الرئاسية الأميركية. وأضافت إن قراصنة "فوسفورس" أجروا اختبارات لاختراق أكثر من 700 حساب في مايكروسوفت في غضون 30 يوماً. وعلى أقل تقدير، فإن 241 منها كانت تتعلق بالحملات الانتخابية الأميركية وبمسؤولين حاليين وسابقين في الإدارة الأميركية وصحفيين دوليين وشخصيات إيرانية معارضة أو بارزة في خارج إيران.

في أحدث الهجمات الإلكترونية ذات منشأ حكومي، فقد اتُهم النظام الإيراني بتنفيذ هجوم إلكتروني على البنية التحتية لألبانيا من أجل "شل الخدمات العامة واختراق البيانات والاتصالات الإلكترونية للأنظمة الحكومية"، وهو اتهام أدى إلى قطع العلاقات الدبلوماسية بين طهران وتيرانا. وفرضت وزارة الخزانة الأميركية عقوبات على وزارة الاستخبارات الإيرانية على خلفية هذا الهجوم.

وعلى الرغم من نفي طهران لدورها في هذا الهجوم واعتبرها بأن الاتهامات ضدها "لا أساس لها من الصحة"، إلا أن المكتب الصحفي الأميركي في حلف الناتو أبلغ إذاعة "صوت أمريكا" الناطقة بالفارسية أن إيران مسؤولة عن الهجوم السيبراني "الخطير" على البنية التحتية لألبانيا وأن تصرفات إيران تنتهك جميع المعايير والالتزامات في زمن السلم.