“هاكرز” إيرانيون يستهدفون أجهزة “ويندوز” في منطقة الشرق الأوسط
كشفت منصة “X-Force” السحابية لتبادل أحدث معلومات تهديدات الأمان الرقمي، التابعة لشركة “IBM”، تقريرًا عن سلالة جديدة من البرامج الضارة تتصل بمجموعات الهاكرز الإيرانية المدعومة من الدولة، حيث جرى استخدام هذه البرمجية الجديدة في هجوم مدمر ضد الشركات في الشرق الأوسط.
وبحسب التقرير، فقد حذرت “IBM” من أنها تستهدف قطاعي الصناعة والطاقة في الشرق الأوسط، فيما لم تكشف “IBM” عن الشركات التي تم استهدافها ومسح بياناتها ضمن الهجمات الأخيرة، إلا أنها أوضحت من خلال التقرير المؤلف من 28 صفحة أن البرمجية الخبيثة تعرف باسم “ZeroCleare” وتعمل على مسح البيانات، وركزت على تحليل البرمجية الضارة نفسها.
وقالت “IBM” في بيان لها: “إن “ZeroCleare” تشبه شمعون “Shamoon”، أحد أكثر سلالات البرامج الضارة خطورة وتدميرًا في العقد الماضي، لكن على عكس العديد من الهجمات الإلكترونية السابقة، والتي عادةً ما تنفذها مجموعة واحدة، أوضحت “آي بي إم” أن هذه البرمجية الخبيثة والهجمات وراءها هي على ما يبدو جهود تعاون بين اثنين من وحدات القرصنة الإيرانية المدعومة من الحكومة”.
وبحسب التقرير، فتعتبر البرمجية الضارة “ZeroCleare” من أدوات مجموعة التهديد “ITG13″، والمعروفة أيضًا باسم “APT34/OilRig”، ومجموعة أخرى من المحتمل أن يكون مقرها خارج إيران، بحيث صممت البرمجية الضارة لحذف أكبر قدر ممكن من البيانات من المضيف المصاب.
وغالبًا ما يتم استخدام مثل هذه البرامج الضارة لإخفاء الاختراقات عن طريق حذف الأدلة المهمة أو لتدمير قدرة الضحية على القيام بنشاطها التجاري المعتاد.
وقالت “IBM”: إنها حددت نسختين من البرمجية الضارة، حيث تم إنشاء نسخة للأنظمة 32 بت والثانية للأنظمة 64 بت، وأوضح الباحثون أن الهجمات عادةً ما تبدأ مع محاولة المتسللين تخمين كلمات المرور من أجل الوصول إلى حسابات وموارد شبكة الشركة.
وأضافت، أنه بمجرد وصول المهاجمين إلى حساب خادم الشركة، فإنهم يستغلون ثغرة أمنية في “SharePoint” لتثبيت تهديدات مثل “China Chopper” و “Tunna” في سبيل الوصول إلى أكبر عدد ممكن من أجهزة الحاسب داخل الشبكة، وبعد حصول “ZeroCleare” على امتيازات مرتفعة، سيتم تحميل “EldoS RawDisk”، وهي مجموعة أدوات للتفاعل مع الملفات والأقراص.
