قراصنة إيرانيون يستهدفون شركات الطاقة في الشرق الأوسط

اكتشف باحثون أمنيون في فريق X-Force، المنصة السحابية لتبادل أحدث معلومات تهديدات الأمان التابعة لشركة (IBM)، سلالة جديدة من البرامج الضارة، طورها مجموعات القرصنة الإيرانية المدعومة من الدولة، والتي تستخدم هذه البرمجيات الخبيثة في هجوم إلكترونية ضد شركات الطاقة العاملة في الشرق الأوسط.

وبحسب ما ذكره موقع "zdnet" التقني، لم تذكر شركة IBM الشركات التي تم استهدافها ومسح بياناتها في الهجمات الأخيرة، لكنها أوضحت من خلال التقرير المؤلف من 28 صفحة أن الأداة الخبيثة المعروفة باسم ZeroCleare تعمل على مسح البيانات.

وقالت IBM: "إن ZeroCleare تشبه Shamoon، أحد أكثر سلالات البرامج الضارة خطورة وتدميرًا في العقد الماضي"، لكن على عكس العديد من الهجمات الإلكترونية السابقة، والتي عادةً ما تنفذها مجموعة واحدة، أوضحت الشركة أن هذه البرمجيات الخبيثة والهجمات وراءها هي على ما يبدو جهود تعاون بين اثنين من وحدات القرصنة الإيرانية المدعومة من الحكومة.

وقال فريق أمن آي بي إم: "بناءً على تحليل البرمجيات الخبيثة وسلوك المهاجمين ، نشك في أن خصوم الدولة القومية في إيران شاركوا في تطوير ونشر هذا الممسحة الجديدة".

ووفقًا لـ IBM، تعتبر البرمجية الضارة ZeroCleare من بنات أفكار مجموعة التهديد ITG13، والمعروفة أيضًا باسم APT34/OilRig، ومجموعة أخرى من المحتمل أن يكون مقرها خارج إيران، بحيث صممت البرمجية الضارة لحذف أكبر قدر ممكن من البيانات من المضيف المصاب.

بالنسبة للبرامج الضارة نفسها، فإن ZeroCleare هو "ممسحة كلاسيكية"، وهي سلالة من البرامج الضارة المصممة لحذف أكبر قدر ممكن من البيانات من مضيف مصاب، وعادةً ما يتم استخدام مثل هذه البرامج الضارة لإخفاء الاختراقات عن طريق حذف الأدلة المهمة أو لتدمير قدرة الضحية على القيام بنشاطها التجاري المعتاد، كما في هجمات أخرى مثل Shamoon أو NotPetya أو Bad Rabbit.

وأثناء البحث عن هجمات ZeroCleare الأخيرة، قالت IBM: "إنها حددت نسختين من البرامج الضارة، حيث تم إنشاء نسخة للأنظمة 32 بت والثانية للأنظمة 64 بت، وأوضح الباحثون أن الهجمات عادةً ما تبدأ مع محاولة المتسللين تخمين كلمات المرور من أجل الوصول إلى حسابات وموارد شبكة الشركة.

وقال الباحثون: "إن الهجمات عادة ما تبدأ مع قيام المتسللين بتنفيذ هجمات القوة الغاشمة للوصول إلى حسابات شبكة الشركة المؤمنة بشكل ضعيف" ،وبمجرد وصول المهاجمين إلى حساب خادم الشركة، فإنهم يستغلون ثغرة أمنية في SharePoint لتثبيت تهديدات مثل China Chopper و Tunna في سبيل الوصول إلى أكبر عدد ممكن من أجهزة الحاسب داخل الشبكة، وبعد حصول ZeroCleare على امتيازات مرتفعة، سيتم تحميل EldoS RawDisk، وهي مجموعة أدوات للتفاعل مع الملفات والأقراص.