بوابة أوكرانيا -كييف- 18نوفمبر2021-استهدف قراصنة مرتبطون بالحكومة الإيرانية “مجموعة واسعة من الضحايا” داخل الولايات المتحدة، بما في ذلك عن طريق نشر برامج الفدية، وفقًا لاستشارة صادرة يوم الأربعاء عن مسؤولين أمريكيين وبريطانيين وأستراليين.
يقول الاستشارة إنه في الأشهر الأخيرة، استغلت إيران نقاط الضعف الحاسوبية التي كشفها المتسللون قبل أن يتم إصلاحهم واستهدافهم في قطاعات النقل والرعاية الصحية والصحة العامة. استفاد المهاجمون من الاختراق الأولي لعمليات إضافية، مثل سرقة البيانات، وبرامج الفدية والابتزاز، وفقًا للاستشارة. يقول المسؤولون إن المجموعة استخدمت نفس ثغرة Microsoft Exchange في أستراليا.
التحذير ملحوظ لأنه على الرغم من أن هجمات برامج الفدية لا تزال سائدة في الولايات المتحدة، إلا أن معظم الهجمات المهمة في العام الماضي نُسبت إلى عصابات قراصنة إجرامية مقرها روسيا بدلاً من قراصنة إيرانيين.
المسؤولون الحكوميون ليسوا وحدهم الذين لاحظوا النشاط الإيراني: أعلنت شركة مايكروسوفت العملاقة للتكنولوجيا يوم الثلاثاء أنها شاهدت ست مجموعات مختلفة في إيران تنشر برامج الفدية منذ العام الماضي.
قالت Microsoft إن إحدى المجموعات تقضي وقتًا كبيرًا وطاقة كبيرة في محاولة بناء علاقة مع الضحايا المقصودين قبل استهدافهم بحملات التصيد بالرمح. وقالت مايكروسوفت إن المجموعة تستخدم دعوات مؤتمر مزيفة أو طلبات مقابلة وتتنكر في كثير من الأحيان كمسؤولين في مراكز الأبحاث في واشنطن العاصمة كغطاء.
قال جيمس إليوت، عضو مركز Microsoft Threat Intelligence Center، إنه بمجرد بناء علاقة وإرسال رابط خبيث، يصبح الإيرانيون أكثر إلحاحًا في محاولة إقناع ضحاياهم بالنقر فوقه.
“هؤلاء الرجال هم أكبر ألم في المؤخرة. قال إليوت في مؤتمر الأمن السيبراني Cyberwarcon يوم الثلاثاء كل ساعتين.
في وقت سابق من هذا العام، أعلن موقع Facebook أنه اكتشف متسللين إيرانيين يستخدمون “شخصيات مزيفة على الإنترنت” لبناء الثقة مع الأهداف وحملهم على النقر على الروابط الخبيثة وغالبًا ما يتم تصويرهم على أنهم مجندون لشركات الدفاع والطيران.
قال باحثون في شركة Crowdstrike للأمن السيبراني إنهم ومنافسون بدأوا في رؤية هذا النوع من النشاط الإيراني العام الماضي.
إن هجمات برامج الفدية الإيرانية، على عكس تلك التي ترعاها حكومة كوريا الشمالية، ليست مصممة لتوليد إيرادات بقدر ما هي للتجسس، ولزرع معلومات مضللة، ومضايقة وإحراج الأعداء – إسرائيل، وعلى رأسهم – ولإضعاف أهدافهم بشكل أساسي، Crowdstrike قال الباحثون في حدث Cyberwarcon.
وقالت كيت بلانكينشيب، مديرة تحليل التهديدات العالمية في Crowdstrike: “في حين أن هذه العمليات ستستخدم أوراق الفدية ومواقع التسريب المخصصة التي تطالب بعملات مشفرة صعبة، فإننا في الحقيقة لا نرى أي جهد قابل للتطبيق في توليد العملة الفعلي”.
يعتبر Crowdstrike أن إيران رائدة في هذا “الشكل المنخفض” الجديد للهجوم الإلكتروني، والذي يتضمن عادةً شل شبكة باستخدام برامج الفدية وسرقة المعلومات ثم تسريبها عبر الإنترنت. يطلق الباحثون على هذه الطريقة اسم “القفل والتسرب”. قال بلانكينشيب إنه أقل وضوحًا وأقل تكلفة و “يوفر مساحة أكبر للإنكار”.