تنشط مجموعة القرصنة المدعومة من الحكومة الإيرانية والمعروفة باسم APT 33 منذ أكثر من 10 سنوات، حيث تقوم بعمليات تجسس عدوانية ضد مجموعة متنوعة من ضحايا القطاعين العام والخاص حول العالم، بما في ذلك أهداف البنية التحتية الحيوية. وعلى الرغم من أن المجموعة معروفة بشكل خاص بهجماتها الإستراتيجية ولكن البسيطة من الناحية الفنية مثل “رش كلمة المرور”، فقد انخرطت أيضًا في تطوير أدوات قرصنة أكثر تعقيدًا، بما في ذلك البرامج الضارة التي قد تكون مدمرة والمصممة لتعطيل أنظمة التحكم الصناعية. الآن، تشير النتائج التي توصلت إليها مايكروسوفت والتي صدرت يوم الأربعاء إلى أن المجموعة تواصل تطوير تقنياتها من خلال باب خلفي جديد متعدد المراحل.
تقول Microsoft Threat Intelligence إن المجموعة، التي تسميها Peach Sandstorm، طورت برامج ضارة مخصصة يمكن للمهاجمين استخدامها لإنشاء وصول عن بعد إلى شبكات الضحايا. يصيب الباب الخلفي، الذي أطلقت عليه مايكروسوفت اسم “Tickler” لسبب ما، هدفًا بعد أن تحصل مجموعة القرصنة على وصول أولي عبر رش كلمة المرور أو الهندسة الاجتماعية. بدءًا من أبريل وحتى يوليو، لاحظ الباحثون أن Peach Sandstorm ينشر الباب الخلفي ضد الضحايا في قطاعات تشمل الأقمار الصناعية ومعدات الاتصالات والنفط والغاز. وتقول مايكروسوفت أيضًا إن المجموعة استخدمت البرامج الضارة لاستهداف الكيانات الحكومية الفيدرالية وحكومات الولايات في الولايات المتحدة والإمارات العربية المتحدة.
وقالت Microsoft Threat Intelligence يوم الأربعاء في تقريرها: “إننا نشارك أبحاثنا حول استخدام Peach Sandstorm لـ Tickler لزيادة الوعي بالمهارة التجارية المتطورة لممثل التهديد هذا”. “يتوافق هذا النشاط مع أهداف جمع المعلومات الاستخبارية المستمرة لممثل التهديد ويمثل أحدث تطور لعملياتهم السيبرانية الطويلة الأمد.”
لاحظ الباحثون أن Peach Sandstorm ينشر Tickler ثم يتلاعب بالبنية التحتية السحابية للضحية Azure باستخدام اشتراكات Azure الخاصة بالمتسللين للحصول على التحكم الكامل في الأنظمة المستهدفة. تقول Microsoft إنها أخطرت العملاء الذين تأثروا بالاستهداف الذي لاحظه الباحثون.
وواصلت المجموعة أيضًا هجمات رش كلمات المرور منخفضة التقنية، وفقًا لمايكروسوفت، حيث يحاول المتسللون الوصول إلى العديد من الحسابات المستهدفة عن طريق تخمين كلمات المرور المسربة أو الشائعة حتى يسمح لهم أحدهم بالدخول. وقد استخدمت Peach Sandstorm هذه التقنية للوصول إلى الهدف أنظمة لإصابتها بالباب الخلفي Tickler ولأنواع أخرى من عمليات التجسس. منذ فبراير 2023، يقول الباحثون إنهم لاحظوا أن المتسللين “ينفذون نشاطًا لرش كلمات المرور ضد آلاف المؤسسات”. وفي أبريل ومايو 2024، لاحظت Microsoft استخدام Peach Sandstorm لرش كلمات المرور لاستهداف المؤسسات الأمريكية والأسترالية العاملة في قطاعات الفضاء والدفاع والحكومة والتعليم.
وكتبت مايكروسوفت: “واصلت Peach Sandstorm أيضًا شن هجمات رش كلمات المرور ضد القطاع التعليمي لشراء البنية التحتية وضد قطاعات الأقمار الصناعية والحكومة والدفاع كأهداف رئيسية لجمع المعلومات الاستخبارية”.
ويقول الباحثون إنه بالإضافة إلى هذا النشاط، تواصل العصابة أيضًا عمليات الهندسة الاجتماعية على شبكة التواصل الاجتماعي المهنية المملوكة لشركة Microsoft LinkedIn، والتي يقولون إنها تعود إلى نوفمبر 2021 على الأقل واستمرت حتى منتصف عام 2024. ولاحظت مايكروسوفت أن المجموعة تقوم بإعداد ملفات تعريف على LinkedIn تدعي أنها للطلاب ومطوري البرامج ومديري اكتساب المواهب الذين يفترض أنهم يقيمون في الولايات المتحدة وأوروبا الغربية.
“العاصفة الرملية الخوخية تستخدم في المقام الأول [these accounts] وكتبت مايكروسوفت: “لإجراء جمع معلومات استخباراتية وهندسة اجتماعية محتملة ضد التعليم العالي وقطاعات الأقمار الصناعية والصناعات ذات الصلة”. “تم حذف حسابات LinkedIn التي تم تحديدها لاحقًا.”
لقد كان المتسللون الإيرانيون غزير الإنتاج وعدوانيين على الساحة الدولية لسنوات ولم يظهروا أي علامات على التباطؤ. وفي وقت سابق من هذا الشهر، ظهرت تقارير تفيد بأن مجموعة إيرانية مختلفة كانت تستهدف الدورة الانتخابية الأمريكية لعام 2024، بما في ذلك الهجمات ضد حملتي ترامب وهاريس.
اكتشاف المزيد من مجلة الإبداع
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
