حملة تجسس إلكترونية منسقة ضربت مزودي تكنولوجيا المعلومات بالسعودية

الهجمات على مزودي تكنولوجيا المعلومات بالسعودية بدأت في يوليو/تموز العام الماضي (الألمانية)
الهجمات على مزودي تكنولوجيا المعلومات بالسعودية بدأت في يوليو/تموز العام الماضي (الألمانية)

كشفت شركة سيمانتك الأميركية للبرمجيات عن حملة تجسس إلكترونية منسقة وموجهة استهدفت شبكات العديد من مزودي تكنولوجيا المعلومات الرئيسيين بالسعودية العام الماضي كنقطة انطلاق لأهداف نهائية للمهاجمين بالمنطقة.

ويقول الباحثون في سيمانتك يبدو أن المهاجمين كانوا يعملون منذ يوليو/تموز 2018، كما يبدو أنهم مجموعة تهديد لم يتم تحديدها من قبل، وقد أطلقت عليها سيمانتك اسم تورتويسشل.

وقالت المحررة التنفيذية في موقع "دارك ريدنغ دوت كوم" كيلي جاكسون هيغنز في مقال لها بالموقع، إن تقريرا لسيمانتك أصدرته أمس أوضح أن مجموعة المهاجمين تسللت إلى 11 مؤسسة على الأقل معظمها في السعودية، بما في ذلك كبار مزودي تكنولوجيا المعلومات، باستخدام أدوات جاهزة، بالإضافة إلى برامج ضارة من صنعها للهجمات المخصصة.

وصول لجميع الأجهزة
وأشارت إلى أن المهاجمين حصلوا في اثنتين من المنظمات التي هاجموها على حق الوصول الإداري على مستوى المجال، بحيث تمكنوا من الوصول إلى جميع الأجهزة على تلك الشبكات.

ونسبت هيغنز لباحثين بسيمانتك قولهم إنه لا يبدو أن تورتويسشل مرتبطة بأي مجموعات موجودة في الشرق الأوسط، لكن إحدى المؤسسات التي كانت من ضحاياها تم التسلل إليها من باب خلفي مرتبط بجماعة الدولة الإيرانية أويلريغ، المعروفة أيضا باسم "آكا" (APT34). ومع ذلك، تقول سيمانتك إنه لا يوجد ارتباط أكيد يشير إلى أن تورتويسشل هي في الواقع أويلريغ.

ونفى كبير محللي استخبارات التهديد في شركة سيمانتك جون ديماغيو وجود تداخل لأي رمز أو شفرة بين الطرفين أو بنية تحتية مشتركة مع مجموعات أخرى، وقال إنهم لهذا السبب يعتبرون ألا علاقة لها بدولة إيران، لكن هيغنز تقول إن سيمانتك لا تربط في العادة بين دول معينة وجماعات التهديد ما لم يتم تحديد ذلك من قبل الحكومة الأميركية.

تطور ملفت للانتباه
وأضافت هيغنز أنه وفي تطور واحد ملفت للانتباه بسبب أنه غير معتاد في أغلب الهجمات الهادفة، فقد عانت اثنتان من شبكات الضحايا من إصابة مئات عديدة من أجهزتها. ووصف ديماغيو ذلك بأنه مزعج في عملية هجوم هادفة، مفسرا بأن المهاجمين ربما وجدوا صعوبة في الوصول إلى الجهاز الذي يستهدفونه بالفعل، ولذلك ضربوا عددا كبيرا من الأجهزة.

مقدمو خدمات تكنولوجيا المعلومات هدف تقليدي للهجمات الإلكترونية (الجزيرة)

وتضمن تقرير سيمانتك أن المهاجمين سرقوا تفاصيل الجهاز المستهدف، بما في ذلك إعدادات بروتوكول الإنترنت (آي بي) والتطبيقات ومعلومات النظام واتصالات الشبكة.

ونقلت هيغنز عن مدير أبحاث الأمن السيبراني في شركة ثريتستوب جون بامبينك قوله إنه من المرجح أن تواصل إيران توسيع عملياتها للتجسس الإلكتروني وغيرها من عمليات القرصنة حتى في أعقاب العقوبات الاقتصادية الأخيرة التي فرضتها الولايات المتحدة، مشيرا إلى أن عمليات الإنترنت هذه غير مكلفة نسبيا.

الوسيلة الأكثر شعبية
وقالت إن الهجمات ضد سلسلة التوريد أصبحت خلال السنوات القليلة الماضية وسيلة أكثر شعبية وفعالية للدول للوصول إلى ضحاياها المستهدفين. وقد قفز عدد هذه الهجمات بنسبة 78% في عام 2018 عن العام السابق له، وفقا لبيانات سيمانتيك.

ويقول تقرير سيمانتك إن موفري تكنولوجيا المعلومات يُعتبرون أهدافا مثالية للمهاجمين نظرا لمستوى وصولهم العالي والواسع لأجهزة الحاسوب الخاصة بعملائهم. وقد تتيح هذه القدرة على الوصول فرصة للمهاجمين لإرسال تحديثات البرامج الضارة إلى الأجهزة المستهدفة، وربما توفر لهم إمكانية الوصول عن بُعد إلى أجهزة العملاء.

ويقول رئيس قسم هندسة الأمن في شركة بانوريس جيورا عمر إن اختراقات تورتويسشل توضح السبب في كون مقدمي خدمات تكنولوجيا المعلومات هدف تقليدي لهجمات الطرف الثالث، فإنهم يتمتعون بوصول إداري إلى العديد من العملاء الذين يفتقر كثيرون منهم إلى الضوابط الأمنية الأساسية.

نضج آلة التجسس الإيراني
وتصف طريقة تورتويسشل في الهجوم على سلسلة التوريد بأنها مثال آخر على كيفية نضج آلة التجسس الإلكتروني الإيرانية. ونسبت إلى كبير مدراء تحليل التجسس بشركة "فايرآي" بنجامين ريد قوله إنهم عموما يسرقون البيانات بكميات كبيرة ومن ثم يقومون بمعالجتها.

وفي هذه الأثناء، وجد تقرير جديد صادر عن مؤسسة راند اليوم عن الهجمات الإلكترونية ضد الدول أن إيران أقل استخداما لها مقارنة بروسيا وكوريا الشمالية، لكنها تركز على الرد والانتقام.

المصدر : الصحافة الأميركية