قراصنة إيرانيون يخترقون خوادم VPN

كشف تقرير صادر عن شركة الأمن السيبراني ClearSky أن مجموعات قرصنة تدعمها الحكومة الإيرانية أعطت أولوية قصوى في العام الماضي لاستغلال أخطاء الشبكات الافتراضية الخاصة VPN، بمجرد أن تصبح عامة؛ من أجل تسلل وزرع الأبواب خلفية في الشركات في جميع أنحاء العالم، واستهدف متسللون إيرانيون شركات عاملة في قطاعات تكنولوجيا المعلومات والاتصالات والنفط والغاز والطيران والحكومة والأمن، ويأتي التقرير لتبديد فكرة أن متسللين إيرانيين ليسوا متطورين، وأنهم أقل موهبة من نظرائهم الروس أو الصينيين أو الكوريين الشماليين.

وتقول ClearSky: إن مجموعات الاختراق الإيرانية طورت قدرات هجومية تقنية جيدة وقادرة على استغلال نقاط ضعف في فترات زمنية قصيرة، ولاحظنا في بعض الحالات أن الجماعات الإيرانية تستغل عيوب VPN في غضون ساعات بعد الكشف عن الأخطاء بشكل علني، وأوضحت شركة الأمن السيبراني أن جماعات إيرانية سريعة في استغلال الثغرات الأمنية التي تم الكشف عنها في عام 2019 ضمن خدمات Connect VPN و FortiOS VPN و Global Protect VPN و ADC VPN من شركات Pulse Secure و Fortinet و Palo Alto Networks و Citrix.

وبدأت الهجمات على هذه الأنظمة في الصيف الماضي، عندما نُشرت تفاصيل حول الأخطاء، لكنها استمرت أيضًا في عام 2020، وكان الغرض منها هو اختراق شبكات المؤسسات، والتحرك بشكل خفي في جميع أنحاء أنظمتها الداخلية، وزرع الأبواب الخلفية لاستغلالها في وقت لاحق،وبينما استهدفت المرحلة الأولى من هجماتهم اختراق شبكات VPN، فإن المرحلة الثانية تضمنت استخدام مجموعة شاملة من الأدوات وتقنيات، توضح مدى تقدم وحدات التطفل الإيرانية هذه في السنوات الأخيرة.

واستغل متسللون تقنية معروفة منذ فترة طويلة للحصول على حقوق المسؤول على أنظمة ويندوز عبر أداة الوصول السريع المسماة Sticky Keys، كما استغلوا أدوات قرصنة مفتوحة المصدر مثل JuicyPotato و Invoke the Hash، إلى جانب استخدام أدوات مسؤول النظام مثل Putty أو Plink أو Ngrok أو Serveo أو FRP،وكشف تقرير عن أن جماعات إيرانية تتعاون وتتصرف كمجموعة واحدة، وسلطت ClearSky الضوء على أن الهجمات على خوادم VPN في جميع أنحاء العالم تبدو وكأنها من عمل ثلاث مجموعات إيرانية، وهي APT33 أو Shamoon و APT34 أو Oilrig و APT39 أو Chafer.

ويبدو أن الغرض من هذه الهجمات في الوقت الحالي هو إجراء عمليات الاستطلاع وزرع الأبواب خلفية من أجل عمليات المراقبة، ومع ذلك، تخشى ClearSky من أن الوصول إلى جميع شبكات المؤسسات المصابة هذه يمكن استخدامه في المستقبل لنشر برامج ضارة تمسح البيانات وتخرب الشركات، وتوقف الشبكات والعمليات التجارية.

سعيد جبر أخصائي أمن المعلومات

بخبرة تصل لأكثر من 20 عاماُ جعلته يتربع على عرش المجالات المُتعلقة بأمن تكنولوجيا المعلومات وإدارة المخاطر، حيث يُعد أكثر المجالات أهمية وهيمنة على المستوى الرقمي والواقعي