Dindoor Backdoor
كشفت أبحاث استخبارات التهديدات عن أدلة على عملية إلكترونية مدعومة من إيران نجحت في اختراق شبكات العديد من المؤسسات في أمريكا الشمالية. وتشمل هذه المؤسسات بنوكًا ومطارات ومنظمات غير ربحية، بالإضافة إلى الفرع الإسرائيلي لشركة برمجيات تخدم قطاعي الدفاع والطيران.
تُعزى هذه الحملة إلى مجموعة "مادي ووتر" (MuddyWater)، المعروفة أيضاً باسم "سيدوورم" (Seedworm)، وهي جماعة تهديد مرتبطة بوزارة الاستخبارات والأمن الإيرانية. ويُرجّح المحققون أن العملية بدأت في أوائل فبراير/شباط 2026. وقد ظهرت أنشطة شبكية مرتبطة بالحملة بعد فترة وجيزة من الضربات العسكرية التي شنتها الولايات المتحدة وإسرائيل على إيران، مما يُشير إلى وجود دافع جيوسياسي محتمل وراء هذا النشاط الإلكتروني.
يبدو أن اهتماماً خاصاً قد وُجّه نحو الفرع الإسرائيلي لمزود البرمجيات المستهدف. تُقدّم الشركة حلولاً لقطاعات متعددة، بما في ذلك الدفاع والطيران، مما يجعلها هدفاً ذا قيمة استراتيجية لجمع المعلومات الاستخباراتية وإمكانية إحداث اضطراب فيها.
جدول المحتويات
ديندور: باب خلفي تم اكتشافه حديثًا يستغل دينو
كشف محللو الأمن الذين فحصوا عمليات الاختراق عن استخدام باب خلفي غير موثق سابقًا يُدعى ديندور. يستخدم هذا البرنامج الخبيث بيئة تشغيل جافا سكريبت دينو كجزء من بيئة تنفيذه، وهي تقنية غير شائعة نسبيًا قد تساعده على التهرب من الكشف في أنظمة مراقبة الأمن التقليدية.
يبدو أن الهجمات التي شملت بائع البرامج ومؤسسة مصرفية أمريكية ومنظمة كندية غير ربحية قد شكلت نقاط دخول لتثبيت هذا الباب الخلفي.
تم رصد أدلة على محاولة تسريب البيانات. لاحظ المحققون استخدام أداة Rclone لنقل المعلومات من بيئة شركة البرمجيات المخترقة إلى مساحة تخزين سحابية مُستضافة على منصة Wasabi. وحتى وقت التحليل، لم يتضح ما إذا كانت محاولة تسريب البيانات قد نجحت في نهاية المطاف.
يظهر باب خلفي من نوع Fakeset في شبكات مخترقة إضافية.
تم اكتشاف مكون برمجي خبيث منفصل يُعرف باسم Fakeset، مكتوب بلغة بايثون، داخل شبكات مطار أمريكي ومنظمة غير ربحية أخرى. وقد تم استخراج هذا الباب الخلفي من بنية تحتية مرتبطة بشركة Backblaze، وهي شركة أمريكية متخصصة في خدمات التخزين السحابي والنسخ الاحتياطي.
تم توقيع الحمولة الخبيثة رقميًا باستخدام شهادة تم ربطها سابقًا بعائلتين أخريين من البرامج الضارة، وهما Stagecomp و Darkcomp، وكلاهما مرتبط تاريخيًا بعمليات MuddyWater.
حدد باحثو التهديدات عينات من البرامج الضارة تحمل التوقيعات التالية المرتبطة بنظام MuddyWater البيئي:
- حصان طروادة: بايثون/MuddyWater.DB!MTB
- Backdoor.Python.MuddyWater.a
على الرغم من عدم اكتشاف Stagecomp و Darkcomp أنفسهما على الشبكات المخترقة التي تم فحصها في هذا التحقيق، إلا أن إعادة استخدام نفس الشهادة الرقمية تشير بقوة إلى تورط نفس الجهة الفاعلة في التهديد، مما يعزز نسبة التورط إلى Seedworm.
توسيع القدرات السيبرانية الإيرانية وتكتيكات الهندسة الاجتماعية
لقد حسّنت الجهات الفاعلة الإيرانية في مجال التهديدات السيبرانية قدراتها التشغيلية بشكل ملحوظ في السنوات الأخيرة. فقد تطورت برامجها الخبيثة وأدواتها بشكل أكثر تعقيداً، مما مكّنها من البقاء بشكل أكثر سرية والتحرك الجانبي بشكل أكثر فعالية داخل شبكات الضحايا.
ومن الجدير بالذكر أيضاً توسع استراتيجياتهم الهجومية التي تستهدف الأفراد. فقد أظهر المشغلون الإيرانيون أساليب هندسة اجتماعية متطورة بشكل متزايد، بما في ذلك حملات التصيد الاحتيالي الموجهة بدقة عالية وعمليات "الاستدراج" طويلة الأمد المصممة لكسب ثقة الأفراد المستهدفين. وتُستخدم هذه الأساليب بشكل متكرر للوصول إلى الحسابات أو استخراج معلومات حساسة.
المراقبة عبر الكاميرات المعرضة للخطر
كشفت تحقيقات موازية أن جماعات تهديد أخرى مرتبطة بإيران تقوم بنشاط بفحص أجهزة المراقبة المتصلة بالإنترنت. وقد لوحظ قيام إحدى هذه الجماعات، وهي جماعة أغريوس، المعروفة أيضاً بأسماء مستعارة مثل أغونايزينغ سيربنس، ومارشتريدر، وبينك ساندستورم، بمسح البنية التحتية لأنظمة المراقبة بالفيديو بحثاً عن نقاط ضعفها.
وثّق الباحثون محاولات استغلال استهدفت كاميرات هيكفيجن وأنظمة الاتصال المرئي عبر ثغرات أمنية معروفة. وقد تصاعدت هذه الأنشطة في ظل الصراع الدائر في الشرق الأوسط، لا سيما في إسرائيل وعدد من دول الخليج.
ركزت الحملة على استغلال الثغرات الأمنية التي تؤثر على معدات المراقبة من شركتي داهوا وهيكفيجن، بما في ذلك:
- CVE-2017-7921
- CVE-2023-6895
- CVE-2021-36260
- CVE-2025-34067
- CVE-2021-33044
يعتقد محللو الأمن أن مثل هذه الاختراقات قد تدعم جمع المعلومات الاستخباراتية العسكرية، بما في ذلك المراقبة العملياتية وتقييم أضرار المعارك المتعلقة بعمليات الصواريخ. وفي بعض الحالات، قد تحدث عمليات اختراق الكاميرات قبل إطلاق الصواريخ للمساعدة في تحديد الأهداف أو مراقبة النتائج.
النشاط السيبراني كتمهيد للعمليات العسكرية
يتماشى الاستهداف المنسق للبنية التحتية للمراقبة مع التقييمات القديمة التي تشير إلى أن العقيدة السيبرانية الإيرانية تدمج الاستطلاع الرقمي في التخطيط العسكري الأوسع. ويمكن للكاميرات المخترقة أن توفر معلومات بصرية فورية وفهمًا دقيقًا للوضع.
وبالتالي، فإن مراقبة نشاط المسح ومحاولات الاستغلال ضد البنية التحتية للكاميرات المرتبطة بالأصول السيبرانية الإيرانية المعروفة قد تكون بمثابة إشارة إنذار مبكر لعمليات حركية لاحقة محتملة.
مخاطر متزايدة للانتقام الإلكتروني
أدى تصاعد الصراع بين الولايات المتحدة وإسرائيل وإيران إلى زيادة خطر الرد السيبراني. واستجابةً لتنامي هذا التهديد، أصدر المركز الكندي للأمن السيبراني تحذيراً استشارياً مفاده أن إيران قد تستغل قدراتها السيبرانية ضد البنية التحتية الحيوية، وتنفذ عمليات نفوذ أو تضليل إعلامي لتعزيز مصالحها الاستراتيجية.
تسلط هذه التطورات الضوء على الدور المتنامي للفضاء الإلكتروني كساحة معركة موازية خلال الصراعات الجيوسياسية، حيث يصاحب التجسس والتخريب وجمع المعلومات الاستخباراتية بشكل متزايد العمليات العسكرية التقليدية.
