قراصنة إيرانيون ينشرون برنامجًا خبيثًا يسمى Tickler في هجمات إلكترونية عالية المخاطر
في تطور مثير للقلق فيما يتعلق بالأمن السيبراني العالمي، قدم قراصنة ترعاهم الدولة الإيرانية برنامجًا ضارًا جديدًا مخصصًا، أطلق عليه اسم Tickler ، للتسلل وجمع المعلومات الاستخباراتية حول البنية التحتية الحيوية في الولايات المتحدة والإمارات العربية المتحدة. كانت المجموعة التي تقف وراء هذه الحملة المتطورة، والتي تتبعها شركة Microsoft باسم Peach Sandstorm - والمعروفة أيضًا بأسماء مستعارة أخرى مثل APT33 وElfin وRefined Kitten - لا هوادة فيها في سعيها للحصول على بيانات قيمة من القطاعات المستهدفة.
جدول المحتويات
تهديد جديد في الساحة السيبرانية
لا يعد Tickler مجرد قطعة أخرى من البرامج الضارة؛ بل إنه يمثل قفزة كبيرة في قدرات أدوات التجسس الإلكتروني الإيرانية. تم تصميم هذا الباب الخلفي متعدد المراحل للتغلغل عميقًا في الأنظمة المخترقة، مما يسمح للمهاجمين بتنفيذ مجموعة من الأنشطة الخبيثة. من جمع معلومات النظام الحساسة إلى تنفيذ الأوامر والتلاعب بالملفات، يعمل Tickler كأداة متعددة الاستخدامات للمهاجمين.
استهداف القطاعات الحيوية
وتشمل الأهداف الرئيسية لهذه الحملة المنظمات العاملة في قطاعات الأقمار الصناعية والاتصالات والحكومة والنفط والغاز، وهي قطاعات بالغة الأهمية للأمن القومي لكل من الولايات المتحدة والإمارات العربية المتحدة. وتتلخص استراتيجية المهاجمين في تعطيل وجمع المعلومات الاستخبارية من القطاعات التي تلعب أدواراً محورية في البنية الأساسية لهذه الدول.
التهديد المستمر لعاصفة رمل الخوخ
لقد أظهرت مجموعة Peach Sandstorm تهديدًا مستمرًا ومتطورًا على مر السنين. في أواخر عام 2023، كثفت المجموعة أنشطتها، مع التركيز على الموظفين داخل القاعدة الصناعية الدفاعية الأمريكية. لا يقتصر نهجهم على الاستغلال التقني؛ لقد استغلوا أيضًا الهندسة الاجتماعية، وخاصة من خلال LinkedIn، لجمع المعلومات وتنفيذ خططهم الخبيثة.
قوة الهندسة الاجتماعية
لقد أثبت موقع LinkedIn أنه أداة قيمة لهؤلاء المتسللين، حيث يمكنهم من صياغة هجمات هندسية اجتماعية مقنعة تغري أهدافهم بشعور زائف بالأمان. ومن خلال التلاعب بالثقة داخل الشبكات المهنية، يخترق Peach Sandstorm بفعالية الدفاعات التي من شأنها أن تظل آمنة لولا ذلك.
توسيع ترسانتهم
بالإضافة إلى استخدامهم لبرنامج Tickler ، واصلت المجموعة استخدام هجمات رش كلمات المرور، وهي تقنية تهدف إلى اختراق حسابات متعددة من خلال استغلال كلمات مرور ضعيفة. ومؤخرًا، لوحظت هذه الهجمات في قطاعات الدفاع والفضاء والتعليم والحكومة في جميع أنحاء الولايات المتحدة وأستراليا.
استغلال البنية التحتية السحابية لتحقيق مكاسب ضارة
من أكثر الجوانب المثيرة للقلق في هذه الحملة استخدام اشتراكات Azure الاحتيالية لعمليات القيادة والتحكم. فمن خلال الاستفادة من البنية الأساسية السحابية المشروعة، يستطيع المتسللون إخفاء أنشطتهم وجعل اكتشاف هجماتهم والتخفيف من حدتها أكثر صعوبة بالنسبة للمدافعين.
هجوم إلكتروني منسق
إن توقيت تقرير مايكروسوفت عن Peach Sandstorm جدير بالملاحظة، إذ يتزامن مع تقرير Mandiant من Google Cloud حول عمليات مكافحة التجسس الإيرانية واستشارة الحكومة الأمريكية بشأن الأنشطة السيبرانية التي ترعاها الدولة الإيرانية. وهذا يشير إلى جهد أوسع نطاقا ومنسق من قبل الجهات الفاعلة الإيرانية لتوسيع نفوذها السيبراني والتعاون مع مجموعات برامج الفدية لتضخيم تأثيرها.
الحاجة إلى اليقظة
مع استمرار القراصنة الإيرانيين في تطوير تكتيكاتهم، فمن الضروري أن تظل المنظمات، وخاصة تلك العاملة في القطاعات الحيوية، يقظة. ويمثل إطلاق برنامج Tickler فصلاً جديدًا في التجسس الإلكتروني، مما يؤكد الحاجة إلى تدابير قوية للأمن الإلكتروني والتعاون الدولي لمكافحة هذه التهديدات المتزايدة.
يتعين على المتخصصين والمنظمات في مجال الأمن السيبراني أن يبقوا على اطلاع على هذه التطورات، والتأكد من استعدادهم للدفاع ضد الهجمات المتطورة بشكل متزايد من الجهات التي ترعاها الدولة مثل Peach Sandstorm .