اشتباه إيران في اختراق شركة أوروبية للطاقة | VPNoverview.com

يشتبه في قيام مجموعة قرصنة مدعومة من الدولة مقرها في إيران باختراق شركة طاقة أوروبية. يعتقد أن المجموعة استخدمت حصان طروادة للوصول عن بعد (RAT) يسمى PupyRAT في هجومهم.


ما هو PupyRAT

Pupy هو RAT مفتوح المصدر مكتوب بشكل رئيسي في الثعبان ويمكن أن يمنح المهاجمين الوصول الكامل إلى أنظمة الضحايا. وهي عبارة عن قطعة من البرامج الضارة عبر الأنظمة الأساسية ويمكنها بالتالي التسلل إلى منصات متعددة وهي Windows و Linux و OSX و Android.

يعد حصان طروادة للوصول عن بعد (RAT) برنامجًا ضارًا يسمح للمتسللين بمراقبة الكمبيوتر أو شبكة الضحية والتحكم فيها. وهو يعمل مثل برامج الوصول عن بعد المشروعة التي غالبًا ما يستخدمها الدعم الفني لمساعدة العملاء في حل مشكلات الكمبيوتر.

على الرغم من أن PupyRAT هو برنامج مفتوح المصدر من البرامج الضارة ، إلا أنه مرتبط بشكل أساسي بحملات القرصنة المدعومة من الدولة الإيرانية. ويرتبط بشكل خاص بمجموعة القرصنة المدعومة من الدولة APT 33. وقد شاركت APT 33 في الهجمات السابقة على التنظيم في قطاع الطاقة في جميع أنحاء العالم.

كيف تم نشر RAT?

يمكن نشر RATs فقط على الأنظمة التي تم اختراقها مسبقًا. في هذه الحالة ، لا يعرف الباحثون كيف تم نشر PupyRAT لكنهم يعتقدون أنه تم توزيعه عن طريق هجمات التصيد بالرمح.

تستهدف هجمات التصيد الاحتيالي مستلم واحد بدلاً من عدد كبير من المستلمين كما هو الحال مع هجمات التصيد الاحتيالي العادية. يختار مجرمو الإنترنت هدفًا داخل منظمة ويستخدمون وسائل التواصل الاجتماعي والمعلومات العامة الأخرى لمعرفة المزيد عن ضحاياهم المحتملين. ثم يصنعون بريدًا إلكترونيًا مزيفًا مخصصًا لذلك الشخص.

تضمنت حملات APT 33 السابقة مهاجمين يختارون ضحية محتملة ويكسبون ثقتهم قبل إرسال وثيقة ضارة لهم عبر البريد الإلكتروني. وبالتالي ، يعتقد الباحثون أنه من المحتمل أن يتم استخدام نفس طريقة النشر في هذه الحالة.

دليل على التطفل على شركة الطاقة

ذكرت شركة Insikt Group المسجلة في المستقبل أمس أنها عثرت على أدلة على خادم PupyRAT للتحكم والسيطرة (C2) في الدردشة مع خادم بريد من أواخر نوفمبر 2019 حتى 5 يناير 2020.

ويستمر تقرير Insikt Group لتوضيح ما يلي: “على الرغم من أن البيانات الوصفية وحدها لا تؤكد وجود أي حل وسط ، فإننا نقدر أن الحجم الكبير والاتصالات المتكررة من خادم البريد المستهدف إلى PupyRAT C2 كافية للإشارة إلى اختراق محتمل”.

ينتمي خادم البريد إلى منظمة قطاع الطاقة الأوروبية التي تنسق تخصيص موارد الطاقة وتزويدها بالموارد في أوروبا. وبالنظر إلى دور المنظمة ، فإن هذا الهجوم له أهمية خاصة ، لا سيما بالنظر إلى زيادة التدخلات الإيرانية المرتبطة ببرامج قطاع الطاقة ICS.

علق Phil Neray ، نائب رئيس الأمن السيبراني الصناعي في CyberX ، قائلاً: “نظرًا للاعتمادية الواسعة عبر الحدود عبر البنية التحتية للطاقة الأوروبية ، يبدو أن هذه خطوة استراتيجية من قبل الخصم للتركيز على هدف مركزي من أجل التأثير على العديد من البلدان في في الوقت نفسه ، على غرار القيمة الاستراتيجية لمهاجمة محطة إرسال مركزية واحدة بدلاً من محطات فرعية بعيدة متعددة – كما فعل ممثلو التهديد الروس في هجوم الشبكة الأوكرانية عام 2016 مقارنة بهجومهم عام 2015 “.

أهداف المهاجمين

يعتقد الباحثون أن حملة القرصنة الأخيرة على الشركات الأوروبية في قطاع الطاقة كانت مهمة استطلاع. يعتقد أن المهمة تهدف إلى جمع معرفة مهمة بعمليات محطات الطاقة وأنظمة التحكم الصناعية الخاصة بها. يتطلع المهاجمون أيضًا إلى تحديد نقاط الضعف في عمليات الشركات والبنية التحتية الحيوية.

تشرح بريسيلا موريوتشي ، مديرة تطوير التهديدات الإستراتيجية في شركة Recorded Future: “تمكين العمليات أو الهجمات المدمرة يستغرق هذا النوع من الاستطلاع الذي يستمر لمدة شهور ، وإلقاء نظرة ثاقبة على سلوك المسؤولين في هذه الشركات وفهم كيف يمكن لقدرة معينة أن تؤثر على المعلومات أو توزيع الطاقة مصادر.”

بالنسبة لدول مثل إيران ، التي يشتبه في رعايتها لمجموعات القرصنة هذه ، يمكن استخدام هذه المعرفة ضد الخصوم في حالات الصراع. يمكن استخدام المعلومات لإطلاق هجمات إلكترونية لشل القطاعات الرئيسية للخصم ، مثل الطاقة والمياه والنقل.

مع أخذ ذلك في الاعتبار ، من المثير للاهتمام ملاحظة تواريخ حملة القرصنة. وتشير هذه إلى أن حملة القرصنة بدأت قبل التوتر الجيوسياسي الناجم عن مقتل الجنرال الإيراني قاسم سليماني. وبالتالي ، لم يكن هذا الهجوم السيبراني هجومًا انتقاميًا لاغتيال سليماني.

الهجمات السابقة على البنية التحتية الحرجة

تزايدت الهجمات على أنظمة ICS والبنية التحتية الحيوية في السنوات الأخيرة. والسبب في ذلك أنها أهداف سهلة نسبيًا.

تتمثل المشكلة الرئيسية في أنظمة ICS والبنية التحتية الحيوية مثل السكك الحديدية ومحطات الطاقة في أن معظمها تم بناؤه قبل النظر في الأمن السيبراني. العديد من هذه لم يكن لديها أي أنظمة أمنية وبعض أنظمة ICS لا تزال لا. عندما يتم تعديلها لاحقًا مع أنظمة الأمان ، ليس من السهل دائمًا معرفة مكان ترك الثقوب. في الواقع ، العديد من أنظمة ICS ، على سبيل المثال ، مليئة بالثغرات.

تم تنفيذ الهجوم الأكثر شهرة على البنية التحتية الحيوية في عام 2012 باستخدام البرامج الضارة Stuxnet. Stuxnet هي دودة كمبيوتر تستهدف على وجه التحديد أجهزة التحكم المنطقية القابلة للبرمجة (PLCs). هذه تسمح بأتمتة العمليات والعمليات الصناعية للتحكم في الآلات.

يعتقد الباحثون أن Stuxnet تم تطويرها من قبل المخابرات الأمريكية والإسرائيلية وتم استخدامها لمهاجمة مصفاة نووية إيرانية. فقد جمعت معلومات استخبارية ودمرت آلاف أجهزة الطرد المركزي المستخدمة في تخصيب اليورانيوم.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map