الممسحة.. فيروس إلكتروني إيراني يستهدف المنطقة
نشرت إكس فورس (X-Force) -الذراع الأمنية التابعة لشركة آي بي إم (IBM)- تقريرا عن سلالة جديدة من البرامج الضارة تتصل بمجموعات قرصنة إيرانية مدعومة من الدولة، استخدمت في هجوم مدمر ضد الشركات في الشرق الأوسط، وحذرت آي بي إم من أنها تستهدف قطاعي الصناعة والطاقة في المنطقة.
ووفقا للتقرير الصادر عن باحثين في شركة أكس فورس، يعتبر البرنامج الذي يطلق عليه “الممسحة” أو “زيرو كلير” (ZeroCleare) ثمرة تعاون محتمل بين المجموعات التي ترعاها الدولة الإيرانية.
واستهدفت الهجمات منظمات معينة، واستخدمت كلمات مرور للوصول إلى موارد الشبكة، وتم إطلاق المرحلة الأولى من الهجمات من عناوين “آي بي” (IP) في أمستردام تملكها مجموعة مرتبطة بما تشير إليه “آي بي أم” باسم “مجموعة آي تي جي 13” (ITG13 Group) والمعروفة أيضا باسم “أويل رج” (Oilrig) و”أي بي تي 34″ (APT34)؛ وربما تكون جماعة تهديد إيرانية أخرى قد استخدمت العناوين نفسها للوصول إلى الحسابات.
ولم تذكر آي بي أم الشركات التي تم استهدافها ومسح بياناتها في الهجمات الأخيرة، لكنها أوضحت من خلال التقرير المؤلف من 28 صفحة، أن البرمجية الخبيثة “زيرو كلير” تعمل على مسح البيانات.
وقالت الشركة الأميركية إن زيروكلير تشبه شمعون (Shamoon)، أحد أكثر سلالات البرامج الضارة خطورة وتدميرا في العقد الماضي، لكن على عكس العديد من الهجمات الإلكترونية السابقة التي عادة ما تنفذها مجموعة واحدة، أوضحت آي بي إم أن هذه البرمجية الخبيثة والهجمات وراءها على ما يبدو جهود تعاون بين اثنتين من وحدات القرصنة الإيرانية المدعومة من الحكومة.
ونستخدم مثل هذه البرامج الضارة في العادة لإخفاء الاختراقات عن طريق حذف الأدلة المهمة أو لتدمير قدرة الضحية على القيام بنشاطها التجاري المعتاد.
وأوضح الباحثون أن الهجمات عادةً ما تبدأ مع محاولة المتسللين تخمين كلمات المرور من أجل الوصول إلى حسابات وموارد شبكة الشركة.
وبمجرد وصول المهاجمين إلى حساب خادم الشركة، فإنهم يستغلون ثغرة أمنية لتثبيت تهديدات مثل شاينا شوبر (China Chopper) وتونا (Tunna)، في سبيل الوصول إلى أكبر عدد ممكن من أجهزة الحاسب داخل الشبكة، وبعد حصول البرامج على الميزات، سيتم تحميل مجموعة أدوات للتفاعل مع الملفات والأقراص.
وكان ضحايا الهجمات في قطاعي الطاقة والصناعة في البلدان التي تعتبرها إيران منافسة في الخليج العربي. وليست هذه هي الحملة الوحيدة المستمرة المرتبطة بإيران، فقد أشارت تقارير غير مؤكدة إلى هجمات أخرى من “أي بي تي33” (APT33) الإيرانية ضد شركات الطاقة في الولايات المتحدة ودول أخرى، واستهدفت جماعة تهديد أخرى مرتبطة بإيران حملة رئاسية أميركية.
