الجهات الفاعلة في مجال التهديد الإيراني تعمل على تكثيف نشاط برامج الفدية والنشاط السيبراني
في هذا الصيف، أصدر مكتب التحقيقات الفيدرالي (FBI)، ووكالة الأمن السيبراني وأمن البنية التحتية (CISA)، ومركز الجرائم الإلكترونية التابع لوزارة الدفاع (DC3) تقريرًا استشارية مشتركة على الجهات الفاعلة في مجال التهديد في إيران ودورها في هجمات برامج الفدية على مؤسسات في الولايات المتحدة ودول أخرى حول العالم.
مع اقتراب الانتخابات الرئاسية الأمريكية من نهايتها، قد يتصاعد نشاط الدولة القومية من إيران. في أغسطس، قراصنة إيرانيون أضرت بحملة دونالد ترامب الرئاسية. قاموا بتسريب معلومات مخترقة و أرسلت وثائق مسروقة للأشخاص المشاركين في حملة جو بايدن، حسبما ذكرت شبكة CNN.
ما هي بعض مجموعات التهديد الرئيسية المرتبطة بإيران، وما الذي يحتاج أصحاب المصلحة في مجال الأمن السيبراني إلى معرفته عنها بينما يواصلون استهداف المنظمات والسياسة الأمريكية؟
مجموعات التهديد
يرتبط عدد من مجموعات التهديد المستمر المتقدم (APT) بالحرس الثوري الإسلامي (IRGC)، وهو فرع من القوات المسلحة الإيرانية. “[Other] يقول سكوت سمول، مدير استخبارات التهديدات السيبرانية في جامعة هارفارد: “المجموعات الفاعلة في مجال التهديدات السيبرانية الماهرة نسبياً… تحافظ على مسافة ذراع من الحكومة الإيرانية”. المد والجزر سايبر، شركة دفاع مطلعة على التهديدات. “لكنهم… يعملون بشكل واضح بالنيابة عنهم [of] أو تتماشى مع أهداف الحكومة الإيرانية”.
يمكن أن تكون هذه الأهداف التجسس وجمع المعلومات أو مجرد التعطيل. حملات الاختراق والتسريب، كذلك حملات المسحيمكن أن يكون نتيجة لنشاط جهة التهديد الإيرانية. وكما يحذر الاستشارة المشتركة الأخيرة، يمكن لهذه المجموعات الاستفادة من العلاقات مع مجموعات برامج الفدية الرئيسية لتحقيق أهدافها.
“انظر إلى العلاقات [of] مجموعة مثل Pioneer Kitten/Fox Kitten. يقول سمول: “إنهم يتشاركون ويتعاونون مع بعض مجموعات برامج الفدية الرائدة في العالم”. “هذه برامج ضارة مدمرة للغاية وقد حققت نجاحًا كبيرًا في السنوات الأخيرة في تعطيل الأنظمة.”
يسلط الاستشارة المشتركة الضوء على Pioneer Kitten، والتي تُعرف أيضًا بأسماء مثل Fox Kitten وLemon Sandstorm وParisite وRUBIDIUM وUNC757 وغيرها. وقد لاحظ مكتب التحقيقات الفيدرالي أن هذه الجهات الفاعلة السيبرانية الإيرانية تنسق مع مجموعات مثل ALPHV (المعروفة أيضًا باسم BlackCat)، وRansomhouse، وNoEscape. وفقًا للتقرير الاستشاري المشترك، “يعتقد مكتب التحقيقات الفيدرالي أن هؤلاء الممثلين لا يكشفون عن موقعهم في إيران لجهات الاتصال التابعة لهم في مجال برامج الفدية، وهم غامضون عمدًا فيما يتعلق بجنسياتهم وأصلهم”.
وقد لفتت العديد من مجموعات التهديد الأخرى التابعة لإيران انتباه مجتمع الأمن السيبراني. في عام 2023، لاحظت مايكروسوفت عاصفة الخوخ الرملية (يتم تتبعها أيضًا باسم APT33 وElfin وHolmium وRefined Kitten) تحاول توفير أبواب خلفية للمؤسسات في القطاع الصناعي العسكري.
المياه الموحلة، التي تعمل كجزء من وزارة الاستخبارات والأمن الإيرانية (MOIS)، استهدفت مؤسسات الحكومة والقطاع الخاص في قطاعات النفط والدفاع والاتصالات.
TTPs
تتنوع التكتيكات والتقنيات والإجراءات (TTPs) التي تستفيد منها مجموعات التهديد الإيرانية. يتتبع Tidal Cyber العديد من الجهات الفاعلة الرئيسية في مجال التهديد؛ لديها مركز موارد التهديد السيبراني الإيراني. وجد سمول أن أفضل 10 مجموعات كانت مسارات شركته مرتبطة بما يقرب من 200 مجموعة ميتري ATT&CK التقنيات.
ويقول: “من المؤكد أن هذه مجرد مجموعة بيانات واحدة من TTPs المعروفة، ولكن 10 مجموعات فقط مرتبطة بحوالي ثلث TTPs المعروفة، وهذا يوضح فقط اتساع نطاق التقنيات والأساليب التي تستخدمها هذه المجموعات”.
الطريقان الرئيسيان للتسوية هما الهندسة الاجتماعية واستغلال نقاط الضعف غير المصححة، وفقًا لمارك بولينج، كبير مسؤولي المعلومات والأمن والمخاطر في شركة.اكستراهوب، شركة حلول الأمن السيبراني السحابية الأصلية.
يمكن أن تؤدي الهندسة الاجتماعية التي يتم إجراؤها عبر تكتيكات مثل التصيد الاحتيالي والتصيد الاحتيالي عبر الرسائل النصية القصيرة إلى اختراق بيانات الاعتماد التي تمنح الجهات الفاعلة التي تهدد التهديد إمكانية الوصول إلى النظام، وهو ما يمكن الاستفادة منه في هجمات التجسس وبرامج الفدية.
على سبيل المثال، Charming Kitten (المعروفة أيضًا باسم CharmingCypress وMint Sandstorm وAPT42)، الاستفادة من ندوة عبر الإنترنت وهمية للإيقاع بضحاياها وخبراء السياسة في الولايات المتحدة وأوروبا والشرق الأوسط.
يمكن أيضًا أن تكون نقاط الضعف غير المصححة، سواء كانت مباشرة داخل أنظمة المؤسسة أو سلسلة التوريد الأكبر الخاصة بها، أداة مفيدة للجهات الفاعلة في مجال التهديد.
يقول بولينج: “لقد وجدوا هذه الثغرة الأمنية، وإذا لم يتم تصحيح هذه الثغرة بسرعة، فمن المحتمل أن يتم إنشاء برمجية إكسبلويت خلال أسبوع”.
وأدرجت الاستشارة المشتركة العديد من التهديدات والتطرف العنيف التي تستفيد منها الجهات الفاعلة السيبرانية الإيرانية للوصول الأولي. تتوفر التصحيحات، لكن التحذير يحذر من أنها لن تكون كافية للتخفيف من التهديد إذا تمكنت الجهات الفاعلة بالفعل من الوصول إلى الأنظمة الضعيفة.
الضحايا المحتملين
من هم الأهداف المحتملة للحملات السيبرانية المستمرة للجهات الفاعلة في مجال التهديد في إيران؟ وسلط التقرير الاستشاري المشترك الضوء على قطاعات الدفاع والتعليم والمالية والرعاية الصحية والحكومة باعتبارها قطاعات مستهدفة من قبل الجهات الفاعلة السيبرانية في إيران.
يقول سمول: “ما هو الحال مع الكثير من أنشطة التهديد التي ترعاها الدولة القومية في الوقت الحالي، هو… استهداف القليل من أي شخص وكل شخص”.
مع اقتراب العد التنازلي للانتخابات الرئاسية، من الممكن أن تقوم الجهات التهديدية بتنفيذ حملات تأثير نشطة. هذا النوع من النشاط ليس جديدا. في عام 2020، تظاهر مواطنان إيرانيان بأنهما عضوان في جماعة “الأولاد الفخورون” اليمينية المتطرفة كجزء من مجموعة حملة تخويف الناخبين والتأثير عليهم. في الفترة التي سبقت انتخابات 2024، شهدنا بالفعل هجوم الاختراق والتسريب على حملة ترامب.
ويمكن أن تقع كيانات أخرى أيضًا فريسة لمجموعات التهديد الإيرانية التي تسعى إلى نشر معلومات مضللة أو ببساطة خلق الارتباك. يقول جيه بي كاستيلانوس، مدير استخبارات التهديدات في وكالة الاستخبارات المركزية: “من المحتمل أنهم قد يستهدفون المنشآت الحكومية أو حكومات الولايات أو الحكومات المحلية، فقط لإضافة المزيد من الفوضى إلى هذه الانتخابات العامة المنقسمة بالفعل”. الدفاع الثنائي، شركة الكشف والاستجابة المُدارة.
وكانت أجهزة التكنولوجيا التشغيلية الضعيفة أيضًا في مرمى الجهات الفاعلة التي يرعاها الحرس الثوري الإيراني. في نهاية عام 2023، أصدرت CISA، إلى جانب العديد من الوكالات الحكومية الأخرى، تقريرًا تحذير استشاري من النشاط السيبراني الذي يستهدف أجهزة التكنولوجيا التشغيلية يشيع استخدامها في مرافق أنظمة المياه والصرف الصحي.
في عام 2023، CyberAv3ngersقامت مجموعة تابعة للحرس الثوري الإيراني باختراق نظام Unitronics إسرائيلي الصنع في هيئة المياه البلدية في ولاية بنسلفانيا. في أعقاب الهجوم، كُتب على الشاشات في المنشأة: “لقد تم اختراقك. فلتسقط إسرائيل، كل المعدات “المصنوعة في إسرائيل” هي هدف قانوني لشركة CyberAv3ngers”.
وتمكنت محطة تعزيز سلطة المياه من التحول إلى العمليات اليدوية، لكن الهجوم كان بمثابة تحذير مشؤوم.
يقول سمول: “كانت الآثار المترتبة على ذلك واضحة تمامًا، وهو أنه كان من الممكن القيام بشيء آخر آخر، وهو التلاعب بمستويات المياه وضوابط السلامة، وأشياء من هذا القبيل”.
ومع استمرار الحرب بين إسرائيل وحماس، يمكن أن تظل المنظمات في إسرائيل والدول الحليفة أهدافًا للهجمات المرتبطة بإيران.
وشهد قطاع التعليم أيضًا مستويات مرتفعة من النشاط السيبراني في إيران، وفقًا لما ذكره سمول. على سبيل المثال، لاحظت Microsoft Threat Intelligence Mint Sandstorm تصنع إغراءات التصيد الاحتيالي لاستهداف الأفراد البارزين في المنظمات البحثية والجامعات.
التهديدات المتصاعدة
تعد إيران واحدة من العديد من الجهات الفاعلة التي تهدد الدولة القومية والتي تستهدف بنشاط مؤسسات القطاعين العام والخاص في الولايات المتحدة. وتشارك روسيا وكوريا الشمالية والصين في اللعبة أيضاً. وبالإضافة إلى الجهات التهديدية ذات الدوافع السياسية، يتعين على قادة المؤسسات أن يتعاملوا مع الجماعات الإجرامية التي لا تحركها أي راية محددة بل الربح فقط.
“باعتبارك مدافعًا إلكترونيًا، ما هو مقدار النطاق الترددي لديك؟ كم عدد المجموعات التي يمكنك تتبعها؟ يقول سمول: “نحن نتحدث دائمًا عن تحديد الأولويات”.
ويشير كاستيلانوس إلى أن إيران تعتبر في بعض الأحيان تهديدًا من مستوى أدنى، لكنه يعتقد أن هذا خطأ. ويحذر قائلا: “أوصي بشدة… بعدم التعامل مع إيران باعتبارها شيئا لا يدعو للقلق”.
يتعرض قادة المؤسسات لضغوط متزايدة للنظر في التوترات الجيوسياسية، والمخاطر التي تواجهها مؤسساتهم في هذا السياق، والموارد المتاحة للتخفيف من تلك المخاطر.
يؤكد بولينج على أهمية الاستثمار في المواهب والعمليات والتكنولوجيا في مجال الأمن السيبراني.
“يمكن أن يكون لديك عمليات جيدة، ويمكن أن يكون لديك أشخاص جيدون. ولكن إذا لم تكن لديك التكنولوجيا التي تسمح لك برؤية المهاجمين وتسمح لك بالرد بشكل أسرع على الهجوم، فلن تنجح.
ومع استمرار الشركات في مكافحة التهديدات السيبرانية من إيران، وكذلك الدول القومية الأخرى والجماعات الإجرامية، يظل تبادل المعلومات أمرًا حيويًا. “هذا تبادل المعلومات [and] يقول سمول: “الذكاء الاصطناعي هو ما يؤدي في الواقع إلى نشر الكثير من هذه التنبيهات ومن ثم تصبح قابلة للاستخدام من قبل بقية المجتمع”.
