حزب الله يستهدف كبرى الشركات حول العالم

قامت مجموعة من المهاجمين والتي يعتقد بأن لها صلات بحزب الله بإعادة تجهيز ترسانتها من البرامج الضارة بإصدار جديد من Trojan لاقتحام الشركات في جميع أنحاء العالم واستخراج معلومات قيمة.

في تقرير جديد نشره فريق البحث ClearSky يوم الخميس، قالت شركة الأمن السيبراني الإسرائيلية إنها حددت ما لا يقل عن 250 خادمًا للويب منذ أوائل عام 2020 تم اختراقها من قبل هذه المجموعة بهدف جمع المعلومات الاستخبارية وسرقة قواعد بيانات الشركات.

أصابت تلك الهجمات عددًا كبيرًا من الشركات الموجودة في الولايات المتحدة والمملكة المتحدة ومصر والأردن ولبنان والمملكة العربية السعودية وإسرائيل والسلطة الفلسطينية، وكان غالبية الضحايا يمثلون مشغلي الاتصالات (اتصالات وموبايلي وفودافون مصر)، مزودو خدمات الإنترنت (سعودي نت، تي إي داتا)، ومزودو خدمات الاستضافة والبنية التحتية (Secured Servers LLC، iomart).

أول هجوم لهذه المجموعة والتي أطلق عليها اسم Lebanese Cedar، تم توثيقه في عام 2015، ومن المعروف أن هذه المجموعة تخترق عددًا كبيرًا من الأهداف باستخدام تقنيات هجوم مختلفة، بما في ذلك زرع البرمجيات الخبيثة المصممة.

يُشتبه سابقاً في أن شركة فولتايل سيدار من أصول لبنانية – وتحديداً هي الوحدة الإلكترونية لحزب الله – لها علاقة بحملة تجسس إلكترونية في عام 2015 استهدفت الموردين العسكريين وشركات الاتصالات ووسائل الإعلام والجامعات.

لم تكن هجمات 2020 مختلفة. نشاط القرصنة الذي كشفت عنه العمليات المتطابقة من ClearSky المنسوبة إلى حزب الله استنادًا إلى تداخلات التعليمات البرمجية بين متغيرات 2015 و2020 لـ Explosive RAT، والتي يتم نشرها على شبكات الضحايا من خلال استغلال الثغرات الأمنية المعروفة في خوادم الويب Oracle وAtlassian.

بدأ عملية الهجوم من خلال استغلال الثغرات الأمنية الثلاثة CVE-2019-3396 وCVE-2019-11581 وCVE-2012-3152، حصل المهاجمين على وطء أول قدم في الأنظمة من خلال رفع shell خاص بهم وتنقلوا بشكل جانبي عبر الشبكات وإضافة البرامج الخاصة بهم وتنزيل Explosive RAT، والذي يمتلك العديد من الوظائف والمهام منها تسجيل ضربات لوحة المفاتيح، والتقاط الشاشة، وتنفيذ أوامر عشوائية.

أشار الباحثون أن ال shell استخدم لتنفيذ عمليات تجسس على خادم الويب المخترق، ولكن ليس قبل الحصول على امتيازات أعلى لتنفيذ المهام ونقل النتائج إلى خادم القيادة والسيطرة (C2).

في السنوات الخمس التي تلت ظهور Explosive RAT لأول مرة، قالت ClearSky إنه وصل إلى إصداره الرابع مع ميزات جديدة أضافها المهاجمون لِ Trojan الخاص بهم من ضمنها تشفير الاتصال بين الجهاز المخترق وخادم C2.

ليس من المستغرب بالنسبة للجهات الفاعلة في الهجوم أن تحافظ على مكانها بعيدًا عن الأنظار، لكن الاعتقاد أن المجموعة ربما أوقفت عملياتها لفترات طويلة فيما بينها لتجنب اكتشافها.

لاحظ ClearSky أن استخدام المجموعة ل shell كأداة قرصنة أساسية يمكن أن يكون مفيدًا في قيادة الباحثين والخبراء إلى طريق مسدود من حيث اكتشاف المهاجمين.

وأضاف الباحثون أن مسار Lebanese Cedar في البداية كان باستهداف أجهزة الكمبيوتر كنقطة وصول أولية، ثم تقدموا إلى شبكة الضحية ثم تقدموا لاستهداف خوادم الويب الضعيفة التي تواجه الجمهور”.