كانت مجموعة القرصنة المدعومة من الحكومة الإيرانية والمعروفة باسم APT 33 نشطة لأكثر من 10 سنوات، حيث أجرت عمليات تجسس عدوانية ضد مجموعة متنوعة من ضحايا القطاعين العام والخاص في جميع أنحاء العالم، بما في ذلك أهداف البنية التحتية الحيوية. وبينما تشتهر المجموعة بشكل خاص بالهجمات الاستراتيجية ولكن البسيطة من الناحية الفنية مثل “رش كلمات المرور”، فقد شاركت أيضًا في تطوير أدوات قرصنة أكثر تطوراً، بما في ذلك البرامج الضارة المدمرة المحتملة المصممة لتعطيل أنظمة التحكم الصناعية. الآن، تشير النتائج التي أصدرتها مايكروسوفت يوم الأربعاء إلى أن المجموعة تواصل تطوير تقنياتها باستخدام باب خلفي جديد متعدد المراحل.
وتقول شركة مايكروسوفت للأمن المعلوماتي إن المجموعة التي أطلقت عليها اسم Peach Sandstorm طورت برامج خبيثة مخصصة يمكن للمهاجمين استخدامها لإنشاء وصول عن بعد إلى شبكات الضحايا. ويصيب الباب الخلفي، الذي أطلقت عليه مايكروسوفت اسم “Tickler” لسبب ما، الهدف بعد أن تحصل مجموعة القرصنة على وصول أولي عبر رش كلمة المرور أو الهندسة الاجتماعية. وبدءًا من أبريل وحتى يوليو، لاحظ الباحثون أن Peach Sandstorm تنشر الباب الخلفي ضد الضحايا في قطاعات بما في ذلك الأقمار الصناعية ومعدات الاتصالات والنفط والغاز. وتقول مايكروسوفت أيضًا إن المجموعة استخدمت البرامج الضارة لاستهداف كيانات حكومية فيدرالية وحكومية في الولايات المتحدة والإمارات العربية المتحدة.
وقال شيرود دي غريبو، مدير استخبارات التهديدات في مايكروسوفت، في بيان لموقع WIRED: “لا يمثل برنامج Tickler الخبيث بالضرورة خطوة كبيرة للأمام في التكتيكات والتقنيات والإجراءات لهذا الفاعل التهديدي، ولكنه يمثل تركيزًا واضحًا ونشطًا على تطوير اتخاذ إجراءات بشأن الأهداف”.
لاحظ الباحثون أن Peach Sandstorm قامت بنشر Tickler ثم قامت بالتلاعب بالبنية التحتية السحابية Azure للضحية باستخدام اشتراكات Azure الخاصة بالمتسللين للحصول على السيطرة الكاملة على الأنظمة المستهدفة. وتقول Microsoft إنها أخطرت العملاء الذين تأثروا بالاستهداف.
كما واصلت العصابة هجمات رش كلمات المرور منخفضة التقنية، وفقًا لمايكروسوفت، حيث يحاول المتسللون الوصول إلى العديد من الحسابات المستهدفة من خلال تخمين كلمات المرور المسربة أو الشائعة حتى يسمح لهم أحدهم بالدخول. تستخدم Peach Sandstorm هذه التقنية للوصول إلى أنظمة مستهدفة لإصابتها ببرنامج Tickler backdoor ولأنواع أخرى من عمليات التجسس. منذ فبراير 2023، يقول الباحثون إنهم لاحظوا أن المتسللين “يقومون بنشاط رش كلمات المرور ضد آلاف المنظمات”. وفي أبريل ومايو 2024، لاحظت مايكروسوفت استخدام Peach Sandstorm لرش كلمات المرور لاستهداف المنظمات في الولايات المتحدة وأستراليا التي تعمل في قطاعات الفضاء والدفاع والحكومة والتعليم.
وكتبت مايكروسوفت: “واصلت Peach Sandstorm أيضًا تنفيذ هجمات رش كلمات المرور ضد القطاع التعليمي لشراء البنية التحتية وضد قطاعات الأقمار الصناعية والحكومة والدفاع كأهداف أساسية لجمع المعلومات الاستخباراتية”.
ويقول الباحثون إنه بالإضافة إلى هذا النشاط، واصلت العصابة عمليات الهندسة الاجتماعية على شبكة التواصل الاجتماعي المهنية المملوكة لشركة مايكروسوفت LinkedIn، والتي يقولون إنها تعود إلى نوفمبر 2021 على الأقل واستمرت حتى منتصف عام 2024. ولاحظت مايكروسوفت أن المجموعة أنشأت ملفات تعريف على LinkedIn تدعي أنها لطلاب ومطوري برامج ومديري اكتساب المواهب الذين يُفترض أنهم مقيمون في الولايات المتحدة وأوروبا الغربية.
وكتبت شركة مايكروسوفت: “استخدمت Peach Sandstorm هذه الحسابات في المقام الأول لجمع المعلومات الاستخباراتية والهندسة الاجتماعية المحتملة ضد التعليم العالي وقطاعات الأقمار الصناعية والصناعات ذات الصلة. وتم بعد ذلك إغلاق حسابات LinkedIn التي تم تحديدها”.
ويشير دي غريبو من مايكروسوفت إلى أنه على الرغم من أن الحملات الجديدة جديرة بالاهتمام، إلا أن Peach Sandstorm استهدفت صناعة الفضاء من قبل.
“هذه ليست المرة الأولى التي يبدي فيها Peach Sandstorm اهتمامًا بالاستهداف المرتبط بالأقمار الصناعية. فقد سبق لهذا الفاعل التهديدي أن طارد (في السابق) منظمات في قطاعات الأقمار الصناعية والدفاع والأدوية في جميع أنحاء العالم”، كما يقول ديجريبو من شركة مايكروسوفت. “هذا البرنامج الخبيث هو عبارة عن برنامج خبيث مخصص له عدة إصدارات، وهو يُظهر التركيز والالتزام باستغلال البرامج الضارة لتحقيق أهداف محددة”.
كان المتسللون الإيرانيون نشطين وعدوانيين على الساحة الدولية لسنوات ولم يظهروا أي علامات على التباطؤ. في وقت سابق من هذا الشهر، ظهرت تقارير تفيد بأن مجموعة إيرانية مختلفة كانت تستهدف دورة الانتخابات الأمريكية لعام 2024، بما في ذلك الهجمات ضد حملتي ترامب وهاريس.
تم التحديث في الساعة 5:35 مساءً بالتوقيت الشرقي، 28 أغسطس 2024: تمت إضافة تعليقات من مدير استخبارات التهديدات في Microsoft.