مجموعة هاكرز من حزب الله يستهدفون شركات إتصالات عالميه و مزودي لخدمات الانترنت
قامت “مجموعة مهاجمين متواصلون” لها صلات مزعومة بحزب الله بإعادة تجهيز ترسانتها من البرامج الضارة بإصدار جديد من برنامج (RAT) Trojan للوصول عن بعد لاقتحام الشركات في جميع أنحاء العالم واستخراج معلومات قيمة.
في تقرير جديد نشره فريق البحث ClearSky ، قالت شركة الأمن السيبراني الإسرائيلية إنها حددت ما لا يقل عن 250 خادمًا للويب العام منذ أوائل عام 2020 تم اختراقها من قبل ممثل التهديد لجمع المعلومات الاستخبارية وسرقة قواعد بيانات الشركة.
أصابت الاقتحامات المنظمة عددًا كبيرًا من الشركات الموجودة في الولايات المتحدة والمملكة المتحدة ومصر والأردن ولبنان والمملكة العربية السعودية وإسرائيل والسلطة الفلسطينية ، وكان غالبية الضحايا يمثلون مشغلي الاتصالات (اتصالات وموبايلي وفودافون مصر) ، مزودو خدمات الإنترنت (سعودي نت ، تي إي داتا) ، ومزودو خدمات الاستضافة والبنية التحتية.
تم توثيقها لأول مرة في عام 2015 ، ومن المعروف أن الأرز المتطاير (أو الأرز اللبناني) يخترق عددًا كبيرًا من الأهداف باستخدام تقنيات هجوم مختلفة ، بما في ذلك زرع البرمجيات الخبيثة المصممة خصيصًا والتي يطلق عليها اسم المتفجرة يُشتبه سابقاً في أن شركة فولتايل سيدار من أصول لبنانية – وتحديداً الوحدة الإلكترونية لحزب الله – فيما يتعلق بحملة تجسس إلكتروني في عام 2015 استهدفت الموردين العسكريين وشركات الاتصالات ووسائل الإعلام والجامعات.
لم تكن هجمات 2020 مختلفة. نشاط القرصنة الذي تم الكشف عنه بواسطة عمليات مطابقة ClearSky المنسوبة إلى حزب الله بناءً على تداخلات التعليمات البرمجية بين متغيرات 2015 و 2020 لـ Explosive RAT ، والتي يتم نشرها على شبكات الضحايا من خلال استغلال نقاط الضعف المعروفة في يوم واحد في خوادم الويب Oracle و Atlassian غير المصححة.
باستخدام العيوب الثلاثة في الخوادم CVE-2019-3396) و CVE-2019-11581 و CVE-2012-3152 )كمتجه للهجوم للحصول على موطئ قدم أولي ، قام المهاجمون بعد ذلك بحقن قذيفة ويب ومتصفح ملفات JSP ، تم استخدام كلاهما للتنقل بشكل جانبي عبر الشبكة ، وجلب برامج ضارة إضافية ، وتنزيل Explosive RAT ، والذي يأتي مزودًا بقدرات لتسجيل ضغطات المفاتيح ، والتقاط لقطات الشاشة ، وتنفيذ أوامر عشوائية.
وأشار الباحثون إلى أن ” قذيفة الويب تُستخدم لتنفيذ عمليات تجسس مختلفة على خادم الويب المهاجم ، بما في ذلك موقع الأصول المحتمل لمزيد من الهجمات وتكوين خادم تثبيت الملفات والمزيد” ، ولكن ليس قبل الحصول على امتيازات تصعيدية لتنفيذ المهام و نقل النتائج إلى خادم القيادة والسيطرة (C2) .
في السنوات الخمس التي تلت ظهور RAT المتفجرة لأول مرة ، قالت ClearSky إن ميزات جديدة لمكافحة تصحيح الأخطاء تمت إضافتها إلى الغرسة في أحدث تكرار لها (V4) ، مع تشفير الاتصالات بين الجهاز المخترق وخادم C2 الآن.
في حين أنه ليس من المستغرب بالنسبة للجهات الفاعلة في التهديد أن تحافظ على مكانها بعيدًا عن الأنظار ، فإن حقيقة أن الأرز اللبناني تمكن من البقاء مختبئًا منذ عام 2015 دون جذب أي انتباه على الإطلاق يعني أن المجموعة ربما أوقفت عملياتها لفترات طويلة فيما بينها لتجنب اكتشافها.
أشار ClearSky إلى أن استخدام المجموعة لقذيفة الويب كأداة اختراق أساسية يمكن أن يكون مفيدًا في قيادة الباحثين إلى “طريق مسدود “.
وأضاف الباحثون أن ” “الأرز اللبناني” حوّل تركيزه بشكل كبير.
في البداية هاجموا أجهزة الكمبيوتر كنقطة وصول أولية ، ثم تقدموا إلى شبكة الضحية ثم تقدموا لاستهداف خوادم الويب الضعيفة التي تواجه الجمهور”.
لمتابعة المزيد من أخبار التقنية تابع معنا قسم التقنية من هنا