قراصنة إيرانيون مشتبه بهم يستخدمون شركة هندية لاستهداف قطاع الطيران الإماراتي ببرمجية Sosano​

قراصنة إيرانيون مشتبه بهم يستخدمون شركة هندية لاستهداف قطاع الطيران الإماراتي ببرمجية Sosano​

قراصنة إيرانيون مشتبه بهم يستخدمون شركة هندية لاستهداف قطاع الطيران الإماراتي ببرمجية Sosano​

في أكتوبر 2024، استهدف قراصنة مشتبه بانتمائهم للحرس الثوري الإيراني قطاع الطيران والاتصالات الفضائية في الإمارات العربية المتحدة باستخدام برمجية خبيثة جديدة تُعرف باسم "Sosano". نفذ المهاجمون هجماتهم عبر بريد إلكتروني مخترق لشركة هندية، مما سمح لهم بإرسال رسائل تصيّد تحتوي على مرفقات خبيثة. بمجرد فتح الملفات، تمكنت البرمجية من تنفيذ أوامر خبيثة وسرقة بيانات حساسة. يكشف هذا الهجوم عن تطور أساليب الاختراق واستغلال العلاقات التجارية الموثوقة لنشر البرمجيات الضارة دون إثارة الشكوك. لذلك، يعد تعزيز تدابير الأمن السيبراني أمرًا بالغ الأهمية لحماية الأنظمة الحساسة من المخاطر المتزايدة.

استهداف جديد لقطاع الطيران والاتصالات

في أكتوبر 2024، اكتشفت شركة Proofpoint حملة تصيّد موجهة استهدفت قطاع الطيران والاتصالات الفضائية في الإمارات العربية المتحدة. استخدم المهاجمون برمجية خبيثة جديدة تُعرف باسم “Sosano”، وهي مكتوبة بلغة Go. ولتنفيذ الهجوم، استغل القراصنة حساب بريد إلكتروني مخترق تابع لشركة هندية تُدعى “INDIC Electronics”. بعد ذلك، أرسلوا رسائل بريد إلكتروني احتيالية تحتوي على ملفات خبيثة، بهدف اختراق الأنظمة المستهدفة.

تشير التحليلات الأولية إلى أن هذه الهجمات قد تكون مرتبطة بالحرس الثوري الإيراني (IRGC)، مما يزيد من المخاوف بشأن التهديدات السيبرانية التي تستهدف القطاعات الحيوية في المنطقة. علاوة على ذلك، تعكس هذه الحملة التطور المتزايد في أساليب الهجمات السيبرانية، حيث أصبح المهاجمون أكثر قدرة على استغلال الشبكات التجارية لنشر برمجياتهم الضارة.

كيف تم تنفيذ الهجوم؟

1. استغلال بريد إلكتروني مخترق لنشر البرمجية

بدأت الحملة عندما تمكن المهاجمون من اختراق حساب بريد إلكتروني تابع لشركة “INDIC Electronics”. بعد ذلك، استخدموه لإرسال رسائل تصيّد موجهة إلى عدد محدود من الجهات في الإمارات العربية المتحدة.

بما أن هذه الرسائل جاءت من شركة معروفة ولها علاقات عمل مع الجهات المستهدفة، بدت الرسائل موثوقة، مما زاد من احتمالية أن يقوم المستلمون بفتح الملفات المرفقة دون شك. نتيجة لذلك، أصبح بإمكان القراصنة تنفيذ البرمجية الخبيثة دون إثارة الشبهات.

2. استخدام موقع زائف لاستضافة الملفات الخبيثة

لم يكتفِ المهاجمون بإرسال المرفقات عبر البريد الإلكتروني فقط، بل أنشأوا أيضًا نطاقًا زائفًا يحمل اسم “indicelectronics[.]net”. استضاف هذا الموقع ملفات خبيثة داخل أرشيف ZIP مضغوط، والذي احتوى على ملف XLS وملفين PDF.

عند فتح هذه الملفات، كان يتم تشغيل برمجية Sosano تلقائيًا داخل الأنظمة المستهدفة، مما يسمح للقراصنة بتنفيذ الأوامر والحصول على البيانات الحساسة.

3. تحليل الملفات الخبيثة

  • الملف XLS لم يكن مستند Excel عاديًا، بل كان اختصارًا لنظام Windows (LNK) يخدع المستخدمين عبر امتداد مزدوج
  • الملفين PDF صُمما بذكاء ليعملا كملفات متعددة الصيغ، حيث دُمجا مع ملفات تطبيقات HTML (HTA) وأرشيفات ZIP، مما سمح بتنفيذ الأوامر الخبيثة عند فتحهما

كيفية تنفيذ الهجوم داخل الأنظمة المستهدفة؟

1. تشغيل البرمجية الخبيثة

بمجرد قيام الضحية بفتح الملفات المرفقة، تبدأ سلسلة من العمليات الخبيثة، حيث يتم تنفيذ عدة أوامر بشكل متتابع، تشمل:

  • تشغيل cmd.[exe] من خلال ملف LNK
  • تشغيل mshta.[exe]، مما يسمح بتنفيذ ملف HTA المدمج داخل PDF
  • استخراج محتويات أرشيف ZIP المرفق وتحميل برمجية Sosano

2. وظائف برمجية Sosano

تتمتع برمجية Sosano بوظائف متقدمة تساعد المهاجمين على التحكم بالأجهزة المصابة، ومن أبرز ميزاتها:

  • sosano يتيح الوصول إلى الدليل الحالي أو تغييره
  • yangom يعرض قائمة الملفات داخل الدليل
  • monday يقوم بتنزيل حمولة خبيثة إضافية
  • raian يحذف مجلدات من النظام المصاب
  • lunna ينفذ أوامر عبر سطر الأوامر (Shell)

تحليل واستنتاجات حول الجهة المهاجمة

1. من يقف وراء هذه الهجمات؟

بالرغم من عدم وجود دليل مباشر يربط الهجوم بمجموعة تهديد معروفة، إلا أن الأساليب المستخدمة، إلى جانب البنية التقنية للهجوم، تشير إلى احتمالية ارتباطه بجهات إيرانية، وربما بالحرس الثوري الإيراني (IRGC)

2. لماذا استهدف المهاجمون قطاع الطيران والاتصالات الفضائية؟

يُعد هذا القطاع حيويًا واستراتيجيًا، حيث يمكن أن تؤدي الهجمات الناجحة إلى تعطيل البنية التحتية المهمة، أو حتى سرقة بيانات حساسة. لذلك، يسعى القراصنة غالبًا إلى اختراق هذه الأنظمة من أجل الحصول على معلومات استخباراتية أو تنفيذ عمليات تجسس إلكترونية معقدة.

3. أهمية استخدام لغة Go في البرمجية الخبيثة

تشهد السنوات الأخيرة تزايدًا ملحوظًا في استخدام لغة Go لتطوير البرمجيات الخبيثة، ويرجع ذلك إلى عدة أسباب، من أبرزها:

  • قدرتها على تجاوز أنظمة الحماية التقليدية
  • إمكانية تشغيلها عبر منصات متعددة
  • سهولة دمج وظائف متعددة داخل ملف تنفيذي واحد

كيف يمكن الحماية من هذه التهديدات؟

1. تعزيز أمان البريد الإلكتروني

  • تفعيل تقنيات التحقق المتعدد (MFA) لحماية الحسابات المهمة
  • تطبيق أنظمة كشف الاحتيال الإلكتروني للكشف عن رسائل البريد المشبوهة
  • مراقبة عمليات تسجيل الدخول المشبوهة في حسابات البريد الإلكتروني

2. الحذر عند التعامل مع الملفات والمرفقات

  • عدم فتح الملفات غير المتوقعة، حتى لو كانت قادمة من جهات موثوقة
  • استخدام أدوات تحليل المرفقات للكشف عن أي محتوى مشبوه
  • تفعيل آليات الحماية من تشغيل الأكواد الضارة في بيئة العمل

3. تحديث أنظمة الحماية باستمرار

  • تثبيت التحديثات الأمنية الدورية لأنظمة التشغيل والبرامج
  • استخدام برامج مكافحة الفيروسات المتقدمة التي تعتمد على الذكاء الاصطناعي
  • مراقبة الشبكة بحثًا عن اتصالات غير اعتيادية مع نطاقات غير معروفة

أهمية تعزيز الحماية من الهجمات السيبرانية

تكشف هذه الحملة عن مدى تطور وتعقيد الأساليب التي يعتمدها القراصنة في استهداف القطاعات الحيوية، حيث استغلوا علاقات تجارية موثوقة لنشر برمجياتهم الخبيثة دون إثارة الشكوك. بالإضافة إلى ذلك، فإن استخدام لغة Go في البرمجية يشير إلى توجه جديد في تطوير الهجمات الإلكترونية، مما يتطلب تكثيف جهود الأمن السيبراني.

بلا شك، يعد تعزيز الحماية ضد هذه الهجمات أمرًا بالغ الأهمية، لا سيما في القطاعات الحساسة مثل الطيران والاتصالات الفضائية. من خلال تنفيذ تدابير الأمان المناسبة، يمكن تقليل فرص نجاح هذه الهجمات، وحماية البنية التحتية الرقمية من المخاطر المتزايدة في الفضاء السيبراني.

نسخ رابط المقالة

شارك

المزيد من المقالات