 |
| قراصنة من مدرسة ليسيوم الإيرانية يستهدفون مزودي خدمات الاتصالات والإنترنت في إسرائيل والمملكة العربية السعودية وأفريقيا |
وفقًا للنتائج الجديدة ، كانت جهة تهديد ترعاها الدولة يُزعم أنها مرتبطة بإيران مسؤولة عن سلسلة من الهجمات المستهدفة ضد مزودي خدمة الإنترنت (ISPs) ومشغلي الاتصالات في إسرائيل والمغرب وتونس والمملكة العربية السعودية ، بالإضافة إلى وزارة أفريقية. الشؤون الخارجية (وزارة الخارجية).
يلقي الكشف الأخير الضوء على البنية التحتية المستندة إلى الويب التي تستخدمها مدرسة ليسيوم ، أكثر من 20 منهم ، مما يتيح تحديد "ضحايا إضافيين ويوفر مزيدًا من الرؤية لمنهجية الاستهداف في مدرسة ليسيوم" ، كما لاحظ الباحثون ، مضيفين "اثنين على الأقل من الحلول الوسط المحددة يتم تقييمها على أنها مستمرة على الرغم من الكشف العام المسبق عن مؤشرات التسوية ".
وفقًا لخبراء من Accenture Cyber Threat Intelligence (ACTI) وفريق Adversarial Counterintelligence (PACT) ، فإن الخروقات قد نفذتها مجموعة تعرف باسم Lyceum وحدثت بين يوليو وأكتوبر 2021. ولم يتم الكشف عن هويات الضحايا.
يُعتقد أن مدرسة Lyceum (المعروفة أيضًا باسم Hexane أو Spirlin) ، التي يُعتقد أنها نشطة منذ عام 2017 ، تستهدف قطاعات ذات أهمية وطنية استراتيجية لأغراض التجسس الإلكتروني ، مع إعادة تجهيز ترسانتها بأدوات جديدة ، وتوسيع نطاق رؤيتها لتشمل مزودي خدمة الإنترنت والوكالات الحكومية. كشفت شركة الأمن السيبراني الروسية كاسبرسكي الشهر الماضي أن البرمجيات الخبيثة و TTP الجديدة والمحدثة مكّنت مجموعة القرصنة من شن هجمات ضد كيانين في تونس.
عائلتان منفصلتان من البرامج الضارة - تسمى Shark and Milan (تسمى "James" بواسطة Kaspersky) - هما الزرعات الأساسية التي ينشرها ممثل التهديد ، ويسمح كل منهما بتنفيذ أوامر عشوائية وتسلل البيانات الحساسة من الأنظمة المخترقة إلى مهاجم بعيد- الخادم الخاضع للرقابة.
تمت ملاحظة الفاعل المهدد تقليديًا باستخدام حشو بيانات الاعتماد وهجمات القوة الغاشمة كمتجهات هجوم أولية للحصول على بيانات اعتماد الحساب وكسب موطئ قدم في المنظمات المستهدفة ، والاستفادة من الوصول كنقطة انطلاق لإسقاط أدوات ما بعد الاستغلال وتنفيذها.
قالت ACTI و PACT أيضًا إنها حددت مكانًا منارة من باب خلفي أعيد تكوينه أو يحتمل أن يكون جديدًا في مدرسة ليسيوم في أواخر أكتوبر 2021 من شركة اتصالات في تونس و MFA في إفريقيا ، مما يشير إلى أن المشغلين يقومون بتحديث أبوابهم الخلفية بنشاط في ضوء الإفصاحات العامة الأخيرة و محاولة تجاوز الكشف عن طريق برامج الأمان.
قال الباحثون:
"من المرجح أن تستمر مدرسة ليسيوم في استخدام أبواب Shark و Milan الخلفية ، وإن كان ذلك مع بعض التعديلات ، حيث من المحتمل أن تكون المجموعة قادرة على الحفاظ على موطئ قدم في شبكات الضحايا على الرغم من الكشف العلني عن ما يرتبط بعملياتها".
ملخص الأخبار:
قراصنة من مدرسة ليسيوم الإيرانية يستهدفون مزودي خدمات الاتصالات والإنترنت في إسرائيل والمملكة العربية السعودية وأفريقيا
0 تعليقات