- أخبار التكنولوجيا فرنسا تسمح باستئناف بيع هواتف «آيفون 12» بعد حل مشكلة الموجات الكهرومغناطيسية
- أوروبا بوتين يُوقّع مرسوما بشأن التجنيد الإجباري واستدعاء 130 ألف للخدمة
- الرياضة 3 لجان في اتحاد غرب آسيا للغوص تذهب للكويت
- الرئيسية سمو الأمير يعزي رئيس باكستان بضحايا الهجومين الإرهابيين
- محليات توفي بحادث فلحقته طفلته بعد ساعات.. يوتيوبر يبكي السعوديين
- الرئيسية سمو ولي العهد يعزي رئيس باكستان بضحايا الهجومين الإرهابيين
- محليات الكويت تدين وتستنكر الهجمات الغادرة في باكستان
- شرق أوسط قوة دفاع البحرين تنعى ضابطاً تُوفي متأثراً بإصابته بعد الهجوم الحوثي
- مجلس الأمة السعدون يعزي نظيريه الباكستانيين بضحايا هجومين إرهابيين
- أوروبا الاتحاد الأوروبي يدرس استعدادات توسيع التكتل
قطارات تركيا تستأنلف حركتها 28 الجاري... و«التركية» تستبعد تسريح موظفين
وفيات اليوم السبت 23- 5 - 2020
الرومي: هجمات إيرانية إلكترونية على الكويت والسعودية
الرومي: هجمات إيرانية إلكترونية على الكويت والسعودية
قال العقيد متقاعد مستشار أمن المعلومات والجرائم الالكترونية رائد الرومي في تصريح خاص لـ «الأنباء» ان عددا من باحثي الأمن السيبراني ألقوا الضوء على حملة تجسس إلكترونية إيرانية موجهة ضد البنى التحتية الحيوية في الكويت والمملكة العربية السعودية.
وقال الرومي ان عمليات جمع المعلومات الاستخبارية قامت بها شركة Chafer APT (المعروفة أيضا باسم APT39 أو Remix Kitten)، وهي جهة تهديد معروفة بهجماتها على صناعات الاتصالات والسفر في الشرق الأوسط لجمع المعلومات الشخصية التي تخدم المصالح الجيوسياسية للبلاد.
واشار الى أن ضحايا الحملات التي تم تحليلها تتناسب مع النمط الذي تعمل به تلك الشركة، مثل استهدافها لبيانات النقل الجوي والقطاعات الحكومية في الشرق الأوسط بشكل عام.
ولفت ان الحملة استندت إلى عدة أدوات، وهو الذي يجعل ايجاد الحل لها أمرا صعبا، حيث استخدمت أدوات قرصنة مختلفة وبابا خلفيا مخصصا للقيام بتلك العمليات.
وبسؤاله حول الآليات التي شهدتها سلسلة الهجمات الالكترونية على الكويت، لفت الرومي إلى ان أولى علامات التسوية هي العديد من ملفات TCP العكسية وأوامر PowerShell التي نفذت بعض التعليمات البرمجية المضغوطة base64 الخاصة بإطار Metasploit. وعلى الرغم من صعوبة التكهن، فمن المحتمل أن الجهات الفاعلة في التهديد استخدمت مستندات ملوثة، والتي يمكن نشرها من خلال رسائل البريد الإلكتروني spearphishing.
وشدد على انه بمجرد اختراق الاجهزة المحددة، بدأ المهاجمون في إحضار أدوات استطلاع لمسح الشبكة («xnet. exe» و«shareo.exe») وجمع بيانات الاعتماد (مثل «mnl.exe» أو «mimi32.exe») أو أدوات ذات وظائف متعددة، مثل CrackMapExec (لتعداد المستخدمين) التي ساعدت ترسانة الأدوات هذه المهاجمين على التحرك بشكل جانبي داخل الشبكات.
وتابع: بمجرد حصولهم على موطئ قدم داخل الشركة، بدأوا في تثبيت وحدات مخصصة: Plink معدلة (wehsvc.exe) مثبتة كخدمة، بالإضافة إلى باب خلفي (imjpuexa.exe)، والذي تم تنفيذه أيضا كخدمة على بعض الأجهزة.
وبين الرومي انه تمت الملاحظة في بعض المحطات المخترقة سلوكيات غير معتادة والتي تتم تحت حساب مستخدم معين، مما دفعنا إلى الاعتقاد بأن المهاجمين تمكنوا من إنشاء حساب مستخدم على الاجهزة المستهدفة، وقاموا بالعديد من الإجراءات الخبيثة داخل الشبكة، باستخدام ذلك الحساب.