قال العقيد متقاعد مستشار أمن المعلومات والجرائم الالكترونية رائد الرومي في تصريح خاص لـ «الأنباء» ان عددا من باحثي الأمن السيبراني ألقوا الضوء على حملة تجسس إلكترونية إيرانية موجهة ضد البنى التحتية الحيوية في الكويت والمملكة العربية السعودية.

وقال الرومي ان عمليات جمع المعلومات الاستخبارية قامت بها شركة Chafer APT (المعروفة أيضا باسم APT39 أو Remix Kitten)، وهي جهة تهديد معروفة بهجماتها على صناعات الاتصالات والسفر في الشرق الأوسط لجمع المعلومات الشخصية التي تخدم المصالح الجيوسياسية للبلاد.

واشار الى أن ضحايا الحملات التي تم تحليلها تتناسب مع النمط الذي تعمل به تلك الشركة، مثل استهدافها لبيانات النقل الجوي والقطاعات الحكومية في الشرق الأوسط بشكل عام.

ولفت ان الحملة استندت إلى عدة أدوات، وهو الذي يجعل ايجاد الحل لها أمرا صعبا، حيث استخدمت أدوات قرصنة مختلفة وبابا خلفيا مخصصا للقيام بتلك العمليات.

وبسؤاله حول الآليات التي شهدتها سلسلة الهجمات الالكترونية على الكويت، لفت الرومي إلى ان أولى علامات التسوية هي العديد من ملفات TCP العكسية وأوامر PowerShell التي نفذت بعض التعليمات البرمجية المضغوطة base64 الخاصة بإطار Metasploit. وعلى الرغم من صعوبة التكهن، فمن المحتمل أن الجهات الفاعلة في التهديد استخدمت مستندات ملوثة، والتي يمكن نشرها من خلال رسائل البريد الإلكتروني spearphishing.

وشدد على انه بمجرد اختراق الاجهزة المحددة، بدأ المهاجمون في إحضار أدوات استطلاع لمسح الشبكة («xnet. exe» و«shareo.exe») وجمع بيانات الاعتماد (مثل «mnl.exe» أو «mimi32.exe») أو أدوات ذات وظائف متعددة، مثل CrackMapExec (لتعداد المستخدمين) التي ساعدت ترسانة الأدوات هذه المهاجمين على التحرك بشكل جانبي داخل الشبكات.

وتابع: بمجرد حصولهم على موطئ قدم داخل الشركة، بدأوا في تثبيت وحدات مخصصة: Plink معدلة (wehsvc.exe) مثبتة كخدمة، بالإضافة إلى باب خلفي (imjpuexa.exe)، والذي تم تنفيذه أيضا كخدمة على بعض الأجهزة.

وبين الرومي انه تمت الملاحظة في بعض المحطات المخترقة سلوكيات غير معتادة والتي تتم تحت حساب مستخدم معين، مما دفعنا إلى الاعتقاد بأن المهاجمين تمكنوا من إنشاء حساب مستخدم على الاجهزة المستهدفة، وقاموا بالعديد من الإجراءات الخبيثة داخل الشبكة، باستخدام ذلك الحساب.