أصبحت عملية إلكترونية داخل وزارة الاستخبارات والأمن الإيرانية وسيط وصول أولي متطور لمخترقي البلاد، حيث توفر دخولًا مستمرًا إلى أنظمة الاتصالات والمنظمات الحكومية في جميع أنحاء الشرق الأوسط.
نشرت شركة مانديانت، وهي وحدة تابعة لشركة جوجل، تقريرًا يوم الخميس حول عملية أطلقوا عليها اسم UNC1860. وفقًا للباحثين، طور المتسللون المرتبطون بالوحدة مجموعة رائعة من الأدوات المتخصصة والأبواب الخلفية السلبية التي تستمر في مساعدة عمليات القرصنة الإيرانية الأخرى.
وأوضحت شركة مانديانت: "كما ورد أن هذه المجموعات قدمت وصولاً أوليًا لعمليات مدمرة ومزعجة استهدفت إسرائيل في أواخر أكتوبر 2023 باستخدام BABYWIPER وألبانيا في عام 2022 باستخدام ROADSWEEP"، مشيرة إلى أنه في حين لا يمكنهم تأكيد بشكل مستقل أن UNC1860 كانت متورطة في كلتا العمليتين، فقد وجدوا أدوات "مصممة على الأرجح لتسهيل عمليات التسليم".
قالت شركة مانديانت إن إحدى السمات الرئيسية لـ UNC1860 تشمل "صيانتها لهذه المجموعة المتنوعة من الأدوات المساعدة القائمة على المستمع/السلبية التي تدعم أهداف الوصول الأولي للمجموعة والحركة الجانبية".
تم تصميم الأدوات للتهرب من برامج مكافحة الفيروسات وتوفير وصول سري إلى الأنظمة التي يمكن استخدامها لمجموعة متنوعة من الأغراض.
وصفت شركة مانديانت UNC1860 بأنها "جهة تهديد هائلة" من المرجح أن تدعم "أهدافًا مختلفة تتراوح من التجسس إلى عمليات الهجوم على الشبكة".
وجدت شركة الأمن أدلة على استخدام أدوات UNC1860 من قبل مجموعات قرصنة أخرى تابعة لوزارة الاستخبارات والأمن الداخلي مثل APT34 - وهي مجموعة تهديد إيرانية بارزة مسؤولة عن اختراق أنظمة الحكومة في الأردن وإسرائيل والمملكة العربية السعودية وغيرها. في الأسبوع الماضي، كشف الباحثون عن عملية APT34 واسعة النطاق تستهدف المسؤولين الحكوميين في العراق.
قالت شركة Mandiant إنها استُؤجرت في عام 2020 للرد على حوادث حيث استخدمت UNC1860 شبكة ضحية لم يتم الكشف عن اسمها للبحث عن عناوين IP وكشف نقاط الضعف الموجودة في الغالب في المملكة العربية السعودية. كما وجدت الشركة أدلة على اهتمام UNC1860 بالمجالات التي تنتمي إلى قطر.
وأضافت الشركة أن الأدوات المستخدمة في حملة مارس 2024 التي تتضمن برامج ضارة لمسح البيانات تستهدف المنظمات الإسرائيلية يمكن أن تُعزى أيضًا إلى UNC1860.
وقالت شركة Mandiant: "بعد الحصول على موطئ قدم أولي، تنشر المجموعة عادةً أدوات إضافية ومجموعة مختارة من الغرسات السلبية المصممة لتكون أكثر سرية من الأبواب الخلفية الشائعة".
سلطت شركات أخرى الضوء على أدوات UNC1860 في الماضي بما في ذلك Cisco وCheck Point وFortinet.
واجهت إيران اهتمامًا متزايدًا من الباحثين الأمنيين والوكالات الحكومية حيث أصبحت عملياتها الإلكترونية أكثر وقاحة.
وفي ليلة الأربعاء، قال مكتب التحقيقات الفيدرالي ووكالات إنفاذ القانون الأخرى إن قراصنة البلاد سرقوا وثائق من حملة الرئيس السابق دونالد ترامب وحاولوا، لكنهم فشلوا، نشر المعلومات إلى الحملات والمنافذ الإخبارية المنافسة.
وقالت شركة مانديانت: "مع استمرار التوترات في الانحسار والتدفق في الشرق الأوسط، نعتقد أن مهارة هذا الفاعل في الحصول على وصول أولي إلى البيئات المستهدفة تمثل أصلًا قيمًا للنظام البيئي السيبراني الإيراني الذي يمكن استغلاله للإجابة على الأهداف المتطورة مع تحول الاحتياجات".
