أجرت “فولتايل سيدار” Volatile Cedar، وهي مجموعة قراصنة يُعتقد أنها مرتبطة بقسم الأمن السيبراني في حزب الله، عمليات تجسس صامتة على عدد كبير من الشركات في جميع أنحاء العالم، بحسب تقرير صادر عن شركة الأمن السيبراني ClearSky.
ويبدو أن المهاجمون قد تمكنوا من الوصول إلى أكثر من 250 خادماً تابعاً لشركات Oracle و Atlassian التي توفر بشكل أساسي خدمات اتصالات الهاتف المحمول والخدمات المستندة إلى الإنترنت.
نشط “فولتايل سيدار” منذ عام 2012 على الأقل، لكنه سرعان ما غاب عن رادار الباحثين الأمنيين في عام 2015. وفي أوائل عام 2020، عادت عملياتهم إلى الظهور مجدداً مع ما يسميه الباحثون الأمنيون حملة BeardStache العالمية، والتي ربما تكون قد أضرّت بمئات الشركات.
وتعتبر ClearSky أن المجموعة ربما كانت نشطة على مدار السنوات الخمس الماضية ولكن عملياتها جرت من دون أن يلاحظها أحد وبقيت سرية بسبب تبني قسم الأمن السيبراني في حزب الله تكتيكات سيبرانية وتقنيات الكترونية وإجراءات حديثة ومتطورة.
قراصنة حزب الله ينشطون في الأمن السيبراني
وأوضحت شركة الأمن السيبراني ClearSky في تقريرها الأمني أن “فولتايل سيدار” تركز على جمع المعلومات الاستخبارية وسرقة قواعد بيانات الشركات والوصول إلى معلومات حساسة، مثل سجلات مكالمات العملاء والبيانات الخاصة في الهجمات التي تستهدف شركات الاتصالات.
إذ بحث القراصنة عن خوادم شركات Atlassian Confluence و Atlassian Jira و Oracle Fusion Middleware. وتم استغلال الثغرات الأمنية التالية: CVE-2019-3396 و CVE-2019-11581 و CVE-2012-3152.
وتتوسع رقعة ضحايا هجمات التجسس من منطقة الشرق الأوسط إلى أميركا وأوروبا، وتضم الولايات المتحدة والمملكة المتحدة ومصر والمملكة العربية السعودية والأردن والإمارات العربية المتحدة والسلطة الوطنية الفلسطينية.
وفقاً للباحثين، يبذل قراصنة حزب الله جهوداً استطلاعية لاختيار ضحاياهم ويعتمدون على الأدوات العامة للعثور عليهم. فيستخدمون أدوات URI Brute Force (مثل GoBuster وDirBuster) للبحث عن الدلائل المفتوحة التي تسمح لهم بحقن قذيفة الكترونية والمعروفة باسم web shell injection.
تحذير من القراصنة
تحذر ClearSky من أن خوادم Oracle التي تم الوصول إليها من قبل شركة “فولتايل سيدار” لا تزال مفتوحة وهي أهداف سهلة للقراصنة الآخرين الذين يتطلعون إلى مهاجمة شبكات مزودي خدمات اتصالات متعددين أو الوصول إلى الملفات المتاحة.
في سياق متصل، يقول الباحثون الأمنيون أن “فولتايل سيدار” تستخدم في عملياتها أدوات مفتوحة المصدر مع أدوات مخصصة. تشمل مجموعة أدواتهم الحالية قذيفة ويب كاملة، و RAT مخصص، وأدوات تكميلية مختارة بعناية، بما في ذلك أدوات القوة الغاشمة URI.
ويشير التقرير إلى أن قراصنة حزب الله قادرون على تنظيم “هجمات متطورة ومصممة جيداً” من دون لفت الانتباه إلى عملياتهم. بحيث يسمح الاختيار الذكي للأدوات المتطورة والتكتيكات المناسبة ونواقل الهجوم بالمرور خلسة من دون أن يلاحظها أحد.
تجدر الإشارة إلى أن تقرير الشركة يوفر أيضاً تفاصيل فنية كاملة بشأن الهجمات التي تم التحقيق فيها ومؤشرات الاختراق التي تشمل بعض الخوادم الأصلية التي يستخدمها المتسللون.