ايران هكر الهرميه مكشوفه
بقلم ليفي غوندرت وسانيل تشوهان وجريج ليسنيتش في 9 مايو 2018
كيف تستخدم جمهورية إيران الإسلامية المقاولين والجامعات لإجراء عمليات سايبر
انقر هنا لتنزيل التحليل الكامل كملف PDF.
ملاحظة : قامت مجموعة Insikt Group بإجراء مقابلات مع قراصنة إيرانيين سابقين لديهم معرفة مباشرة بالمعلومات المشتركة وكانوا يعيشون في إيران عندما بدأ أحد المنتديات الأمنية الأولى في إيران. ويشكل تعليق هذا المصدر الأساس للخلفية على نشوء جهود إيران السيبرانية الهجومية. تم تسهيل البحث الإضافي مع المستقبل المسجل وعن طريق الاستفادة من البيانات الوصفية لجهات خارجية وتقنيات استخبارات المصدر المفتوح (OSINT) باستخدام مجموعة متنوعة من الأدوات. في حين أننا نعالج الخلفية التاريخية والسابقة في هذه المقالة ، فإن التحليل الفني المتعلق بالمنظمات والمعاهد في البرنامج السيبراني الإيراني الهجومي يعتمد على البيانات التي تم جمعها من 1 مارس 2018 إلى 30 أبريل 2018.
ملخص تنفيذي
منذ عام 2009 على الأقل ، ردت جمهورية إيران الإسلامية بانتظام على العقوبات أو الاستفزازات المتصورة من خلال شن حملات سيبرانية هجومية. لقد فضّلت الجمهورية الإسلامية تاريخياً استخدام الوكلاء أو المنظمات الأمامية في نزاع مادي - حزب الله ضد متمردي اليمن واليمن ضد المملكة العربية السعودية -والهجمات الإلكترونية لتحقيق أهداف سياستها.
حاليا ، تواجه إيران احتمالات التأثير الاقتصادي السلبي من خلال فرض عقوبات متجددة. في 8 مايو ، 2018أعلن الرئيس ترامب أن الولايات المتحدة لن تجدد التنازلات بشأن العقوبات ضد إيران. ستفرض الولايات المتحدة عقوبات اقتصادية إضافية بدلاً من ذلك ، وهو ما يرقى إلى انسحاب أمريكي فعلي من خطة العمل الشاملة المشتركة لعام 2015 (JCPOA) (التي يشار إليها عادة باسم "الاتفاق النووي الإيراني").
نحن نقيم ، بناء على ردود الفعل الإيرانية السابقة على الضغط الاقتصادي ، أنه مع خروج الرئيس ترامب من خطة العمل المشتركة المشتركة ، من المرجح أن ترد إيران من خلال إطلاق الهجمات الإلكترونية على الشركات الغربية في غضون أشهر ، إن لم يكن أسرع. انطلاقا من الأنماط التاريخية ، فإن الأعمال التي يحتمل أن تكون الأكثر عرضة للخطر هي في العديد من القطاعات نفسها التي كانت ضحية للهجمات الإلكترونية الإيرانية بين عامي 2012 و 2014 وتشمل البنوك والخدمات المالية والإدارات الحكومية ومقدمي البنية التحتية الحيوية والنفط والطاقة.
الأحكام الرئيسية
- لقد تخلت الجمهورية الإسلامية عن نهجها المعتاد والمنهجي للعمليات السيبرانية في مناسبتين معروفتين فقط ، في عام 2012 وعام 20144 ، عندما كانت هناك حاجة إلى استجابة رجعية سريعة. إننا نقدر أنه عندما يستجيب مشغلو الإنترنت الإيرانيون للانسحاب الأمريكي من خطة العمل المشتركة المشتركة ، فإن هذه العمليات سوف يتم توظيفها وتنفيذها من قبل مقاولين قادرين ولكن أقل موثوقية.
- علاوة على ذلك ، نحن نقدر أن توظيف هذه العمليات مع مقاولين أقل ثقة يمكن أن يؤدي إلى سيناريو حيث تجد الجمهورية الإسلامية صعوبة في التحكم في نطاق وحجم الهجمات الإلكترونية المدمرة بمجرد أن تبدأ.
- تتم إدارة العمليات الإيرانية عبر الإنترنت من خلال نهج متدرج ، حيث تقوم مجموعة من المديرين المتوسطين الأيديولوجيين والسياسيين بترجمة أولويات الاستخبارات إلى مهام إلكترونية مجزأة والتي يتم عرضها بعد ذلك على مقاولين متعددين. وهذا يخلق نظاماً شبه رأسمالي يضع المقاولين ضد بعضهم البعض للتأثير على الحكومة الإيرانية.
- تعمل الجمهورية الإسلامية مع جنون العظمة الداخلي ، حيث لا يمكن الوثوق بأحد في نهاية المطاف. الوضع يخلق مبادلات فريدة في الحملات السيبرانية الهجومية التي تفرضها الحكومة الإيرانية. فالأفراد ذوو الالتزام المطلق بإيديولوجية الحكومة والأفراد الذين يتمتعون بأكبر قدر من المهارات السيبرانية الهجومية هم دائمًا متنازعون دائمًا.
- بناءً على محادثاتنا مع المتسللين الآخرين في إيران ، هناك أكثر من 50 مقاولًا تقديريًا يتنافسون على مشاريع الإنترنت الهجومية التي ترعاها الحكومة الإيرانية. فقط أفضل الأفراد أو الفرق تنجح ، تدفع ، وتبقى في العمل.
- حللت مجموعة Insikt حركة مرور الإنترنت المتعلقة بالعديد من المعاهد التابعة للنظام البيئي الإيراني من 1 مارس 2018 إلى 30 أبريل 20188. بما أن هذا هو أول تصنيف لنشاط الإنترنت الإيراني لهذه المعاهد ، لا يمكننا تحديد ما إذا كان النشاط المشبوه الذي قمنا بتحليله استعدادا لإعلان الولايات المتحدة.
- ووفقًا لمصدر Insikt Group ، للعثور على أفضل المواهب السيبرانية الهجومية والاحتفاظ بها ، يضطر متعاقدو الحكومة الإيرانية إلى إزالة مجتمعات الثقة المغلقة. قد توضح الروابط بين المنتديات والمقاولين أن مجتمعات الثقة تبدأ مع منتديات الأمن الإيرانية.
تاريخ الاستجابة الجيوسياسية الإيرانية وقرار الاتفاق النووي
ملحوظة المحرر
حيثما كان ذلك ممكنا ، تم توفير المعلومات في هذا القسم من قبل القراصنة الإيرانيين السابقين مع الوصول المباشر إلى المعلومات المقدمة. استنادًا إلى أدلة إضافية ، نقيم الثقة العالية في هذه المعلومات. نشير إلى هذا الشخص على أنه "مصدر مجموعة Insiktt" في أقسام أخرى حيث يتم الاستشهاد بمعلوماتهم.
منذ عام 1979 ، كانت ردود أفعال إيران تجاه السياسة الخارجية للخصوم في الشرق الأوسط بمثابة دراسة في استخدام الوكلاء. وعلى وجه التحديد ، كانت إسرائيل والمملكة العربية السعودية والولايات المتحدة والعراقأهدافًا متكررة لأعمال عسكرية ممولة من إيران ، وآخرها من خلال المتمردين الحوثيين في اليمن ، وحزب الله في كل مكان آخر.
منذ عام 2009 ، طورت إيران وكلاء في المجال السيبراني لتشوه بصمات الحكومة بشكل جزئي من الهجمات الخارجية. في أعقاب بدء برنامج للعمليات السيبرانية في عام 20099 ، كان لدى الحكومة الإيرانية حاجة فورية لاستخدام البرنامج في خريف عام 20122 بعد أن فرض الرئيس الأمريكي أوباما عقوبات مالية شديدة على إيران ، بما في ذلك إزالة إيران من نظام تحويل الأموال SWIFT .
ووفقاً لمصدر "إنسايت جروب" ، فقد أجازت الحكومة الإيرانية هجمات حجب الخدمة على أكبر شركات الخدمات المالية الأمريكية كرد فوري على العقوبات في حملة أطلق عليها اسم عملية أبابيل . كانت الاستجابة السريعة أولوية قصوى ، لذا فقد خسر الوقت والتخطيط الكماليات للحكومة الإيرانية. وبدلاً من ذلك ، اختارت الحكومة الإيرانية السرعة واللاعبين الأكثر قدرة ، بغض النظر عن الإيديولوجية المثبتة.
وبالمثل ، بعد عام من ذلك في خريف 2013 ، اقترح شيلدون أديلسون (الرئيس التنفيذي لشركة ساندس) علناً أنه ينبغي على الولايات المتحدة مهاجمة إيران بسلاح ذري . في فبراير 2014 ، أطلقت إيران هجومًا مدمرًا على شركة Sands Las Vegas التي تسببت في تلف كبير بالشبكة. كانت هذه ثاني حملة هجوم إيرانية عامة على شركة أمريكية ، حيث دعا الرد إلى السرعة بمرور الوقت والتحضير.
كانت الهجمات الإيرانية في عامي 2012 و 2014 على النقيض من العمل البطيء والمنهجي نسبياً لـ APT 33 ، و APT 34 ، و APT 35 ، وتطوير البرمجيات الخبيثة المخصصة ، واستهداف ترشيح البيانات من الأهداف الاستخبارية الاستراتيجية مثل المتعاقدين العسكريين الأمريكيين ، وشركات الطاقة في الشرق الأوسط ،وشبكات البحوث الجامعية .
مقارنة الحملات الإيرانية - المنهجية مقابل الرجعية.
بناء القدرة الوطنية - التاريخ والعلاقات بين الوكلاء
استبدلت الثورة الإيرانية الملكية الفارسية وحولت سلطة الشاه إلى الجمهورية الإسلامية ، بزعامة آية الله روح الله الخميني. تم تعريف الولاء للثيوقراطية الناتجة عن طريق المواءمة مع المبادئ الأخلاقية للزعيم الأعلى .
كما أنشأ القادة الجدد لإيران منظمة استخباراتية وأمنية ، وهي فيلق الحرس الثوري الإسلامي ، "مكلف بالدفاع عن الجمهورية الإسلامية ضد التهديدات الداخلية والخارجية". في الوقت الحالي ، يعتبر الحرس الثوري الإيراني منظمة أمنية رئيسية في إيران ويمتلك جيشا ، البحرية ، والقوة الجوية ، وتدير "ترسانة الصواريخ الباليستية الإيرانية وعمليات الحرب غير النظامية من خلال قوة القدس الخاصة بها والوكلاء مثل حزب الله".
يمتلك الحرس الثوري الإيراني مهمة واسعة النطاق لأمن المعلومات والرصد ، فضلاً عن مهمة خارجية واسعة، وقد ارتبط بالعمليات الإلكترونية ضد المؤسسات الغربية منذ عام 20111 على الأقل.
وفقا لمصدر مجموعة Insikt ، خلال الثورة الخضراء عام 2009 ، ظهر Gerdab.ir كمجموعة القرصنة المحلية لـ IRGC المكلفة باستهداف المواقع الإخبارية المعارضة والأفراد الذين يعتبرهم النظام غير أخلاقي. تم تحديد هوية قراصنة إيرانيين يستهدفون موارد الحكومة الإيرانية (أحد الأمثلة على تشويه خامنئي) من قبل جيرداب وسجنهم. يواصل جيرداب العمل كرقابة داخلية للحكومة الإيرانية.
بعد الثورة الخضراء ، نظرت الحكومة الإيرانية في إضافة عنصر سايبر رسمي إلى جهاز الاستخبارات الحالي ، وأجبرت على معالجة مشكلة الأفراد. احتاجت إيران إلى قوة عاملة موهوبة ، لكنها تتمتع بالموثوقية السياسية والدينية. وقد ذكّرت ستوكسنت واغتيالات العلماء إيران بفعالية برامج الموساد والسي آي أيه ، ووفقا لمصدر مجموعة إنسيكت ، كانت الإيديولوجية الدينية المتشددة هي السبيل الوحيد لإثبات الولاء وبناء الثقة.
كان ظهور الجيش السيبراني الإيراني (ICA) امتدادًا لـ IRGC محاولة أولية من قبل الجمهورية الإسلامية في إجراء عمليات ذات تركيز دولي. كانت هذه العمليات خروجًا عن تركيز جيرداب على الحفاظ على القيم الأخلاقية المحلية والدفاع عن خطاب الحكومة. في عام 2011 ، شكلت ICA ICGCC الأساس لمركز خيبر لتكنولوجيا المعلومات. وفقاً لقائد سابق للحرس الثوري الإيراني ، أنشئ مركز خيبر في عام 20111 وارتبط بعدد من الهجمات ضد الولايات المتحدة والمملكة العربية السعودية وتركيا.
حتى اليوم ، لا يزال التوازن بين الأيديولوجية والمهارات السيبرانية يمثل مشكلة. أحد الأمثلة على الصراع بين الأيديولوجية والمهارة كان محمد حسين طاجيك ، القائد الإلكتروني السابق داخل "فيلق الحرس الثوري الإسلامي". ووفقاً لمصدر مجموعة "إنسيكت" ، فقد احتفظ والد الطاجيكي بخلفية دينية قوية وكان مخضرماً في وزارة الاستخبارات الإيرانية. لكن الطاجيكي قُبض عليه وقتله لأن الحكومة الإيرانية كانت تخشى من أن الطاجيكية لم تكن متحاذية أيديولوجيًا ، بل شكلت خطيئة ومخاطر طيران.
في أعقاب الثورة الخضراء ، احتاجت الحكومة الإيرانية إلى تحسين قدراتها الإلكترونية بسرعة ، لكن بحسب مصدر Insikt Group ، كانت الموهبة في المقام الأول من الشباب وتركز على الفوائد المالية. وقد أثار هذا الحافز عدم ثقة الحكومة ، حيث خشيت الجمهورية الإسلامية من أن تكون المخابرات الأجنبية قد اشترت الدوافع المالية. بالإضافة إلى ذلك ، العديد من المتسللين الإيرانيين الأصليين المسؤولين عن تشويه جماعي يكرهون السلطة ويفتقرون إلى الانضباط اللازم لعمل الحكومة.
وفقاً لمصدر مجموعة إنسيكت ، كانت إجابة الحكومة أسلوبًا متدرجًا ، مع وجود شبكة من الأشخاص ترتبط بشكل غير رسمي مع الحرس الثوري الإيراني والحكومة الإيرانية - وهي نوع من الإدارة الوسطى المتجانسة أيديولوجيًا - الذين كانوا موالين للنظام وعرضوا التزامًا دينيًا كافيًا. قام هذا المستوى المتوسط بترجمة أولويات الذكاء إلى مهام إلكترونية مجزأة والتي كانت ثم عرضت على العديد من المتعاقدين. في بعض الأحيان يتنافس المقاولون مع بعضهم البعض ، وفي بعض الأحيان يعملون معا ، ولكن يتم الدفع بمجرد الانتهاء من الهدف. كانت النتيجة (وما زالت في الوقت الحاضر) نظام شبه رأسمالي وضع المقاولين ضد بعضهم البعض للتأثير مع الحكومة الإيرانية.
في الجمهورية الإسلامية ، يمكن أن يؤدي النفوذ إلى الأمن والثروة ، ولكن يمكن أن يؤدي أيضًا إلى شعور زائف بالأمن (لا أحد فوق ذلك يُسجن ويُسأل في أي وقت). وهكذا ، يجب على المقاولين أن يتعلموا لعب اللعبة - ما يكفي من الالتزام على مستوى سطح الأرض لإيديولوجية النظام - للحصول على تعويض مؤقت عن الشكوك لفترة طويلة بما يكفي ليتم منحهم العمل المتعاقد معهم. بالنسبة إلى الحكومة الإيرانية ، الأيديولوجية أكثر أهمية من المهارات. الإيمان العميق بمبادئ آية الله وأهداف الحكومة يساعد على تجنب الانشقاقات والخونة.
تشتيت تورط الحكومة الإيرانية في الحملات الهجومية.
واليوم ، واستناداً إلى الاتصال المستمر بين مصدر مجموعة Insikt Group والمتسللين الإيرانيين ، تشير التقديرات إلى وجود أكثر من 50 منظمة تتنافس على مشاريع الإنترنت الهجومية التي ترعاها الحكومة. فقط أفضل الفرق تنجح ، تدفع ، وتبقى في العمل. تبذل الحكومة قصارى جهدها لتقسيمها - حيث قد تكون إحدى الوظائف هي استغلال رمز بعيد (RCE) لتطبيق برمجي شائع ، بينما قد تستخدم وظيفة أخرى RCEE وتأسيس وصول غير مصرح به دائمًا. مطلوب عادة اثنين من المقاولين المختلفة (أو أكثر) لإكمال الهدف الذي حددته الحكومة.
كما أثبتت المعرفة العامة أن المؤسسات الأكاديمية الإيرانية تلعب دورًا شبيهًا بالمقاولين. وتشمل الأمثلة المحددة جامعة شهيد بهشتي (SBU) وجامعة الإمام الحسين (IHUU) ، التي لديها أقسام شاملة للعلوم والتكنولوجيا تجذب بعض من أفضل المواهب الأكاديمية في إيران. في الواقع ، لدى وحدة إدارة المشروع (SBU) معهد أبحاث خاص بمجال الفضاء الإلكتروني مخصص لمثل هذه الأمور ، وقد تم تأسيس IHU من قبل IRGC .
ومع تسليط الضوء على لوائح الاتهام الصادرة عن معهد مبنا ، على الرغم من رفع العقوبات والرغبة في إعادة الانخراط مع المجتمع الدولي ، واصلت إيران حملة عملياتية عالمية هدامة وعنيفة. هذه الحملة المستمرة ، التي تستهدف جامعات سرقة الملكية الفكرية العلمية والتكنولوجية ، تدل على افتقار أساسي للثقة في الاتفاقيات الدولية ، بما في ذلك خطة العمل المشتركة الشاملة (JCPOA) .
العلاقة بين الحكومة الإيرانية والمقاولين ومديري الأمن
قامت كل من Clearsky و FireEye و Symantec و PhishLabs بأبحاث مهمة حول الحملات التي ترعاها الدولة القومية الإيرانية والتي توفر رؤية تاريخية للقدرات التقنية والعلاقات بين الحكومة الإيرانية والمقاولين.
يقدم عمل الشركات الأمنية المذكورة أعلاه وبيانات الاتهام الأخيرة لوزارة العدل الأمريكية دليلاً ثابتاً على أن الحملات الهجومية التي ترعاها الحكومة الإيرانية يتم تنفيذها من قبل المقاولين.
كشفت FireEye أن معهد نصر كان مقاول APT 33 في عملية استخدمت خلفيًا مفتوحًا للجمهور وأحصنة طروادة بعيدة الوصول. تم العثور على المقبض "xman_1365_xx" (الذي تم تعريفه على المنتديات الأمنية مثل Mahdi Honarvar) بواسطة FireEye في الأعمال الفنية الخبيثة ، والتي تفتح المصادر المرتبطة بمعهد نصر. في السابق ، كان معهد نصر مرتبطًا بهجمات "أبيلل" الموزعة ضد الخدمة ضد البنوك الأمريكية ، وهي منظمة أكدت وزارة العدل الأمريكية على لوائح الاتهام أنها استأجرت لبناء بنية تحتية للهجوم من قبل الحكومة الإيرانية.
ثم تم ربط الممثل xman_1365_x بشركة أمنية تسمى Kavosh Security عبر OSINT من قبل وكالة Cyber الإيرانية للأنباء. كان الفاعل مرتبطًا بعملية مدمرة استخدمت فيها عائلات NewsBeef و StoneDrilll الخبيثة.وفقا لكاسبيرسكي ، استهدفت عملية مسح البيانات الأخيرة قطاعات في جميع أنحاء المملكة العربية السعودية وأوروبا.
تم العثور على مجالات القيادة والتحكم (C2) المستخدمة من قبل StoneDrill و NewsBeef في نتائج كاسبيرسكي لتبادل شهادة SSL ، والتي ظهرت على ثلاث نطاقات إضافية في مجال البحث من قبل وكالة أنباء إيران سايبر. ثم تم توصيل معلومات WHOIS عبر مصادر مفتوحة إلى جامعة الإمام الحسين (IHUU).سميت IHU في العقوبات من قبل وزارة الخزانة الأمريكية "لتوفير ، أو محاولة تقديم الدعم التكنولوجي ، أو أي دعم آخر والخدمات لدعم IRGCC".
هناك مقاولون إيرانيون معروفون أكثر من بينهم ITSecTeam (ITSEC) وشركة Mersad ، وترتبط أيضاً بعملية Ababill.
الروابط بين الحكومة الإيرانية والمقاولين موثقة جيداً. ومع ذلك ، فإن هوية مجموعات محددة وأفراد داخل الحكومة الإيرانية وحرس الثورة الإيرانية المسؤول عن الحملات السيبرانية الهجومية غير واضحة ، وكذلك العلاقة بين المتعاقدين ومنتديات الأمن.
ومع ذلك ، تشير أبحاثنا وتحليلنا إلى أن المنتديات الأمنية الإيرانية قد تلعب دورًا في التوظيف وتبادل المعرفة للمقاولين الإيرانيين. أولًا ، أشارت FireEye إلى ALFA TEaM Shell المتاحة للجمهور في حملات البريد الإلكتروني الخاصة بحملة التصيد بالرماح APT33 . تتم مناقشة ALFA Shelll في مواقع ويب متعددة ، بما في ذلك Ashyane ومنتدى فريق Dark Coderss الإيراني.
ALFA TEAM قذيفة التاريخ.
ثانيا ، أنشأ xman_1365_x ملف Ashiyane في 8 أغسطس 2010 ، زعم أنه لم يمض وقت طويل بعد أن أصبح Ashiyane مؤقتًا منتدى الأمن الأساسي في إيران ، بعد زيارة Behrooz Kamaliann إلى رجل دين بارز ، آية الله نصر مكارم شيرازي.
أنشأ xman_1365_x ملف Ashiyane في عام 2010.
وأخيرًا ، وفقًا لمصدر Insikt Group ، فإن المقاول الإيراني ITSEC قام على وجه التحديد باستخدام قراصنة من منتديات Simorgh و Delta Security على الإنترنت. علاوة على ذلك ، قام حسين أصغري ، وهو قراصنة إيرانيون نصب نفسه ، بإدارة منتدى سيمورغ وعمل مع والده ، الذي كان يعمل في الحرس الثوري الإيراني.
Zone-h القبض على المواقع الإلكترونية التي ارتكبها حسين أصغري.
المصدر: http://www.zone-h.org/mirror/id/4479919
المصدر: http://www.zone-h.org/mirror/id/4479919
ووفقًا لمصدر Insikt Group ، للعثور على أفضل المواهب السيبرانية الهجومية والاحتفاظ بها ، يضطر متعاقدو الحكومة الإيرانية إلى إزالة مجتمعات الثقة المغلقة. قد توضح الروابط بين المنتديات والمقاولين أن مجتمعات الثقة تبدأ مع منتديات الأمن الإيرانية.
تحليل المعهد الإيراني سايبر الإنترنت المرور
حللت مجموعة Insikt حركة المرور على الإنترنت المتعلقة بالعديد من المعاهد التابعة للنظام الإيكتروني الإلكتروني من 1 مارس 2018 إلى 30 أبريل 2018. وكان هدفنا تحديد ما إذا كانت أي من هذه المعاهد قد توقعت نوايا إيران في الفضاء الإلكتروني المؤدي إلى قرار الولايات المتحدة بالانسحاب من 2015 JCPOA.
هذا هو التنميط الأول لأنسيكت جروب لنشاط الإنترنت للمعاهد الإلكترونية الإيرانية. في حين أننا لا نستطيع تقييم ما إذا كان هذا المستوى من النشاط نموذجي أم لا ، فإن رصده بمرور الوقت لتحديد التغيرات في الاستجابة للضغط الدولي قد يكون كاشفاً.
معهد أبحاث الفضاء السيبراني في إيران
معهد أبحاث الفضاء الإلكتروني الإيراني (CSRI) هو مركز أبحاث تابع لجامعة شهيد بهشتي المرموقة في إيران. يسيطر المعهد على نسبة كبيرة من المساحة المخصصة للملكية الفكرية في الجامعة ، مع تسجيل ما لا يقل عن ثمانية وعشرين / 24 نطاق عناوين IP في CSRI في إيران ، وفقًا لسجلات RIPE NCCC الإقليمية. النطاقات مذكورة أدناه:
المصدر: RIPE NCC database، ripe.net.
حددت Insikt Group العديد من الأنشطة المثيرة للقلق المنبثقة من هذه النطاقات.
اكتشفنا أكثر من 400 جلسة SSH لم يتم الإبلاغ عنها سابقًا بين نطاقات CSRI وشبكات الحكومة والجامعات الإسبانية من 4 أبريل 2018 إلى 9 أبريل 2018. تضمن هذا التبادل نقل كمية كبيرة من البيانات بين الشبكتين. عقدت الشبكات الإسبانية العزم على الإدارات التي تدعم التحول الرقمي للخدمات العامة الإسبانية والجامعات متعددة الاختصاصات. يثبت الربط المباشر للشبكة بين المؤسسات الإيرانية والإسبانية أن لديهم علاقة أكاديمية عميقة ويتقاسمون البيانات مع بعضهم البعض ، أو أن نقل البيانات من المعاهد الإسبانية لا مبرر له. من غير المحتمل أن يكون لدى CSRII مصلحة تجارية صالحة مع الإدارات الحكومية الإسبانية ، لذا فإن الحجم الكبير للبيانات المنقولة بين الشركتين خلال فترة قصيرة من الزمن هو مؤشر واضح على نشاط خبيث محتمل.
وطوال شهر إبريل / نيسان ، أظهرت المؤسسة الإيرانية لمسؤولي تكنولوجيا المعلومات اهتماماً متزايداً في وزارة العلوم والتكنولوجيا الفلبينية (DOST). على غرار تفاعلات الشبكة الإسبانية ، تم تبادل أحجام كبيرة جدًا من البيانات بين الشبكتين ، مما يدل على اهتمام قوي.
هذا المستوى من المشاركة والتفاعل ، لا سيما في ضوء تخفيض العقوبات ، وتذويب العلاقات بين إيران والغرب في أعقاب خطة العمل المشتركة لعام 2015 ، كان متوقعا بين الأوساط الأكاديمية. في الواقع ، في عامي 2015 و 2017 ، وافقت الجامعات الفلبينية والأسبانية على توسيع التعاون العلمي مع المؤسسات الإيرانية. ومع ذلك ، فبالنظر إلى خلفية CSRII ، أظهر اهتمام إيران باستخدام العمليات السيبرانية لسرقة الملكية الفكرية والفكرية ، ودليلنا على الحملات المستمرة التي تستهدف جامعات للسرقة في جميع أنحاء العالم ، فإننا نقدر أن هذا النشاط بين CSRI وهذه الجامعات الإسبانية والفلبينية قد يكون ضارًا.
وقد لوحظ أيضا CSRI في عدد كبير من الأحداث إيفاد بوتسيو بوت لزحف المواقع ذات الأهمية. وفقًا لـ Wikipedia ، يعد Parsijoo.ir ثاني أكثر محركات البحث شعبية في إيران بعد Googlee ويستخدم Parsijoobot للزحف إلى مواقع الويب لأغراض الفهرسة. خلال بحثنا ، لاحظنا الزحف المتكرر لموقع متخصص في الهجرة الكندية-الإيرانية ، www.itc-canada [.] com ، باستخدام Parsijoo bot من CSRI IP range. تمت ملاحظة عمليات الزحف طوال فترة البيانات منذ أوائل مارس واستمرت مباشرة حتى نهاية أبريل ، مما يشير إلى وجود اهتمام قوي ومستمر في هذا الموقع بالتحديد.
وأخيرًا ، حددنا CSRI الذي يتفاعل مع عناوين IP المسجلة لشركة Ravand Cybertech Inc. يوفر Ravand Cybertech ، عبر موقعه على الويب ravand [.] com ، حلول استضافة السحابية ، من بين خدمات أخرى.لدى رافاند سايبرتك روابط قوية مع النظام الإيراني. تاريخياً ، استضافت الموقع الإلكتروني لوكالة الأنباء المحافظة "فارس" التابعة للجيش الإيراني. تقع نطاقات IP المسجلة للشركة تحت AS122122 مع البادئات التالية تتراوح بين 198.55.48.0 - 198.55.61.255 و 198.55.63.0 - 198.55.63.255 و 207.176.216.00 - 207.176.219.255.
استضاف رافاند سايبرتك عددًا من المجالات التي استخدمها عميل في وزارة الاستخبارات الإيرانية ، مسعود خدابانده ، في حملة تضليل أجريت في وسائل الإعلام الغربية. حاولت الحملة تشويه سمعة حزب المعارضة الإيراني الرئيسي ، منظمة مجاهدي خلق الإيرانية / مجاهدي خلق (PMOI / MEK). ووفقاً لأحد المقالات التي تم نشرها في صحيفة "ذي هيل" ، فقد عثر البنتاغون على المواقع الإلكترونية ليتم إنشاؤها بأمر من طهران.وقد تم تحديد شركة رافاند سايبرتك على أنها شركة "إيرانية تديرها الدولة" ، والتي استضافت مواقع إخبارية مزيفة تهدف إلى نشر الدعاية الإيرانية لتقويض جهود جماعات الضغط الإيرانية الأمريكية.
استنادًا إلى حجم النشاط الذي لوحظ خلال بحثنا ، فإننا نقدر أن CSRI قد يشارك في دعم أنشطة التضليل الخبيثة لـ Ravand Cybertech.
جامعة الإمام الحسين (جامعة الإمام الحسين)
جامعة الإمام الحسين (IHU) هي جامعة إيرانية مقرها في طهران تابعة لفيلق الحرس الثوري الإيراني (IRGC) ، ووزارة العلوم والبحوث والتكنولوجيا الإيرانية ، ووزارة الدفاع الإيرانية والقوات المسلحة الإيرانية.
ركز بحثنا على نطاقات IP المدونة بشكل علني للجامعة ، والمدرجة أدناه:
المصدر: RIPE NCC database، ripe.net.
خلال بحثنا ، وجدنا أن IHU كانت مهتمة للغاية في مؤسسات التعليم العالي الإسبانية والإدارات الحكومية المحددة. في الواقع ، تبادلت اثنتان من المؤسسات الإسبانية نفسها أحجام البيانات المرتفعة مع عناوين IP لمصادر IHUU.
ولوحظ نشاط إضافي لتصفح الإنترنت من نطاقات IHU إلى موقع شركة غاما تكنولوجيز المتخصصة في البرمجيات الهندسية متعددة الجنسيات التي تتخذ من الولايات المتحدة مقراً لها. تركز نشاط التصفح على برنامج GT-SUITE الخاص به. شركة Gamma Technologiess متخصصة في تطوير برامج المحاكاة لمجموعة واسعة من الصناعات في جميع أنحاء العالم ، بما في ذلك توليد الطاقة.
معهد مابنا
وكما تم تفصيله مسبقًا ، فقد تم تعريف معهد مابنا بشكل علني في لائحة الاتهام الموجهة إلى مكتب التحقيقات الفيدرالي (إف بي آي) كواجهة أمامية متورطة في هجوم إرهابي عدائي ترعاه الدولة نيابة عن الدولة الإيرانية. حدد بحث OSINT لدينا نطاقًا واحدًا ، mabna-ins [.] irr ، والذي يمكن أن يتوافق مع المجموعة. تم استضافة النطاق مسبقًا على IP 5.144.130 IP (.) 23 ومنذ 22 أبريل 2017 ، يشير إلى VPS IP 144.76.87 الألمانية [.] 86. يستضيف VPS هذا أيضًا أكثر من 2000 نطاق آخر ، معظمها نطاقات .irr.
![mabna-ins [.] ir المجال](https://www.recordedfuture.com/assets/iran-hacker-hierarchy-9-alt-1.png)
المصدر: mabna-ins [.] ir
نية ، سيناريوهات للانتقام ، وتوصيات
وفقا لشروط خطة العمل المشتركة المشتركة ، وافقت طهران على فرض قيود على برنامج أسلحتها النووية مقابل تخفيف العقوبات. ومع ذلك ، تنتهي أحكام مختلفة من الاتفاق في أوقات مختلفة على مدى السنوات ال 25 المقبلة ، مع بعض تنتهي صلاحيتها في أقرب وقت 2025 .
في الثامن من مايو عام 2018 ، قرر الرئيس ترامب عدم تجديد التنازلات التي أوقفت بعض العقوبات الأمريكية ضد إيران وشرعت في انسحاب أمريكي فعلي من الاتفاقية . ونتيجة لهذا الإجراء ، نقدر أن إيران ستستجيب على الأرجح بسرعة من خلال شن هجمات مدمرة على الشركات الأمريكية والأوروبية والمتنافسة (دول مثل السعودية وإسرائيل).
وعلى العكس ، قد تقوم إيران أيضًا بالانتقام (حصريًا أو بالاشتراك مع هجمات مدمرة) من خلال وكلاء الإنترنت في حملات أكثر منهجية واستدامة. وبالنظر إلى تأثير العقوبات الاقتصادية التي تم تطبيقها من جديد والموسعة ، فمن المرجح أن تستهدف الشركات الأمريكية والأوروبية والمتنافسة أيضاً هجمات مدمرة أكثر استدامة.
كما هو موثق أعلاه ، عند متابعة عمليات الإنترنت السريعة ، فإن النظام الإيراني سوف يزن الموثوقية الدينية والسياسية ضد المهارات الهجومية. إن أفضل المشغلين ليسوا دائماً أكثر المتدينين أو الولاء للنظام ، ونحن نقدر أنه في هذه الحالة ، قد يتخلى الحرس الثوري الإيراني عن اختيار المقاول بعناية والتخطيط في محاولة لإطلاق هجوم مدمر خلال فترة قصيرة من الزمن.
علاوة على ذلك ، تشير أبحاثنا إلى أنه بسبب الحاجة إلى استجابة سريعة ، قد تستخدم الجمهورية الإسلامية مقاولين أقل موثوقية سياسياً وأيديولوجياً (وموثوقين) ونتيجة لذلك ، قد يكون من الأصعب السيطرة عليه. من الممكن أن تحد هذه الديناميكية من قدرة الحكومة على التحكم في نطاق وحجم هذه الهجمات المدمرة بمجرد إطلاق العنان لها.
يجب على الشركات الغربية أن تراقب عن كثب الأحداث الجيوسياسية التي بدأتها الولايات المتحدة أو أوروبا والتي تؤثر على إيران. كما هو موضح أعلاه ، فإن الشركات الغربية هي الضحايا المنطقيين للانتقام الإيراني بسبب انتهاكات السياسة الأمريكية المتصورة. الشركات على وجه التحديد في الخدمات المالية ، والدوائر الحكومية ، ومقدمي البنية التحتية الحيوية ، وقطاعات النفط والطاقة.
بالإضافة إلى مراقبة التطورات الجيوسياسية الإيرانية بعناية ، فإن تتبع التكتيكات والتقنيات والإجراءات الناشئة (TTPs) في Ashiyane ، على وجه التحديد ، من الحكمة لأي برنامج استخبارات تهديدات تجارية غربي لتحديد مدى فعالية ضوابط الأمن الحالية.
0 تعليقات