قال باحثون من شركة IBM إن فريقًا مرتبطًا بإيران يُدعى MuddyWater يحاول تجنب اكتشافه عن طريق استخدام تطبيق Slack للتحكم في برامجهم الضارة. ويُعتقد أنها المرة الأولى التي يقوم فيها فريق قرصنة تدعمه دولة باستخدام مثل هذه التقنية.

استخدام جديد لـ Slack

في مارس/ آذار الماضي، وجد قراصنة يُعتقد أنهم جواسيس إلكترونيون إيرانيون طريقة استخدام جديدة لتطبيق المراسلة في مكان العمل Slack. إذ اخترقوا شركة طيران آسيوية وقاموا بتركيب برنامج تجسس خفي. ولإخفاء اتصالاتهم مع برنامج التجسس هذا، حيث تمّ التوصيل بتطبيق Slack وأرسلوا الأوامر عبره، وذلك كي تعتقد أنظمة أمان تكنولوجيا المعلومات أنها حركة ويب مشروعة ولا يتم اكتشافها أو حظرها.

بحث IBM

هذا وفقًا لشركة IBM، التي نشرت بحثًا، الأربعاء، عن فريق القرصنة هذا، والذي يطلق عليه اسم MuddyWater. قال قسم أبحاث الأمن السيبراني في شركة X-Force للتكنولوجيا إنه درس برنامج الباب الخلفي الذي ركّبه فريق MuddyWater، والذي يطلق عليه اسم Aclip، ووجد أنه يستخدم واجهات برمجة تطبيقات Slack للاتصالات.

تضع واجهات برمجة التطبيقات هذه القواعد اللازمة لدمج التطبيقات الأخرى، مثل توصيل مشاركات قناة اجتماعية بمجموعة في تطبيق Slack.

أنشأت مجموعة MuddyWater مساحة عمل Slack والقنوات التي يمكنهم من خلالها تلقي معلومات النظام، مثل الملفات المطلوبة ولقطات الشاشة التي كانوا يحاولون إخراجها من الشبكة. ويمكنهم أيضًا استخدام قنوات Slack لنشر الأوامر إلى الباب الخلفي.

الهدف من القرصنة

أما بالنسبة لما كانوا يحاولون القيام به، فقد وجدت شركة IBM دليلاً على استهداف بيانات ركاب شركة للطيران، حيث وجدت أحد خوادم المهاجمين التي تحتوي على ملفات بأسماء تشمل “إدارة الحجز”.

كان استخدام Slack جزءًا من عملية طويلة، حيث بقي المتسللون على شبكة شركة الطيران لأكثر من سنة ونصف السنة، وفقًا لشركة IBM.

رد Slack

لم ترد شركة Slack على طلب فوربس للتعليق، لكنها قالت لشركة IBM: “لقد أجرينا تحقيقًا وأغلقنا على الفور مساحات العمل على تطبيق Slack باعتبارها انتهاكًا لشروط الخدمة الخاصة بنا. لقد أكدنا أن Slack لم يتم اختراقه بأي شكل من الأشكال كجزء من هذه العملية”. وأضافت أنّه لم يتم الكشف عن بيانات عملاء Slack ولم تتعرض البيانات لأيّ خطر.

وأكّدت الشركة أنّها ملتزمة بمنع إساءة استخدام منصتها، وانّها تتخذ إجراءات ضد أي شخص ينتهك شروط الخدمة”.

ليست أول مرة

بينما يبدو أن هذا هو أول استخدام يتبع لدولة لتطبيق Slack في مثل هذه العمليات التجسسية، إلا أنها ليست المرة الأولى التي يتم فيها استخدام التطبيق لاتصالات الباب الخلفي. في عام 2018، تم اكتشاف اتصال أطلِق عليه SlackShell، وظهر في العام التالي اثنان آخران.

مساعدة المخترقين

قال نيك روسمان، قائد المعلومات العالمية المتعلقة بالتهديدات في منتدى IBM X-Force، إن Slack لم يتعرض لخطر الاختراق بأي شكل من الأشكال، لكنه ساعد ببساطة الجواسيس الرقميين “في إطالة أمد التخفي في عملياتهم.”

وقال روسمان لفوربس: “رغم أن هذه التقنية ليست جديدة، إلا أن منتدى X-Force لا يرى في كثير من الأحيان أن الأطراف التي تشكل مصدر تهديد تستفيد من Slack من أجل القيادة والتحكم للاتصال”.

صعوبة التمييز

أضاف روسمان: “بالنسبة للمؤسسات التي تستخدم Slack بكثرة، قد يكون من الصعب عليها التمييز بين حركة مرور شبكة Slack المشروعة وحركة مرور الشبكة الناتجة عن هذا الباب الخلفي، ولهذا السبب أردنا زيادة الوعي بهذه الأداة”.

وتابع: “لسنا على علم باستخدام الدول الأخرى له، لكن هذا ممكن. استخدمت العديد من المجموعات “تقنية” الاستفادة من المنصات المشروعة، مثل GitHub أو تويتر أو خدمات التخزين السحابية مثل OneDrive أو البنية التحتية السحابية”.

تذكير جيد

قال روسمان إن الحادث كان بمثابة تذكير جيد بأن المؤسسات بحاجة إلى مزيد من التدقيق الدقيق في استخدامها لأدوات مثل Slack بحثًا عن أي حركة مرور ضارة محتملة. وأضاف: “الأمر يتعلق بمدى سرعة منعهم من الوصول إلى بياناتك ومدى سرعة إخراجهم”.

وقال إن ذلك كان أيضًا علامة على التطور المتزايد لإيران في مجال التجسس الإلكتروني. “إيران مشغل سيبراني ذكي، ورغم أن عملياتها الإلكترونية غالبًا ما تُقارن بقدرات روسيا والصين، سيكون من الخطأ التقليل من نمو الخصوم الذين ترعاهم إيران”.

تجسس إيراني

ارتبط فريق MuddyWater، على سبيل المثال سابقًا بهجمات برامج الفدية وفي السنوات الأخيرة، وأظهرت إيران ميلًا لاستخدام الشبكات الاجتماعية مثل فيسبوك ولينكدإن لمحاولة تطوير علاقات مع أهداف الحكومة الأميركية لجمع البيانات منهم ومحاولة إصابة شبكات أرباب عملهم.

كما تمّ اتهام قراصنة إيرانيين بمحاولة التسلل إلى شبكات إمدادات المياه في إسرائيل، وفي نوفمبر/ تشرين الثاني، اتُهم اثنان بعملية نشر معلومات كاذبة واختراق في محاولة للتأثير على انتخابات 2020.

قالت شركة الأمن السيبراني Mandiant، الثلاثاء، إن قراصنة إيرانيين، إلى جانب جهات تجسس صينية، يشنون هجمات عبر ثغرة أمنية واسعة النطاق في أداة التسجيل Log4j، والتي أثرت على العديد من أكبر بائعي التكنولوجيا في العالم، من أمازون إلى سيسكو.

ترجمة: قيس الصديق

نقلاعن/forbes