تحديد جهات التهديد الإيرانية التي تستهدف البنية التحتية الأمريكية
عندما رصدت Intrace اسم مضيف حاسوب مكتبي لمستشار في Optiv ضمن بيانات Water Black على الويب المظلم، كشف التحقيق عن بنية تحتية مرتبطة بإيران، وإشارات اتصال دورية بنطاقات مركونة، واختراق متعدد المراحل يستهدف محترف أمن رفيع القيمة.

في يوليو، وباستخدام Intrace، علم أحد العاملين في Optiv أن محطة عمله الشخصية ظهرت في بيانات على الويب المظلم مرتبطة بمجموعة برمجيات خبيثة يُشار إليها باسم «Water Black». فقد رُصد اسم المضيف الخاص بحاسوبه المكتبي في مصادر بيانات سرية تراقبها Intrace، ما يشير إلى أن الجهاز لم يكن مخترقًا فحسب، بل موسومًا أيضًا كهدف رفيع القيمة. وكان هذا التصنيف متسقًا مع دوره: فقد سبق أن قاد أعمال الاستجابة للحوادث في قضية كبرى لبرمجيات الفدية، ما جعله هدفًا جذابًا لجهات التهديد المهتمة بالانتقام أو بجمع معلومات استخباراتية عن تقنيات الدفاع.
الاكتشاف على الويب المظلم وانكشاف اسم المضيف
كانت الإشارة الأولى للتحقيق بسيطة لكنها خطيرة: رصدت مراقبة Intrace للويب المظلم اسم مضيف الحاسوب المكتبي للمستشار في بيانات مرتبطة بـ Water Black.
اسم المضيف هو التسمية المقروءة بشريًا لجهاز على الشبكة (مثل JOHN-DESKTOP أو CORP-LAPTOP-01). ورؤية اسم مضيف في مواد جهة تهديد تعني عادةً أن المهاجمين حققوا على الأقل مستوى ما من الوصول إلى ذلك الجهاز أو بيئته. فبدلًا من مجرد رؤية عناوين IP عامة أو إشارات مجهولة الهوية إلى ضحايا، يشكّل ظهور اسم مضيف محدد لحاسوب مكتبي مؤشرًا قويًا على أن الجهاز نفسه كان جزءًا من حملة — وليس مجرد إصابة عشوائية من ماسح إنترنت.
الربط بالبنية التحتية
خلال الفرز المبكر، ربطت Intrace الإشارة إلى Water Black ببنية تحتية متصلة بالإنترنت. وحدد الفريق مضيفًا واحدًا على الإنترنت يحمل اسم المضيف waterblack، مستضافًا في مركز بيانات في ولاية وايومنغ يملكه مزوّد خاضع لسيطرة إيرانية. وعند هذه النقطة:
- كانت شركة الاستضافة هي RouterHosting, LLC، التي غيّرت علامتها التجارية لاحقًا إلى Cloudsy.
- وكان هذا المزوّد نفسه قد ورد ذكره في تقارير علنية بوصفه داعمًا لعدة مجموعات قرصنة مرتبطة بحكومات، ما زاد من احتمال أن هذه ليست بنية تحتية عشوائية لبرمجيات خبيثة تجارية، بل جزء من مجموعة عمليات أكثر تنظيمًا.
وهذا مهم لأن إسناد البنية التحتية جزء أساسي من تحليل الاختراقات. فعندما يكون لمزوّد أو مركز بيانات ارتباط سابق بمجموعات موالية لدول، وترى نطاقات أو خوادم مشبوهة جديدة لديه، فإن ذلك يرفع الثقة بأنك تتعامل مع جهة تهديد متقدمة، وربما مرتبطة بحكومة، وليس مع مجرمين انتهازيين بحتين.
نمط DNS وحركة المرور
على محطة العمل نفسها، فحصت Intrace الاتصالات الصادرة وأنماط تحليل DNS. فعلى مدى عدة أسابيع، كان الجهاز يتصل بشكل متكرر بنطاقات مسجلة حديثًا «مركونة». وكان كثير من تلك النطاقات يشير إلى بنية تحتية لدى مزوّد الاستضافة نفسه المرتبط بملكية إيرانية.
النطاق المركون هو اسم نطاق مسجَّل لكنه غير مستخدم فعليًا لموقع إلكتروني حقيقي. وعادةً ما يعرض صفحة انتظار عامة أو إعلانات. ويحب المهاجمون استخدام النطاقات المركونة أو شبه الفارغة للأسباب التالية:
- فهي رخيصة وسهلة التسجيل بكميات كبيرة.
- وتبدو حميدة في معظمها عند الفحص العابر.
- ويمكن إعادة توجيهها بسرعة إلى خوادم جديدة للتهرب من الحجب.
وأشار نمط الاتصال المتكرر إلى سلوك إرسال إشارات دورية (beaconing): أي اتصال المضيف المخترق بانتظام ببنية تحتية يسيطر عليها المهاجمون للحصول على تعليمات أو تحديثات. وهذا تصميم شائع في برمجيات القيادة والسيطرة (C2) الخبيثة، حيث يتصل الجهاز المصاب دوريًا بخادم بعيد لإرسال حالته وتلقي الأوامر.
وكإجراء دفاعي فوري، حجب المستشار الوصول إلى النطاقات المركونة على مستوى الشبكة. وهذا مثير للاهتمام من منظور تحليلي، لأن قطع قناة القيادة والسيطرة الرئيسية كثيرًا ما يجبر البرمجية الخبيثة على كشف آليات احتياطية، أو أخطاء في التهيئة، أو سلوك خاطئ — وهذا بالضبط ما حدث لاحقًا.
انهيار "MicrosoftSecurityApp.exe"
في غضون أيام من حجب النطاقات المركونة، انهارت عملية تحمل اسم MicrosoftSecurityApp.exe على محطة العمل.
واسم هذا الملف التنفيذي مشبوه لعدة أسباب:
- فهو يحاكي مكوّن أمان معقول من Microsoft من دون أن يطابق منتجًا معروفًا وموثقًا.
- وتستخدم البرمجيات الخبيثة عادةً أسماء ملفات زائفة أو مضللة للاندماج مع عمليات النظام المشروعة (مثل إضافة "Microsoft" أو "Security" أو "Update" أو "Service" إلى الاسم).
ويشير الانهيار مباشرة بعد حجب الاتصالات الصادرة إلى أن هذه العملية كانت إما الوكيل الأساسي للبرمجية الخبيثة، وهي تحاول الوصول إلى نطاقات القيادة والسيطرة الخاصة بها وتفشل، أو أداة تحميل أو مراقبة تعتمد على نجاح الاتصال الصادر، فانهارت عندما انقطع ذلك الاتصال. ومن الناحية التحليلية، هذا مثال كلاسيكي على السلوك تحت الضغط: فبمجرد حجب القيادة والسيطرة، قد تنهار البرمجيات الخبيثة المتقدمة، أو تعيد التشغيل، أو تتحول إلى قنوات احتياطية، أو تحاول آليات البقاء المحلية بعدوانية أكبر.
قرائن البقاء المحلي
بعد التعامل مع انهيار MicrosoftSecurityApp.exe، حاولت محطة العمل تشغيل Game Bar، وهو مكوّن مدمج في Windows يُستخدم عادةً لواجهات الألعاب والتقاط الشاشة. وكان المستشار قد عطّل Game Bar سابقًا بسبب سلوك مشبوه، لذا كانت محاولة إعادة التفعيل هذه ملحوظة.
وفي سجل Windows (الريجستري)، ورد ذكر Game Bar ضمن مدخلات تبدأ بـ AppX. وأشارت مدخلات AppX أخرى إلى FTP وSSH.
AppX هو صيغة الحزم من Microsoft لتطبيقات متجر Windows الحديثة. ويمكن للبرمجيات الخبيثة أحيانًا إساءة استخدام آليات حاويات التطبيقات، أو المهام المجدولة، أو بيانات AppX الوصفية، لأغراض البقاء. أما FTP (بروتوكول نقل الملفات) وSSH (القشرة الآمنة) فهما بروتوكولان قياسيان: يُستخدم FTP لنقل الملفات، غالبًا بنص غير مشفَّر، ويُستخدم SSH لتسجيلات الدخول البعيدة المشفَّرة وإنشاء الأنفاق.
ورؤية مدخلات AppX تشير إلى FTP وSSH أمر غريب على محطة عمل شخصية لا يُفترض أن تعمل كخادم. وهي توحي بأن البرمجية الخبيثة ربما سجّلت كيانات شبيهة بالتطبيقات أو مهامَّ مجدولة تتفاعل مع نقاط FTP/SSH بعيدة، أو أنشأت قنوات بديلة لتسريب البيانات أو تلقي الأوامر، منفصلة عن قناة القيادة والسيطرة عبر HTTP/HTTPS المعتمدة على النطاقات المركونة.
وقد تشير محاولة إعادة تفعيل Game Bar أو تشغيله إلى إساءة استخدام قدرات Game Bar في العرض فوق الشاشة والالتقاط لتسجيل الشاشة أو التجسس على المستخدم، أو استخدام مكوّن Windows مشروع ضمن استراتيجية «العيش على موارد النظام» لتقليل الاعتماد على ملفات تنفيذية خبيثة ظاهرة.
أثر شبكي: منفذ TCP 22 وصلة بـ "GhostContainer"
خلال هذه الفترة، لاحظ المستشار اتصال TCP على المنفذ 22 بالعنوان 52.98.240.82.
يرتبط منفذ TCP 22 عالميًا تقريبًا ببروتوكول SSH. وعنوان IP المعني مرتبط ببنية تحتية مشروعة (مثل مزوّدي الخدمات السحابية أو خدمات SaaS)، لكن نقاشات على الإنترنت ربطته بشيء يُدعى «GhostContainer». وGhostContainer هو باب خلفي يستهدف خوادم Microsoft Exchange، وثّقه باحثون أمنيون. وهو يمنح المهاجمين وصولًا بعيدًا دائمًا إلى بيئات Exchange، بما في ذلك القدرة على تنفيذ الأوامر والتحرك أفقيًا.
ورغم أن جهاز المستشار لم يكن خادم Exchange، فإن وجود سلوك شبيه بـ SSH على المنفذ TCP 22 نحو عنوان مرتبط بتقارير GhostContainer، وكون المضيف كان يرسل إشارات دورية سابقًا إلى نطاقات مشبوهة مرتبطة ببنية تحتية ذات صلة بدولة، يوحيان بأن محطة العمل ربما كانت جزءًا من مجموعة أدوات أوسع تستخدمها الجهات نفسها التي تنشر GhostContainer في أماكن أخرى، أو استُخدمت كنقطة انطلاق أو عقدة مراقبة لرصد أو إدارة العمليات المتعلقة بـ Exchange من نقطة نهاية موثوقة.
ويتوافق هذا مع نمط اختراق الأهداف رفيعة القيمة: فبدلًا من مجرد سرقة الملفات، ربما أراد المهاجمون جهازًا موثوقًا داخل البيئة يمكنهم استخدامه للتنقل، أو مراقبة إجراءات الاستجابة للحوادث، أو الحفاظ على الوصول حتى أثناء تحصين الأنظمة المؤسسية.
محاولة تثبيت شهادة جذر مارقة
استذكر المستشار أيضًا محاولة لتثبيت شهادة هيئة إصدار شهادات جذر (Root CA) مارقة.
وهذه تفصيلة بالغة الأهمية. فشهادة الجذر (Root CA) هي إحدى الركائز التي تستخدمها أنظمة التشغيل والمتصفحات لتقرير ما إذا كان اتصال مشفَّر (مثل HTTPS) جديرًا بالثقة. فإذا نجح مهاجم في تثبيت شهادة جذر خبيثة خاصة به على نظام ما، فبإمكانه:
- اعتراض حركة مرور TLS الآمنة وفك تشفيرها (مثل بريد الويب، ولوحات المعلومات، وبوابات الإدارة).
- تقديم شهادات مزيفة لأي نطاقات (مثل outlook.com أو vpn.company.com) بحيث تبدو صالحة للنظام المخترق.
عمليًا، سيتيح ذلك للمهاجمين تنفيذ هجمات الوسيط (MITM) على اتصالات الضحية من دون إطلاق تحذيرات الشهادات، وقراءة أو تعديل الاتصالات الحساسة، بما في ذلك سلاسل بريد الاستجابة للحوادث، وأنظمة التذاكر، وغيرها من المراسلات السرية. وتشكّل محاولة تثبيت شهادة الجذر المارقة مؤشرًا قويًا على نية البقاء والمراقبة، لا مجرد نشاط سطو سريع.
لماذا استُهدف هذا الشخص
لم يُختَر الضحية عشوائيًا. فقد كشفت مراجعة Intrace للإشارات على الويب المظلم وسياقها أنه كان موسومًا صراحةً كهدف رفيع القيمة. ويرجّح أن هذه الصفة نبعت من عمله السابق في الاستجابة للحوادث في قضية كبرى لبرمجيات الفدية.
فمن وجهة نظر المهاجم، يوفر اختراق شخص يتمتع برؤية عميقة للدفاعات وعمليات الاستجابة معلومات استخباراتية عن كيفية اكتشاف المدافعين لاختراقات معينة والاستجابة لها، ووسيلة ضغط أو انتقام محتملة ضد شخص سبق أن عطّل عملياتهم، ووصولًا إلى شبكات اتصال ووثائق قيّمة، حتى لو كانت موجودة أساسًا على الأنظمة المؤسسية، لأن محطة العمل الشخصية كثيرًا ما تُستخدم قناة جانبية.
وهذا المزيج من الاستهداف الشخصي، والبنية التحتية المرتبطة بإيران، والإشارات الدورية إلى نطاقات مركونة، ومحاولات شهادة الجذر المارقة، والسلوك الشبيه بالأبواب الخلفية، يتسق مع اختراق متعمد متعدد المراحل، لا مع برمجية خبيثة عشوائية عابرة.
كيف هيكلت Intrace التحقيق
من منظور Intrace، اتّبع التحقيق هيكلًا واضحًا:
استقبال الإشارة من الويب المظلم
- رصد اسم المضيف وتصنيف «الهدف رفيع القيمة» في بيانات مرتبطة بـ Water Black.
- تأكيد أن المضيف المشار إليه يعود لمستشار في Optiv.
الربط بالبنية التحتية
- العثور على المضيف waterblack في مركز البيانات المملوك إيرانيًا في وايومنغ.
- رسم خريطة النطاقات المركونة ذات الصلة التي تشير إلى المزوّد نفسه.
- المقارنة مع التقارير السابقة عن تورط شركة الاستضافة مع مجموعات مرتبطة بحكومات.
قياسات الجهاز وسلوكه
- فحص الاتصالات الصادرة على مدى عدة أسابيع نحو النطاقات المركونة.
- تحديد MicrosoftSecurityApp.exe عمليةً مشبوهة وتحليل سلوكها في فترة تطبيق الحجب الشبكي.
- مراجعة مدخلات السجل، بما في ذلك إشارات AppX إلى Game Bar وFTP وSSH.
الآثار الشبكية والصلات بأدوات خارجية
- ملاحظة حركة مرور TCP 22 نحو 52.98.240.82 وذكرها في نقاشات GhostContainer.
- تقييم ما إذا كان السلوك الملحوظ يندرج ضمن نمط باب خلفي أو حركة أفقية.
سلامة الثقة والتشفير
- التحقيق في محاولة تثبيت شهادة جذر (Root CA) مارقة.
- تقييم خطر الاعتراض المستمر لحركة المرور المشفَّرة.
توصيات الاحتواء والتحصين
- عزل محطة العمل عن البيئات الحساسة.
- إزالة الملفات التنفيذية ومدخلات السجل المشبوهة.
- إعادة تعيين بيانات الاعتماد وتعزيز المصادقة متعددة العوامل.
- فرض ضوابط صارمة على DNS وحركة المرور الخارجة، مع مراقبة النطاقات المركونة الجديدة وحركة SSH المشبوهة.
- تدقيق الشهادات الموثوقة على الجهاز وإلغاء أي هيئات إصدار شهادات (CA) غير مصرح بها.
النتيجة
من خلال الجمع بين استخبارات الويب المظلم، وتحليل البنية التحتية، والتحليل الجنائي للجهاز، والتفسير الدقيق للآثار الشبكية، تمكنت Intrace من إعادة تركيب مسار الاختراق وتوضيح كيف أصبح مستشار Optiv ضحية مستهدَفة لنشاط تهديد مرتبط بإيران. وقد أبرزت القضية كيف أن:
- الأجهزة الشخصية التي يستخدمها محترفو الأمن يمكن أن تصبح أهدافًا استراتيجية.
- النطاقات المركونة ومزوّدي الاستضافة المغمورين يمكن أن يعملوا بنية تحتية صامتة للقيادة والسيطرة.
- محاولات تثبيت شهادات جذر مارقة واستغلال مكوّنات Windows المدمجة مثل Game Bar تتسق مع أهداف وصول خفي طويل الأمد وليست مجرد ضوضاء.
وقد استخدمت Optiv هذه النتائج لاحتواء الحادث، وتحصين بيئة المستشار، وتعديل منطق الاكتشاف للبحث عن أنماط مشابهة عبر نقاط نهاية وعملاء آخرين.