قال الكاتب الإسرائيلي يوسي هتوني إنه وخلال الربع الأخير من 2019 كشف طاقم التحقيق التابع لـ (كلير سكاي) حملة هجومية إيرانية واسعة النطاق والتي تدار في الثلاث سنوات الأخيرة ضد عشرات من المنظمات والشركات في إسرائيل وفي العالم.
وفي هذا الإطار فإنه وخلال الحملة نجح المهاجمون للوصول إلى شبكات وشركات ومنظمات كثيرة في قطاعات الـ IT والاتصالات والنفط والغاز والطيران والامن والكهرباء في إسرائيل وخارجها.
المحققون قالوا أنه وخلال التحقيق "وجدوا تداخلات محتملة متوسطة إلى عالية للبنية التحتية المهاجمة ولأنشطة المجموعة الإيرانية المهاجمة. -APT34 OILRIGإضافة إلى رصد احتماليات متوسطة للعلاقة بين هذه الحملة لمجموعة ELFIN-APT33.CHAFER-APT39-. -يطلقون على هذه الحملة اسم FOX-KITTEN (القط الثعلب)".
وحسب المحققين الإسرائيليين فإن المجموعات الايرانية عملت في محاولة منها لتأسيس طرق الوصول للشركات المستهدفة والسرقة منها العلم والمعلومات الاستخبارية القيمة والحفاظ لوقت طويل للاحتفاظ بها ومحاولة الصاق عن طريقها شركات أخرى بسلسلة هجمات تزويد".
حسب ما قال الكاتب فإن" أنشطة مجموعات الهجمات الإيرانية نفذت الهجوم من خلال استخدام أدوات متنوعة، معظمها تعتمد على أدوات مشفرة مفتوحة وجزء منها بتطوير مستقل". وجاء في تقرير الكاتب الإسرائيلي أن الاختراق للمنظمات المستهدفة تمت في غالبية الحالات بواسطة استغلال الضعف في خدمات الوصول عن بُعد لـ VPN مختلفة، خلال وقت قصير من لحظة نشرها".
يضيف "يوسي هتوني" أن المهاجمين نفذوا عملية جارية للفحص وفلترة وكشف العلم الحساس والقيم لكل واحدة من الشركات التي اخترقوها. العلم القيم تم سحبه وإرساله للمهاجمين بدواعي جمع المعلومات الاستخبارية والتجسس أو نقل عدوى إضافية لشبكات متصلة.- يقول الكاتب.
" الحملة التي تم الكشف عنها هي حسب تقديرنا هي واحدة من أنظمة الهجوم الواسعة والمحيطة التي تقوم بها إيران حتى الآن (محققو كلير سكاي). "باستثناء البرامج الخبيثة، الحملة شملت بنية تحتية كاملة التي هي معدة للتأسيس، على طول فترة طويلة وقدرة السيطرة وإتاحة الوصول الكامل أمام الأهداف التي تم اختيارها من قبل المهاجمين. والحملة التي تم الكشف عنها استخدمت كبنية تحتية لجمع المعلومات الاستخبارية، ولكن يمكن استخدامها أيضاً كبنية تحتية لتوزيع البرمجيات الخبيثة الهدامة وأنشطتها. مثل ZERO CLEARE أو DUSTMAN المصنفة مع APT34 ومع مجموعة الهجمات الإيرانية الأخرى والتي حسب تقديراتنا هي APT33".
حسب الباحثين فإن" عنصر الاختراق الكبير والناجح جداً لمجموعة الهجمات الإيرانية في الثلاث سنوات الأخيرة هو عبر استغلال الضعف في أنظمة الوصول عن بُعد للمنظمات، وخصوصاً الوصول عن بُعد للموظفين، وطواقم المساعدة والشركات الخارجية.
وقد تمت من خلال الالتفاف على أنظمة الحماية القائمة والوصول مباشرة لأنظمة الـ VPN – والـ RDP- لضرورة الاختراق والسيطرة على المنظمات والشركات".
" الإيرانيون يركزون على شركات" IT
(بوعاز دوليف) مؤسس ومدير عام "كلير سكاي" قال عن الأشخاص والحواسيب أن "مجموعات الهجوم الإيرانية طورت في العامين الأخيرين من قدراتها التقنية وهي قادرة على استغلال نقاط الضعف بسرعة في يوم واحد مثل الضعف في أنظمة الـ VPN- في أطر زمنية قصيرة من ساعات وصولا لبضعة أيام".
و"ابتداء من 2017 كما قال "فإن هذه المجموعات تتمركز في شركاتIT التي تزود خدمات الحوسبة والمصادر الخارجية لألاف الشركات الأخرى.
وحسب قول "دوليف" فإنه وبعد اختراق المهاجمين للمنظمة هم يعملون على تأسيس قبضة تكرار تشغيلية بواسطة إنشاء عدة نقاط بديلة للوصول لجوهر الشبكة للمنظمة.