تكشف هجمات مادي ووتر عن تسلل خلفي جديد يستهدف شركات أمريكية، حسب تيكبامين، مع استخدام باب Dindoor لجمع البيانات وسط تصعيد إقليمي.
ما الذي نعرفه عن هجمات مادي ووتر على الشركات الأمريكية؟
تشير التحقيقات الأمنية إلى أن المجموعة المرتبطة بوزارة الاستخبارات الإيرانية ركزت على التواجد الطويل داخل الشبكات، مع جمع بيانات حساسة ومعلومات عن البنية الداخلية. الهدف كان الحفاظ على وصول هادئ دون إثارة الإنذارات المباشرة.
الحملة بدأت في أوائل فبراير، ثم تصاعد النشاط بعد الضربات العسكرية الأمريكية والإسرائيلية الأخيرة، ما يعكس تزامناً واضحاً بين التوترات الميدانية ونشاط التجسس الرقمي. هذا التوقيت يفسر زيادة محاولات الوصول إلى الجهات ذات الصلة بالدفاع والخدمات العامة.
ما القطاعات المتضررة؟
- بنك أمريكي وخدمات مالية حساسة
- مطار أمريكي وبنية تشغيلية مرتبطة بالنقل
- شركة برمجيات لها فرع في إسرائيل وتتعاون مع الدفاع
- منظمة غير ربحية كندية تعمل في ملفات دولية
- مؤسسات أخرى لها حضور لوجستي وتقني
كيف يعمل باب Dindoor الخلفي الجديد؟
الباب الخلفي الجديد باب Dindoor يعتمد على بيئة Deno لتنفيذ أوامر جافاسكربت، ما يمنح المهاجمين مرونة عالية وتشغيلاً أقل لفتاً للانتباه مقارنة بالأدوات التقليدية. هذا الاختيار يساعد على تجاوز بعض أدوات الرصد التي تركز على بايثون أو باورشيل.
- لغة التنفيذ: Deno JavaScript runtime
- إطلاق مهام مجدولة للحفاظ على الاستمرارية
- تنفيذ أوامر عن بعد وجمع ملفات محددة
- تشفير الاتصال لتقليل بصمة الشبكة
ماذا عن محاولة تهريب البيانات؟
تم رصد محاولة تهريب بيانات باستخدام أداة Rclone نحو حاوية تخزين Wasabi سحابية، لكن نجاح العملية لم يتم تأكيده حتى الآن. هذا يشير إلى أن الهدف كان نسخ ملفات كبيرة بسرعة قبل اكتشاف التسلل.
ما قصة باب Fakeset وشهادات التوقيع؟
في شبكات أخرى، ظهر باب خلفي منفصل باسم Fakeset مبني على بايثون، وتم تنزيله من خوادم تخزين تابعة لشركة باك بليز. هذا الأسلوب يسهّل إخفاء الحركة ضمن حركة نسخ احتياطي طبيعية.
- تحميل البرمجية من خوادم سحابية موثوقة ظاهرياً
- تنفيذ أوامر بايثون عبر وحدات خفيفة
- تنزيل إضافات لاحقة حسب الهدف
- توقيع رقمي استخدم سابقاً مع برمجيات أخرى
لماذا الشهادات مهمة؟
استخدام الشهادات نفسها التي وُقعت بها برمجيات Stagecomp وDarkcomp يربط الأنشطة بالمجموعة نفسها، حتى لو لم تظهر الأدوات السابقة داخل الشبكات المستهدفة. ذلك يمنح فرق الاستجابة مؤشراً قوياً لتتبع البصمة التشغيلية.
كيف يؤثر التصعيد الإقليمي على الأمن الرقمي؟
التصعيد الإقليمي فتح باباً لموجة هجمات أوسع، حيث نشطت مجموعات اختراق مؤيدة لفلسطين، ورُصدت عمليات مسح تعتمد على عناوين ستارلينك لاستهداف التطبيقات المعروضة للإنترنت. وترى تيكبامين أن هذا النمط يعكس سباقاً على استغلال الثغرات قبل ترقيعها، ما يرفع مخاطر الأمن الرقمي على القطاعات الحيوية.
- فحص إعدادات خاطئة في تطبيقات الويب
- تجربة كلمات مرور ضعيفة على الخدمات العامة
- تحديد منافذ مفتوحة وخوادم مكشوفة
- زرع أدوات تحكم خفيفة ثم التحرك جانبياً
في النهاية، تبقى هجمات مادي ووتر دليلاً على احترافية التهديدات الإيرانية. لذلك يجب على المؤسسات تعزيز المراقبة وتقسيم الشبكات وتحديث النسخ الاحتياطية بصورة منتظمة.
