🗓 الجمعة - 6 مارس 2026، 03:20 مساءً |
⏱ 3 دقيقة |
👁 12 مشاهدة
تكشف هجمات مادي ووتر عن تسلل خلفي جديد يستهدف شركات أمريكية، حسب تيكبامين، مع استخدام باب Dindoor لجمع البيانات وسط تصعيد إقليمي.ما الذي نعرفه عن هجمات مادي ووتر على الشركات الأمريكية؟تشير التحقيقات الأمنية إلى أن المجموعة المرتبطة بوزارة الاستخبارات الإيرانية ركزت على التواجد الطويل داخل الشبكات، مع جمع بيانات حساسة ومعلومات عن البنية الداخلية. الهدف كان الحفاظ على وصول هادئ دون إثارة الإنذارات المباشرة.الحملة بدأت في أوائل فبراير، ثم تصاعد النشاط بعد الضربات العسكرية الأمريكية والإسرائيلية الأخيرة، ما يعكس تزامناً واضحاً بين التوترات الميدانية ونشاط التجسس الرقمي. هذا التوقيت يفسر زيادة محاولات الوصول إلى الجهات ذات الصلة بالدفاع والخدمات العامة.ما القطاعات المتضررة؟بنك أمريكي وخدمات مالية حساسةمطار أمريكي وبنية تشغيلية مرتبطة بالنقلشركة برمجيات لها فرع في إسرائيل وتتعاون مع الدفاعمنظمة غير ربحية كندية تعمل في ملفات دوليةمؤسسات أخرى لها حضور لوجستي وتقنيكيف يعمل باب Dindoor الخلفي الجديد؟الباب الخلفي الجديد باب Dindoor يعتمد على بيئة Deno لتنفيذ أوامر جافاسكربت، ما يمنح المهاجمين مرونة عالية وتشغيلاً أقل لفتاً للانتباه مقارنة بالأدوات التقليدية. هذا الاختيار يساعد على تجاوز بعض أدوات الرصد التي تركز على بايثون أو باورشيل.لغة التنفيذ: Deno JavaScript runtimeإطلاق مهام مجدولة للحفاظ على الاستمراريةتنفيذ أوامر عن بعد وجمع ملفات محددةتشفير الاتصال لتقليل بصمة الشبكةماذا عن محاولة تهريب البيانات؟تم رصد محاولة تهريب بيانات باستخدام أداة Rclone نحو حاوية تخزين Wasabi سحابية، لكن نجاح العملية لم يتم تأكيده حتى الآن. هذا يشير إلى أن الهدف كان نسخ ملفات كبيرة بسرعة قبل اكتشاف التسلل.ما قصة باب Fakeset وشهادات التوقيع؟في شبكات أخرى، ظهر باب خلفي منفصل باسم Fakeset مبني على بايثون، وتم تنزيله من خوادم تخزين تابعة لشركة باك بليز. هذا الأسلوب يسهّل إخفاء الحركة ضمن حركة نسخ احتياطي طبيعية.تحميل البرمجية من خوادم سحابية موثوقة ظاهرياًتنفيذ أوامر بايثون عبر وحدات خفيفةتنزيل إضافات لاحقة حسب الهدفتوقيع رقمي استخدم سابقاً مع برمجيات أخرىلماذا الشهادات مهمة؟استخدام الشهادات نفسها التي وُقعت بها برمجيات Stagecomp وDarkcomp يربط الأنشطة بالمجموعة نفسها، حتى لو لم تظهر الأدوات السابقة داخل الشبكات المستهدفة. ذلك يمنح فرق الاستجابة مؤشراً قوياً لتتبع البصمة التشغيلية.كيف يؤثر التصعيد الإقليمي على الأمن الرقمي؟التصعيد الإقليمي فتح باباً لموجة هجمات أوسع، حيث نشطت مجموعات اختراق مؤيدة لفلسطين، ورُصدت عمليات مسح تعتمد على عناوين ستارلينك لاستهداف التطبيقات المعروضة للإنترنت. وترى تيكبامين أن هذا النمط يعكس سباقاً على استغلال الثغرات قبل ترقيعها، ما يرفع مخاطر الأمن الرقمي على القطاعات الحيوية.فحص إعدادات خاطئة في تطبيقات الويبتجربة كلمات مرور ضعيفة على الخدمات العامةتحديد منافذ مفتوحة وخوادم مكشوفةزرع أدوات تحكم خفيفة ثم التحرك جانبياًفي النهاية، تبقى هجمات مادي ووتر دليلاً على احترافية التهديدات الإيرانية. لذلك يجب على المؤسسات تعزيز المراقبة وتقسيم الشبكات وتحديث النسخ الاحتياطية بصورة منتظمة.