كشفت تقارير تقنية جديدة رصدها فريق تيكبامين عن تورط مجموعة التسلل الإيرانية المعروفة باسم "مادي ووتر" (MuddyWater) في حملة تجسس عالمية واسعة النطاق. استهدفت الحملة ما لا يقل عن تسع مؤسسات في تسع دول مختلفة عبر أربع قارات خلال الربع الأول من عام 2026، مما يثير مخاوف جدية بشأن الأمن الرقمي العالمي.
ما هي الدول والقطاعات التي استهدفتها حملة مادي ووتر؟
شملت الهجمات قطاعات حيوية متنوعة، حيث سعى المهاجمون للوصول إلى بيانات حساسة ومعلومات استخباراتية. وفقاً لما ذكره تيكبامين، شملت قائمة الضحايا مؤسسات بارزة في عدة مناطق:
- شركات تصنيع الإلكترونيات الكبرى في كوريا الجنوبية، حيث قضى المهاجمون أسبوعاً كاملاً داخل الشبكة.
- مطارات دولية رئيسية في منطقة الشرق الأوسط.
- منشآت تصنيع صناعية كبرى في دول جنوب شرق آسيا.
- مزودي خدمات مالية ومؤسسات مصرفية في أمريكا اللاتينية.
- مؤسسات تعليمية وهيئات تابعة للقطاع العام وشركات الخدمات المهنية.
كيف تعمل تقنية DLL side-loading في هذه الهجمات؟
اعتمد المهاجمون بشكل مكثف على تقنية "تحميل مكتبات الارتباط الديناميكي الجانبي" (DLL side-loading). تم استخدام ملفات تنفيذية شرعية وموقعة رقمياً لخداع برامج الحماية وتمرير البرمجيات الخبيثة:
- ملف fmapp.exe: وهو ملف شرعي تابع لشركة فورتيميديا (Fortemedia) استخدم لتحميل ملف "fmapp.dll" الخبيث.
- ملف sentinelmemoryscanner.exe: ملف مرتبط بمنتج أمني لشركة سنتينل وان (SentinelOne)، واستخدم لتجاوز الكشف القائم على التوقيعات.
الهدف من استخدام هذه الملفات "الموثوقة" هو تشغيل ملفات DLL خبيثة (مثل sentinelagentcore.dll) بينما تظهر للأنظمة كبرمجيات حميدة، مما يسمح للمهاجمين بإنشاء نفق سري لنقل البيانات والتحكم في الأجهزة المصابة.
أدوات التجسس وسرقة البيانات الحساسة
تضمنت الملفات الخبيثة أداة مفتوحة المصدر تسمى ChromElevator. تهدف هذه الأداة بشكل أساسي إلى استخراج المعلومات الحساسة من المتصفحات المبنية على محرك كروميوم (Chromium)، وتشمل قدراتها:
- سرقة كلمات المرور المحفوظة وملفات تعريف الارتباط (Cookies).
- جمع بيانات بطاقات الدفع المخزنة في المتصفح.
- تجاوز حماية "تشفير التطبيقات المقيد" (ABE) التي تفرضها المتصفحات الحديثة.
- الاتصال بعناوين بروتوكول إنترنت (IP) يسيطر عليها المهاجمون لتلقي الأوامر.
ما هي الأدوات البرمجية المستخدمة في التجسس الداخلي؟
تميزت هذه الحملة باستخدام نصوص برمجية تعتمد على بيئة Node.js لتشغيل أكواد PowerShell المسؤولة عن عمليات الاستطلاع وجمع المعلومات. وقد رصد الباحثون استخدام سلسلة من البرمجيات للقيام بالمهام التالية:
- الاستطلاع المتكرر للشبكة وتصوير الشاشة بشكل دوري لرقابة نشاط المستخدمين.
- سرقة بيانات SAM hive للحصول على بيانات الاعتماد المحلية وتصعيد الامتيازات.
- إنشاء أنفاق SOCKS5 للتحكم عن بعد والتحرك جانبياً داخل الشبكة المخترقة.
وفي تطور مثير للقلق، وجد فريق البحث أن المهاجمين استخدموا خدمة نقل ملفات عامة تُعرف باسم sendit.sh لرفع البيانات المسروقة وتخزينها مؤقتاً قبل نقلها إلى خوادمهم الخاصة، مما يعكس مستوى عالٍ من التخطيط لتجنب الكشف.
كيف يمكن حماية المؤسسات من هجمات التجسس الرقمي؟
تؤكد هذه الهجمات على أهمية تعزيز استراتيجيات الأمن الرقمي، خاصة في ظل لجوء المجموعات المتقدمة مثل "مادي ووتر" إلى استغلال الملفات الشرعية الموقعة. ينصح الخبراء بمراقبة سلوك العمليات التنفيذية وعدم الاعتماد الكلي على التوقيعات الرقمية، بالإضافة إلى تفعيل ميزات الحماية المتقدمة للمتصفحات وتشفير البيانات الحساسة على مستوى الشبكة.
ختاماً، فإن استمرار مجموعة "مادي ووتر" في تطوير أدواتها يثبت أن الحرب السيبرانية تتجه نحو مزيد من التخفي، مما يستوجب يقظة دائمة من فرق أمن المعلومات وتحديثاً مستمراً لأنظمة الدفاع السيبراني.
