شركة إيرانية وفرت البيئة التقنية المناسبة لشن هجمات إلكترونية على بلدان عدة

توصل باحثون في شركة أبحاث مختصة بالهجمات الإلكترونية ( برامج الفدية Ransom ) إلى أن شركة تقنية إيرانية تقدم خدمات إلكترونية ( إستضافة Hosting ) لعصابات برامج الفدية ومجموعة من القراصنة المدعومين من الدولة، بإستخدام العملة المشفرة مقابل هذه الخدمات

بحسب التقرير، تقدم الشركة الإيرانية مجموعة من الخدمات لعصابات تستخدم برامج الفدية بشكل مستمر وبكثافة ( مثل BlackBasta و Royal )، كذلك تعمل كمنصة إنطلاق لهجمات المتسللين المدعومين من الدولة ( في كوريا الشمالية، روسيا، الصين، الهند، باكستان وفيتنام )، والغريب بأن شركة إسرائيلية سيئة الصيت، والتي تستخدم برنامج التجسس ( كانديرو Candiru )، تستفاد من الخدمات المقدمة لشن هجماتها.

تم الإشارة إلى إسم الشركة في التقرير، وهو ( Cloudzy )، حيث تقدم خدمات إلكترونية تعرف بـ ” الأوامر والتحكم (C2P) Command-and-Control Providers ” وهي بُعد غير معروف نسبيًا لإقتصاد برامج الفدية.

قال ريان سميث Ryan Smith، كبير مسؤولي التقنية والمؤسس المشارك في شركة Halcyon، لـ Recorded Future News:-

” أكثر ما يميز هذه الشركات، إنها في الحقيقة مزودي خدمة إنترنت شرعيين ظاهريًا، يوفرون بنية تحتية لإستخدامها للهجوم من قبل الجهات الفاعلة ومشغلي برامج الفدية، وغيرها من الكيانات التي يُحتمل أن تكون خاضعة للعقوبات، بينما لا يكونوا ملزمين باتخاذ أي إجراء من أي نوع لوقف هذا النشاط غير المشروع ”

” في الواقع، هم يستفيدون منه … عن علم أو بغير علم – هم أساسًا ركيزة أخرى في النظام الخاص بهذا النوع من الهجمات، ولاعب رئيسي في إقتصاد برامج الفدية “

في ظاهرها، تعمل شركة ( Cloudzy ) بشكل مشروع، مع حسابات على موقع X ( تويتر سابقا Twitter ) وموقع LinkedIn المتخصص.

الرئيس التنفيذي للشركة حَنان نوزاري Hannan Nozari، نَشط في العديد من مواقع التواصل الإجتماعي، لكنه لم يستجب لطلبات للتعليق على نتائج التقرير، حيث تدعي الشركة أن مقرها في الولايات المتحدة، لكن وفقًا للباحثين في شركة Halcyon، يقع مقرها في العاصمة الإيرانية طهران.

توفر شركة ( Cloudzy )، خدمات بروتوكول للتحكم بنافذة النظام من بعيد ( Remote Desktop Protocol -RDP) و الخادم الافتراضي الخاص (VPS – Virtual Private Server)، وهو نوع من الإستضافة ( Hosting ) غالية الثمن، دون طرح أي سؤال للعملاء عن ما ينوون فعله !

يستخدم المتسللون في مجال هجمات الفدية، والذين ترعاهم الدولة، هذه التقنية لإرباك أولئك الذين يحاولون تعقب مصدر نشاطهم الضار وكذلك، يستخدمون هذه الشركة كمنصة لحفظ الأدوات ( الإلكترونية ) المستخدمة أثناء الهجمات.

بدأ الباحثون في شركة Halcyon، تحقيقهم بفحص تصرفات مجموعتين تستخدمان برامج الفدية، يطلقان عليهما ” Ghost Clown ” و ” Space Kook “، والتي تستخدم برامج ( BlackBasta و Royal ransomware )، على التوالي.

بعد تمكن من الدخول الأولي للنظام ( الضحية )، أستخدم المتسللون عنوان إنترنت ( IP ) عن طريق إستضافة شركة Cloudzy.
لاحظ الباحثون أن مجموعة ( Ghost Clown ) أستخدموا في البداية برنامج الفدية ( Conti )، الذي بدأ في شهر شباط / فبراير ٢٠٢١، قبل التحول إلى برنامج ( Black Basta ) في عام ٢٠٢٢.

أستخدمت مجموعة ( Space Kook ) البنية التحتية المرتبطة بوسيط ( Exotic Lily )، بواسطة مجموعة تحليل التهديدات من شركة غوغل Google.

بدأت مجموعة ( Space Kook ) بنشر برنامج الفدية ( Quantum Locker )، قبل التبديل إلى برنامج ( Royal ransomware )

تابع باحثو شركة ( Halcyon ) مسارات التنقل التي خلفتها هاتان المجموعتان، من خلال مجموعة كبيرة من مزودي الخدمة ( ISP) والتي قادتهم إلى شركة ( Cloudzy ).

” في البداية، أشتبهنا في أن الشخص أو الكيان الذي يقوم بالحصول على مساحة للإستضافة، كان وسيطًا يسهل العمليات الإجرامية من خلال تأجير البنية التحتية الإلكترونية، وهو جزء من النظام المتعارف عليه لبرامج الفدية السرية “

” لدهشتنا، بعد أن تمكنا من شراء خوادم VPS ( RDP – خدمات التحكم من بعيد ) المحددة من أحد مزودي خدمة الإنترنت، ظهرت أسماء الخوادم المرتبطة بشركة ( Cloudzy )”

أدرك تقنيي الشركة Halcyon، أن خدمات شركة ( Cloudzy ) تُستخدم من قبل العديد من المجموعات التابعة لبرامج الفدية.

وسعت الشركة من نطاق البحث، وأكتشفت مجموعة مذهلة من البنية التحتية الإلكترونية التي تستخدم للهجوم، والمعروفة من قبل المتخصصين في هذا المجال.

وجد باحثوا الشركة ( Halcyon )، شبكة من مجموعات ( APT – متخصيين بالهجمات الإلكترونية التي ترعاها دول )، والمجموعات الإجرامية، وبائعي برامج التجسس التجارية الإسرائيلية ( Candiru )، وكلها تستخدم البنية التحتية الإلكترونية لشركة ( Cloudzy ).

تشمل هذه المجموعات :-

* مجموعات تابعة للحكومة الصينية مثل ( APT10 و Dragon Castling ).
* مجموعات تابعة للهند مثل ( Sidewinder and Bitter ).
* مجموعات تابعة لإيران مثل ( APT34 و APT33 ).
* مجموعات تابعة لكوريا الشمالية مثل ( Kimsuky and Konni ).
* مجموعة TransparentTribe من باكستان.
* مجموعات تابعة لروسيا مثل ( Nobelium and Turla ).
* مجموعة ( APT32 ) من فيتنام.

بحسب البحث الذي تم نشره من قبل شركة Halcyon:-

” في وقت كتابة هذا التقرير، قدرنا أنه من المٌحتمل أن يكون ما بين ٤٠ – ٦٠ ٪ من إجمالي الخوادم الموجودة حاليًا بواسطة شركة Cloudzy يبدو أنها تدعم نشاطًا ضارًا مُحتملًا بشكل مباشر “.

” نظرًا للكم الكبير من نشاط التهديد الذي تم تقييمه على أنه مرتبط بـشركة Cloudzy والتأثير الملموس لهذا النشاط على المجتمع، قررنا التحقيق بهذا الموضوع “

حيث وجد الباحثون، أن شركة ( Cloudzy ) تقوم بتسويق نفسها لكلا من المتحمسين للخصوصية والجهات التي تريد إستخدام البرامج للتهديد، مشيرين إلى أنهم عندما قاموا بشراء خدمات ( الإستضافة Hosting ) من الشركة ( Cloudzy )، كانت رخيصة، سهلة والذي يشتري الخدمات يبقى مجهولاً.

الشيء الوحيد المطلوب هو عنوان البريد الإلكتروني والعملات المشفرة.

أدت المزيد من عمليات البحث، أن الكثير من الأنشطة الخبيثة التي تدعمها شركة ( Cloudzy ) قد تمت من خلال البنية التحتية الإلكترونية التي أستأجرتها الشركة، ومن خلال ١٢ مزود خدمة إنترنت آخر في بلدان مختلفة:-

Combahton
DR-Soft
FranTech Solutions
Hostwinds
Hydra Communications
IPXO
Leaseweb
MB-Ricarta
OVH
Rockion
Velcom
Winstri

عندما أبلغ باحثو شركة ( Halcyon ) عن النشاط لبرامج الفدية، للشركة نفسها ( Cloudzy ) التي تستضيف هذه البرامج، ردت بسلسلة من الردود، وطُلبت منهم في النهاية الإتصال بمزودي خدمة الإنترنت ISPs، الذين قاموا بتسجيل عناوين الإنترنت ( IPs ) نيابة عن شركة ( Cloudzy ).

تمكن الباحثون من شركة Halcyon بعد ذلك من العثور على تسجيل الشركة السابق تحت إسم ( Router Hosting ).

موقع الشركة:-

| مبنى إداري في مركز تجاري في منطقة شيريدان Sheridan، ولاية وايومنغ Wyoming الأمريكية، تم تسجيله في ٢٢ أذار / مارس، هذا المبنى معروض للبيع حاليًا، وأن العنوان المدرج موجود في سجلات التأسيس لأكثر من ٢,٠٠٠ شركة أخرى |

جميع الشركات مرتبطة بشركة ( Cloud Peak Law )، وهي شركة محاماة متخصصة في خدمات تأسيس الشركات المجهولة.

أكتشف الباحثون بعد ذلك عنوانًا آخر مرتبطًا بالشركة يقع في مدينة لاس فيغاس الأمريكية.

قام الباحثون في شركة ( Halcyon ) بالتحقق من موظفي شركة ( Cloudzy ) عن طريق حساباتهم على موقع ( LinkedIn ) المشهور، حيث وجدت مزيجًا من حسابات مزيفة وحسابات أشخاص حقيقيين، يبدو أن جميعهم تقريبًا يتخذون من ( إيران ) مقراً لهم ويعملون في شركة أخرى تسمى ( abrNOC ).

شركة ( Cloudzy و abrNOC ) لها شعارات متطابقة تقريبًا، وقد بدأت هذه الشركات في عام ٢٠٠٨، وتدعي الشركات، أن لهما أكثر من ١٥ موقعًا في جميع أنحاء العالم – وكلها متطابقة.

يمتلك حَنان نوزاري، مؤسس الشركة، حسابًا موثقًا على موقع X، حيث يتحدث في الغالب عن العملات المشفرة.

حسابات مختلفة له، تتحدث عن وجوده في نيوزيلندا أو الإمارات العربية المتحدة،من خلال بحث شركة Halcyon، وجدت أن مقره ( إيران )، حيث يقول حسابه الشخصي على موقع الشركة أنه أنشأ ( Cloudzy ) في عام ٢٠٠٨.

قال حَنان نوزاري لوكالة رويترز، إن ما يقدر بنحو ٢ ٪ فقط من عملاء الشركة متورطون بنشاطات ضارة.

طلبت شركة ( Halcyon ) الإنتباه إلى عناوين الإنترنت ( IPs ) المدرجة في التقرير، وحذرت من أن أي شخص يقوم بأعمال تجارية في الولايات المتحدة بإستخدام شركة المحاماة ( Cloud Peak Law ) معرض لخطر إنتهاك العقوبات الأمريكية على إيران.

قال ريان سميث Ryan Smith، كبير مسؤولي التقنية والمؤسس المشارك في شركة Halcyon، لـ Recorded Future News:-

” من غير المحتمل ألا يكون لدى شركة Cloudzy أي فكرة على الإطلاق من أن أكثر من نصف النشاط على شبكاتها ضار “

” إنهم يقدمون خدمات للجهات الفاعلة في التهديد والتي تعتبر ضرورية للغاية لعمليات الهجوم الخاصة بهم، وهم يفعلون ذلك على مرأى من الجميع دون أي قلق من وجود أي عواقب، ويمكن للمهاجمين ببساطة تطوير البنية التحتية التي يشترونها للإستضافة Hosting، دون الكشف عن هويتهم وإستخدامها في الهجمات، ثم حذفها بعد ذلك “.

” إذا لم يكن الحصول على هذه الخدمات بهذه السهولة، فسيتعين على الجهات التي تستخدم هجمات برامج الفدية الحصول عليها بثمن كبير والحفاظ على البنية التحتية للهجوم، وسيتعين عليهم إتخاذ خطوات قد تجعلهم أكثر عرضة للتعرف عليهم “