مجموعة إيرانية غامضة تقوم باختراق أجهزة تسلسل الحمض النووي

تتعرض تطبيقات تسلسل الحمض النووي المستندة إلى الويب لهجوم من مجموعة قراصنة غامضة تستخدم برنامج Zero-day الذي لم يتم إصلاحه حتى الآن للسيطرة على الأجهزة المستهدفة.

وبدأت الهجمات قبل يومين، في 12 يونيو/حزيران الماضي، وما زالت مستمرة، بحسب ما ذكرته وكالة "رويترز". أنكيت أنوبهاف، وهو باحث أمني في NewSky Security، والذي شارك النتائج التي توصل إليها مع زد نت.

يقوم المتسللون بزرع الأصداف على تطبيقات الويب الخاصة بتسلسل الحمض النووي

يقول أنوبهاف إن المجموعة، التي تعمل من عنوان IP موجود في إيران، كانت تقوم بمسح الإنترنت بحثًا عن dnaLIMS، وهو تطبيق على الويب تم تثبيته من قبل الشركات ومعاهد الأبحاث للتعامل مع عمليات تسلسل الحمض النووي.

وقال الباحث زد نت يستغل الهاكر CVE-2017-6526، وهي ثغرة أمنية في dnaLIMS لم يتم تصحيحها حتى يومنا هذا بعد إخطار البائع في عام 2017.

يقول أنوبهاف إن المهاجمين يستخدمون هذه الثغرة الأمنية لزرع الأصداف التي تسمح لهم بالتحكم في خادم الويب الأساسي من مواقع بعيدة.

دوافع الهجوم غير معروفة

ومن غير الواضح كيف تستخدم المجموعة هذه الأبواب الخلفية في الأنظمة المخترقة بعد الإصابة. يقول أنوبهاف أنه قد يكون هناك سيناريوهان.

في الحالة الأولى، ربما يتطلع المهاجم إلى استخراج تجزئات تسلسل الحمض النووي من قاعدة بيانات التطبيق.

وقال أنوبهاف: "إن سرقة الحمض النووي في حالات محددة يمكن أن تكون مثمرة". "إما أن يتم بيعها في السوق السوداء، أو أن مهاجمًا رفيع المستوى يمكنه بالفعل البحث عن بيانات شخص معين."

والسيناريو الثاني، وهو السيناريو الأكثر منطقية، هو أن المهاجمين ربما يستخدمون الخوادم المصابة كجزء من شبكة الروبوتات، أو يستخدمون الصدفة لزرع عمال مناجم العملة المشفرة على الأنظمة المختطفة.

أبرز تقرير سابق لـ ZDNet أن معظم شبكات الروبوتات الخاصة بإنترنت الأشياء في الوقت الحاضر هي أعمال أطفال يبحثون عن الاهتمام ويأخذون عمليات استغلال عشوائية من قاعدة بيانات استغلال ExploitDB و تجميع شبكات الروبوت بشكل عشوائي.

قد تكون هذه إحدى تلك الحالات، حيث يستخدم مؤلف شبكة الروبوتات هذه برمجية استغلال بشكل عشوائي، دون أن يعرف ما الذي يستهدفه بالفعل.

وقال أنوبهاف: "قد لا يكون هذا الهجوم بالتحديد مفيدًا للطفل النصي أو مشغل شبكة الروبوتات"، مشيرًا إلى أن هناك لا يوجد سوى ما بين 35 إلى 50 تطبيقًا لتسلسل الحمض النووي شديد التعقيد متاحًا عبر الإنترنت، وهو عدد صغير جدًا بحيث لا يمكن إنشاء شبكة روبوتية حول.

استهدفت المجموعة أيضًا أجهزة التوجيه وخوادم Struts

علاوة على ذلك، فإن النظرية القائلة بأن هذا قد يكون من عمل طفل يلعب بمآثر عشوائية، وليس من عمل تصبح المجموعة التي ترعاها الدولة القومية أكثر قابلية للتصديق عندما ننظر إلى النشاط التاريخي القادم من عنوان IP الخاص بالمهاجم عنوان.

لكل سجلات NewSky الخاصة، شوهد المهاجم وهو يستخدم أداة nmap لفحص الإنترنت ومحاولة استخدام اثنتين من عمليات الاستغلال الأخرى للسيطرة على الأنظمة -- واحد لأجهزة التوجيه Zyxel، و ثانية ل أباتشي الدعامات المنشآت.

وقال أنوبهاف "لا يمكننا أن نقرر بعد الدافع وراء هذه الهجمات". زد نت. "وبغض النظر عن ذلك، فإن أنظمة تسلسل الحمض النووي التي تحتوي على هذه المعلومات السرية يمكن أن تتعرض للاختراق."

ومع رفض البائع تصحيح الثغرة الأمنية في عام 2017، تظل هذه الأنظمة مفتوحة للهجمات.

لا يمكن تقييم المخاطر التي تشكلها هذه الأنظمة إلا على أساس كل حالة. إذا كانت بيانات تسلسل الحمض النووي مجهولة المصدر، فمن المرجح أن تكون أي بيانات مسروقة عديمة الفائدة. إذا لم يكن الأمر كذلك، فقد يحدث انتهاك خطير إذا سرق المتسللون أي معلومات من هذه الأنظمة.

من المؤكد أن بيانات الحمض النووي قد تكون عديمة الفائدة في الوقت الحالي، ولكن مع انتشار حلول القياسات الحيوية كل عام، قد تكون البيانات غير مجهولة المصدر ذات قيمة في الواقع في غضون سنوات قليلة من الآن.

يتوفر المزيد من شهادات IOC حول هذا الهجوم في تقرير أنوبهاف.

تغطية البرامج الضارة والجرائم الإلكترونية ذات الصلة:

• خوادم البريد الإلكتروني Exim تتعرض الآن للهجوم
• يعود قراصنة FIN8 بعد عامين بهجمات ضد قطاع الضيافة
• برنامج الفدية يوقف الإنتاج لعدة أيام في شركة كبرى لتصنيع قطع غيار الطائرات
• مايكروسوفت تحذر من حملة البريد الإلكتروني العشوائي التي تستغل ثغرة Office
• بعد 8 سنوات، تمضي القضية المرفوعة ضد عصابة البرامج الضارة ماريبوسا قدمًا في الولايات المتحدة
• مجموعتا قرصنة مسؤولتان عن الارتفاع الكبير في متاجر Magento 2.x المخترقة
• إن شبكة الإنترنت المظلمة أصغر حجمًا، وقد تكون أقل خطورة مما نعتقدTechRepublic
• يحتوي Game of Thrones على أكبر عدد من البرامج الضارة في أي برنامج تلفزيوني مقرصنةسي نت