تجسُّسُ النظام الإيراني على معارضيه مستعمِلاً خوادمَ هولنديةً

أحمد باطبي – إيران وير

في أحد برامجها، كشفت “الإذاعة الهولندية”Dutch radio “NPO1) ”) وفقاً للدلائل المتوفِّرة، عن مجموعة من التحركات السيبرانية التي قام بها النظامُ الحاكم في إيران بغرض التجسس على معارضيه.

في هذا الصدد، قامت شركة الأمن “بيت ديفندر” (Bitdefender) التي تُقدِّم برنامج بيت ديفندر المعروف ضد الفيروسات، بالتعاون مع البرنامج الإذاعي “آرغوس” (Argos) الذي يتم بثُّه عبر أثير الإذاعة الهولندية، بتقديم تقرير يُفيد في جلاء جوانب خفية متعلقة بأنشطة النظام الإيراني السيبرانية خارج إيران.

يُشار إلى أنّ برنامج آرغوس الإذاعي هو أحدُ البرامج المعروفة في إذاعة “إن بي أو – ون” (NPO 1) الهولندية، ويُذاع عصر كل ثلاثاء، مركِّزاً على الصحافة التحقيقية، ومتناولاً موضوعاتٍ مختلفةً مسائلاً إياها نبشاً وتنقيباً.

وفي هذا البرنامج الذي يُديره المذيع “ريك دلهاس” (Rik Delhaas)، جاء الحديث عن مَركز بيانات يقع قرب مدينة “هارلم” (Haarlem)، غرب العاصمة الهولندية أمستردام، حيث تم العثور فيه على آثار الأنشطة الجاسوسية آنفة الذكر، وفي هذا المركز تم كشف ثبوتيات لخوادمَ يُحتمَل أن النظام الإيراني، بحسب تصريحات الباحثين في شركة بيت ديفندر، هو الذي يَتحكَّم بها ويُدير البرمجيات الإنترنتية الخبيثة، مثل التلويث الأولي لحواسيب الضحايا وشبكاتهم الإنترنتية، وحفظ المعلومات المسروقة كالصوت والصور وغير ذلك.

والقائمون على هذا الخادم يَستعملونه بوصفه “خادمَ القيادة والسيطرة” (Command and Control [C&C] Server) ؛ وهي بشكل عام خوادمُ يَستعملها المهاجمون في إصدار وإرسال الأوامر إلى الحواسيب والشبكات المتضررة والتالفة، كما يتمّ في معظم الحالات استعمالُ الـحَوسبة السحابية والبريد الإلكتروني أو القيام بمشاركة الملفات، وذلك بغرض خلط حركة خادم القيادة، والسيطرة على الحركة العادية لكمبيوتر الضحية أو شبكته الإنترنتية.

إنّ خوادم القيادة والسيطرة تؤدي دوراً محورياً وداعماً في الهجوم السيبراني، كما أنّ لها دوراً جوهرياً في إنجاح الهجوم الاختراقي. ويقوم خادم القيادة والسيطرة بتمهيد الأرضية لـ “بوت نت” (botnet) [شبكة الروبوت]، وبإرسال الأوامر التي يُحدِّدها المخترقون إلى برمجيات الضحايا الخبيثة، وذلك من خلال اتّباع ثلاث طرق مختلفة، هي: الطريقة المتمركزة أو طريقة الصدفة أو طريقة الندَّ للندّ. وفي مستطاع هذه الخوادم تخزينُ المعلومات المسروقة من قِبَل البرمجيات الخبيثة داخلها أو إزعاجُ النشاطات العادية للخوادم الأخرى، وإحداث الخلل في أدائها الطبيعي.

ومن خلال دراسة الباحثين للحركة الموجودة توصلوا إلى نتيجةٍ مفادُها أن هذا الخادم وإن كان مستقراً في هولندا إلا أنّ صاحبته هي شركةٌ مُسجَّلة في قبرص، وليس لها عنوان محدَّد. ومع هذا، يبدو أنّ مُسجِّليها مواطنون رومانيون.

وتَسمح هذه الشركة لعملائها باستعمال عملة بيتكوين الرقمية في دفع تكاليفهم في مقابل التستر على هوياتهم.

وتأسيساً على هذا التقرير، فإن الشركةَ آنفةَ الذكرِ كانت تُقدِّم خدماتها لبعض الشركات الأمريكية أيضاً، لكن بعد فضحها من قِبل هذا البرنامج الإذاعي توقّفت عن تقديم الخدمات لمستأجري هذا الخادم الملوَّث.

وقال ريك دلهاس الصحفي في الإذاعة الهولندية: “إنّ كشف هذا الخادم بدأ مع تحذير رجل إيراني مقيم في هولندا؛ وهو أحد معارضي النظام الإيراني، حيث تَلقّى عبر منصات التواصل الاجتماعي وتطبيق تلغرام ملفاً مشبوهاً كان قد أَرسله له المخترقون التابعون للنظام الإيراني. لكن هذا الرجل تعاطى مع الأمر بذكاء؛ فبدلاً من فتح الملف قام بوضعه تحت تصرف المختصين في الأمن السيبراني. وأظهرتِ الدراساتُ الـمُعمَّقة أن هذا الملف كان ملوَّثاً بأحد برمجيات التجسس الخبيثة الذي تم كشفه في وقت سابق، وإثباتُ دور النظام الإيراني في تصميمه واستثماره”. وبحسب ريك دلهاس، فإن النظام الإيراني يبذل مساعيه الآنَ أيضاً من أجل التسلل إلى الهواتف النقّالة للمشتركين على الأقل في كلٍّ من هولندا وألمانيا والسويد والهند.

جدير بالإشارة أن هذه ليست المرة الأولى التي يتم فيها كشفُ استغلال النظام الإيراني للخدمات السيبرانية في هولندا بغرض الاختراق والتجسس على معارضيه، وفي الأشهر الأخيرة من العام المنصرم أيضاً اكتشفت شركةُ بيت ديفندر خوادمَ في هولندا كان قد تـمّ إطلاقُها بهدف وصول النظام الإيراني غير القانوني إلى معارضيه. ناهيكم عن أن ذلك الخادم أيضاً كان مرتبطاً بمركز بيانات (Evoswitch AMS1 Amsterdam) في مدينة هارلم الهولندية، وتَدعمه الشركة الأمريكية (Monstermeg) .

وفي حوار مع  البرنامج الإذاعي “آرغوس” قال “كوين كوب” صاحبُ شركة (Monstermeg)  إنّ شركته رغم استعمالها لماسحَين ضوئيَّين (السكنر) في رصد الخوادم المستأجرة إلا أنها لم تكن تَعرف شيئاً عن وجود خادمٍ كهذا، لكنْ بعد اطّلاعها على موضوع الخادم الملوَّث قامت الشركة بالعثور عليه وإخراجه عن نطاق الخدمة.

وفي هذا السياق، نشرت شركة بيت ديفندر للأمن تقريراً يُفيد أن البرمجيات الخبيثة الأخيرة التي يَتوسّل بها النظام الإيراني والمستعملة بشكل رئيسي في التجسس على المعارضين السياسيين تَحمِل اسـمَي  (Tonnerre)و(Foudre)، وتَعود إلى مجموعة اختراقية تُعرَف بــ “التهديد المتطور المستمر” (APT). وهذه المجموعة الاختراقية التي يُطلَق عليها في الصناعة السيبرانية (Advanced Persistent Threat)، إشارةٌ إلى تهديدات دائمة عادةً ما يُحدِثها المجرمون السيبرانيون المدعومون من قِبَل الحكومات؛ فمجموعة “APT34” على سبيل المثال، وهي من بين مجموعات “APT” التي تَقوم بأنشطة إجرامية يَدعمها ويساندها النظام الإيراني.

وجاء في التقارير أن الحرس الثوري الإيراني يَستعمل الخوادم الهولندية للتجسس على العرب الإيرانيين المعارضين الذين يَتهمهم النظام الإيراني بالانفصال والقيام بأعمال إرهابية. ومع هذا، فإنّ البرمجيات الخبيثة أوقعت بعض الضحايا في الفخّ في كل من السويد وأمريكا وهولندا، وكذلك في بقية دول أوروبا والعراق.

وكانت (Tonnerre) و(Foudre) وكلتاهما من البرمجيات الخبيثة التي استعملت الخوادمَ الهولندية في أدائها التخريبي. وفي 8 فبراير/شباط من العام الجاري، قام القسم التحقيقي في الشركة الإسرائيلية “جك بوينت” (Check Point) ، وهي من الشركات الإسرائيلية المهمة في الصناعة السيبرانية، بالتعاون مع قسم سفبريج للدراسات (Safebreach)، بنشر تقرير خاص واضعاً بين أيدي الجميع الوثائقَ المرتبطة بتعلق هذا البرنامج الخبيث بالنظام الإيراني.

كما يَقول هذا التقرير إنّ أجهزة النظام الإيراني الأمنية اكتسبت في السنوات الأخيرة تجربة كثيرة ووسّعت من نطاق معرفتها ومهاراتها، وبالتالي فهي تستعمل أساليبَ جديدةً في الجرائم السيبرانية، الأمر الذي يُعقِّد أداءها أكثر من السابق.

والأجهزة الأمنية التي لها يدٌ في جرائم النظام الإيراني السيبرانية شاركتْ على الأقل في عشرة مخطَّطات اختصاصية من خلال تركيزها على اثنتي عشرةَ دولة حول العالم. ومن خلال استعمال تلك الأجهزة لبرمجيات التجسس الخبيثة، والمواقع الإلكترونية الملوَّثة بالبرنامج الخبيث والاختراق أو تقديم نسخة مزيَّفة عن البرمجيات الخبيثة لتطبيقات الرسائل، وإرسال الروابط الملوَّثة إلى قنوات التلغرام وشبكات التواصل الاجتماعي، وإحداث برامج إستراتيجية مزيَّفة وجاسوسية وعرْضها على سوق مبيعات غوغل، مثل النسخة المزيَّفة لتطبيق “مطعم محسن” في طهران، وتطبيق “وال بيبر” التجسسي، والتطبيق المزيَّف الخاص بأمن الهواتف النقّالة، إذ قامت بسرقة معلومات الهواتف النقّالة والحواسيب الشخصية لأكثر من 1200 مواطن إيراني. ويُحذِّر هذا التقرير من أن الحملات السيبرانية المدعومة إيرانيّاً كانت مستمرة على الأقل في أربعة مخطَّطات تزامناً مع انتشار التقرير في (فبراير 2021)، وأن آخر تلك الحالات تَعود إلى ثلاثة أشهر ماضية.

قد يعجبك ايضا

يستخدم هذا الموقع ملفات تعريف الارتباط لتحسين تجربتك. سنفترض أنك موافق على ذلك ، ولكن يمكنك إلغاء الاشتراك إذا كنت ترغب في ذلك. قبول قراءة المزيد