هجوم سيبراني جديد لمخترقين إيرانيين على باحثين أمريكيين وإسرائيليين

أحمد باطبي- إيران وير

أعلنت مجموعة الأمن السيبراني “بروف بوينت” أن قراصنة من المرجح أن يكونوا تابعين للحكومة الإيرانية، حاولوا سرقة بيانات عدد من الباحثين الأمريكيين والإسرائيليين عبر شن هجمات سيبرانية على ما لا يقل عن 25 باحثاً أمريكياً وإسرائيلياً خلال الأشهر الأخيرة، وأن هؤلاء الباحثين متخصصون في مجالات الطب.

وأعلنت مجموعة الأمن السيبراني “بروف بوينت” يوم الأربعاء 31 مارس 2021 في تقرير مفصل نتائج الأبحاث التي أجرتها حول هذا الهجوم، وذكرت أن الهجمات التي تم شنها في شهر ديسمبر المنصرم، كانت من نوع “التصيد الاحتيالي” (Phishing).

وبحسب هذا التقرير، استهدف المهاجمون كبار الخبراء في مجال علم الوراثة والأعصاب وعلم الأورام، أو من يحققون بشأن تفشي فيروس كورونا الفتاك.

يُطلق اسم “التصيد الاحتيالي” (Phishing) على نوع من الهجوم السيبراني الذي يحاول فيه المهاجم الوصول إلى نظام الحاسب الآلي والهاتف المحمول والبريد الإلكتروني والأجهزة الأخرى وكافة مخازن المعلومات لسرقة بياناتها عبر خداع الضحية وتشجيعه على استلام ملف مصاب أو تشغيل رابط مصاب.

في أغلب أشكال هذا الهجوم شيوعًا، يقوم المهاجم أو “المتصيد” بإنشاء صفحة زائفة على غرار صفحات خدمات البريد الإلكتروني (مثل Gmail، وYahoo، وMicrosoft) أو مواقع التواصل الاجتماعي أو مواقع الشراء الافتراضي، ويشجع الضحية على إدخال اسم المستخدم وكلمة المرور أو بياناته البنكية. وعلى هذا النحو يصل المهاجم إلى هذه المعلومات، ويقوم بسرقتها.

في نوع آخر من التصيد الاحتيالي، يدفع المهاجم الضحية إلى النقر فوق رابط مصاب عبر خداعه، وبعد ذلك يتم تنشيط خيار الوصول عن بُعد، ويكون بإمكان المهاجم تحميل أكواد ضارة على حاسوب الضحية.

وحدد خبراء في مجموعة الأمن السيبراني “بروف بوينت” أن المسؤول عن الهجمات الأخيرة هي مجموعة TA453، وهي إحدى مجموعات القرصنة التابعة للجمهورية الإيرانية، بما في ذلك مجموعتا “الفسفور” (PHOSPHORUS) و”القط الصغير الجذاب” (CHARMING KITTEN).

وقد ورد في هذا التقرير، أنه بحسب تاريخ هاتين المجموعتين فإنهما تتبعان للحرس الثوري الإيراني، وقد استهدفتا العديد من المعارضين والأكاديميين والدبلوماسيين والصحفيين خلال السنوات الأخيرة.

وأطلق باحثو “بروف بوينت” على هذه المجموعة من الهجمات اسم “الدماء الملوثة” (BadBlood) نظرًا لهوية الضحايا وطبيعة عملهم في مجال الطب.

وفي ديسمبر 2020، بدأ هجوم القراصنة عبر حساب على Gmail وهو (zajfman.daniel [@] gmail.com). وكان القراصنة يرسلون للضحايا بريداً إلكترونياً بعنوان “لمحة سريعة عن الأسلحة النووية” عبر استخدام اسم عالم الفيزياء الإسرائيلي “دانيال زاجفمان”، وكان البريد الإلكتروني يحتوي على ملف PDF باسم (CBP-9075.pdf)، والنقر فوق هذا الملف ينقل الضحية إلى أحد النطاقات التابعة للقراصنة تحت اسم (1drv [.] Casa)، وهو ما كان ينتهي باختراق خدمة التخزين السحابي المقدمة لهم من شركة ميكروسوفت (Onedriv).

ويوجد على النطاق التابع للقراصنة صفحة مزيفة تشبه صفحة تسجيل دخول مستخدمي شركة ميكروسوفت التي تطلب من الضحايا إدخال اسم المستخدم وكلمة المرور لعرض محتويات ملف الـ PDF، وينتهي هذا الأمر بمشاهدة الملف المذكور، لكن في المقابل، يرصد القراصنة بكل سهولة مرحلة التحقق من هوية الضحية، ويسرقون بياناته.

تُظهر الأبحاث أن القراصنة يستخدمون الشهادات المسروقة للدخول إلى بريد الضحايا الإليكتروني.

وقد صرح باحثو مجموعة “بروف بوينت” بأنه لا يمكن تأكيد تبعية القراصنة للحرس الثوري الإيراني، لكن أسلوب مجموعة TA453 والمحتوى الذي يسرقه القراصنة هو ما يؤكد الظن بأنه تم شن كافة هذه الهجمات لدعم الحرس الثوري خلال تحقيق أهدافه.

ورصد قطاع فحص وتحليل التهديدات السيبرانية في “بروف بوينت” والمسؤول عن التحقيق بشأن النطاقات التي يستخدمها القراصنة العديد من النطاقات الأخرى التابعة لحملة التصيد الاحتيالي المعروفة باسم “الدماء الملوثة”، والتي تشير إلى أن القراصنة قرروا تعزيز حملتهم في خطة منظمة، واصطياد ضحايا آخرين بشكل متسلسل.

ورغم أن استهداف المتخصصين في مجال الطب ليس أمرًا تقليديًا لمجموعات القرصنة التابعة للحكومات، إلا أنه من المرجح أن يكون قد تم تكليف مجموعة TA453 بسرقة المعلومات الطبية من جميع أنحاء العالم، أو تم تجهيزها من قبل الحكومة لهذا الهدف.

وترجع أحدث هجمات التصيد الاحتيالي التي شنها قراصنة تابعون للحرس الثوري والتي تم الكشف عنها وتحليلها بشكل رسمي، إلى الأيام الأخيرة من العام الميلادي الماضي، وتحديدًا إلى أعياد الكريسماس وإجازات العام الجديد.

فقد حاولت مجموعة “القط الصغير الجذاب” قرصنة كثير من المعاهد، وكذلك اختراق عدد من الأساتذة الجامعيين والنشطاء من مختلف أنحاء العالم عبر هجمات التصيد الاحتيالي وهجمات الهندسة الاجتماعية.

في أكتوبر 2020، أعلنت شركة ميكروسوفت أن مجموعة الفوسفور حاولت قرصنة ضيوف المؤتمرات الدولية عبر شن هجمات التصيد الاحتيالي وتزييف الصفحات واستغلال الثغرات الأمنية لمنتجات هذه الشركة.

وذكرت شركة ميكروسوفت أنه تم تحديد وإحباط أكثر من 100 هجوم سيبراني شنته مجموعة الفسفور على أشخاص كان من المرجح مشاركتهم في “مؤتمر ميونيخ الأمني”.

ومؤتمر ميونيخ الأمني هو ملتقى دولي ينعقد كل عام في شهر فبراير بفندق “بايشر هوف” في مدينة ميونيخ الألمانية حول الأمن الدولي، وبحسب ما ذكرته شركة ميكروسوفت، كانت الهجمات التي تم إحباطها ضد أشخاص من المرجح مشاركتهم في قمة مجموعة الفكر T20، وهي إحدى المجموعات الهامة والابداعية التابعة لقمة مجموعة الـ20.

ومجموعة الفكر T20 هي إحدى بنات أفكار القمة العالمية لمجموعة العشرين، والمجموعة الرئيسية لها على مدار الستين عامًا الماضية.

أشارت شركة مايكروسوفت إلى أن هذه الهجمات منفصلة عن الهجمات الأخيرة المتعلقة بالانتخابات الأمريكية لعام 2020، وأن قراصنة مجموعة الفوسفور أرسلوا رسائل بريد إلكتروني مزيفة تحتوي على دعوات إلى هذين المؤتمرين الدوليين، موجهة إلى مسؤولين حكوميين سابقين وخبراء سياسيين وأكاديميين ورؤساء شركات، كان من المرجح دعوتهم لهذه المؤتمرات، وطرحوا العديد من الموضوعات مثل احتمالية عقد المؤتمرات افتراضيًا بسبب تفشي فيروس كورونا.

ويعتقد خبراء الأمن في شركة ميكروسوفت أن هدف القراصنة من إرسال الرسائل المزيفة يتمثل في جمع المعلومات، لكنهم في الوقت ذاته، نجحوا في تهديد سفراء سابقين وخبراء سياسيين يلعبون دوراً فعالاً في تشكيل السياسات الداخلية والدولية للبلدان المختلفة.

وأصدرت شركة ميكروسوفت تقريراً عام 2009، ذكرت فيه أن مجموعة الفسفور اخترقت أكثر من 700 حساب مملوك لشركة ميكروسوفت خلال 30 يوماً، منها ما لا يقل عن 241 حساباً لمستخدمين يعملون في حملات الانتخابات الرئاسية الأمريكية، وعدد من المسؤولين الحاليين والسابقين في الحكومة الأمريكية، وصحفيين يعملون في مجال السياسة الدولية، وكذلك إيرانيين بارزين مقيمين في الخارج.

وفي نفس العام، حددت شركة ميكروسوفت مجموعة من نطاقات الإنترنت التي يستخدمها القراصنة الإيرانيون في هجمات التصيد الاحتيالي. وتقدمت هذه الشركة بشكوى أمام القضاء الفيدرالي الأمريكي في العاصمة واشنطن، وتمكنت من الحصول على تصريح بوقف 99 نطاقاً منها.

قد يعجبك ايضا

يستخدم هذا الموقع ملفات تعريف الارتباط لتحسين تجربتك. سنفترض أنك موافق على ذلك ، ولكن يمكنك إلغاء الاشتراك إذا كنت ترغب في ذلك. قبول قراءة المزيد