تجسُّس قراصنة الحرس الثوري الإيراني على عاملي الصناعات الدفاعية والجوية والفضائية الأمريكية

أحمد باطبي – إيران وير 

أَقدمَ القراصنة التابعون للحرس الثوري الإيراني عبر حملة افتراضية بدأت من 2019 وما تزال مستمرة حتى الآن على القرصنة والتجسس على أمريكيينَ يَعملون مقاولين في الصناعات الدفاعية والجوية والفضائية الأمريكية.

وبحسب التحليل الفني لشركة الأمن السيبراني المعلوماتي “بروفت بوينت” (Proofpoint) فإن مجموعة القرصنة “تورتيسشل” (Tortoiseshell) وراء هذه الحملات، وهي مجموعة تتلقى أوامرها من الحرس الثوري الإيراني، ويُصنِّفها خبراءُ شركة بروف بوينت ضمن المجموعات المسمّاة “التهديد المتطور المستمر 56” (APT56). 

جدير بالذكر أن التهديد المتطور المستمر (Advanced Persistent Threat) عبارة في حقل الأمن السيبراني تُشير إلى التهديدات السيبرانية المتواصلة و الممنهجة المدعومة من الحكومات، وهدفها التجسس أو إحداث الخلل في الآلية الطبيعية للحكومات العدوة أو المنافسة أو معارضي الدولة والهيئات والمؤسسات المؤثرة والشركات التجارية والمراكز العلمية، وعادة ما تُعرَف هذه المجموعات بأحرف الاختصار (APT) ويتم تحديد ارتباطها بالحكومات من خلال إضافة أعداد إلى هذه الأحرف الثلاثة.

تم اكتشاف مجموعة تورتيسشل المقرصِنة في العام 2018 إثر هجومها على أهداف في الشرق الأوسط، وتُحاول إحدى الصفحات المزيَّفة لهذه المجموعة على الفيسبوك منذ 2019 من خلال الهندسة الاجتماعية خداعَ العاملين في الصناعات الدفاعية والجوية والفضائية الأمريكية وبالتالي التسلل إلى أجهزة حواسيبهم. 

تم إحداث هذه الصفحة التي تُزيِّنها صور لامرأة جميلة وجذابة تُدعى “مارسيلا فلوريس” (Marcella Flores) كانت تتظاهر بأنها مدرِّبة أيروبيك من مدينة ليفربول البريطانية، وأنها ترغب في إقامة الصلة مع العاملين في الصناعات الآنفةِ الذكر، وقد قام قراصنة تورتيسشل بدءاً من أوائل شهر يونيو/حزيران 2021 باستعمال هذه الصفحة المزيَّفة وإرسال برمجيات خبيثة إلى المخدوعين، وقد اختار خبراء بروف بوينت اسم “لمبو” (LEMPO) لهذه البرمجيات الضارّة، وبحسب هؤلاء الخبراء فإن برمجيات لمبو الخبيثة نسخة من برمجيات أخرى اسـمُها “ليدرك” (Liderc) تـمّ اكتشافها في العام 2019، وأُضيفت إلى البرامج التي يستعملها قراصنة مرتبطون بنظام الجمهورية الإيرانية، ومنذ 30 مايو/أيار 2018، عندما ظَهرت أول صورة لمارسيلا فلوريس على هذه الصفحة المزيَّفة إلى 15 يونيو 2021 حين اكتشفها الفيسبوك وأغلق حسابها، بقي القراصنة يَعملون بهذه الهوية على الهندسة الاجتماعية ومخادعة أهدافهم وتضليلهم.

تقول بروف بوينت في تقريرها إن قراصنة APT56 عادة ما يَقومون بعد افتضاح أمر هذه الصفحات المزيفة بتغيير اسم المستخدم وتحويلها إلى صفحات إخبارية، وبالتالي إخفاء الهوية المفتضَح أمرُها عن الأنظار، وتشير السوابق الماضية إلى أن القراصنة حاولوا في صفحة مارسيلا فلوريس وحدها ثمانية أشهر على الأقل كسب ثقة ضحاياهم والتسلل إلى حواسيبهم من خلال إنتاج المضامين وإرسال الإيميلات ومقاطع الفيديو وملفات أخرى مختلفة، أحد الملفات التي أرسلها القراصنة باسم مارسيلا فلوريس كان ملفاً مُفَيْرَساً بصيغة “إكسل” يُرسَل إلى الضحايا بوصفه استطلاعاً عن النظام الغذائي. 

واستتباعاً للحوارات السابقة للقراصنة مع ضحاياهم تَرِد أسئلة في هذا الملف لا بدّ من الإجابة عنها، لكن قبل بدئهم بالإجابة كانت شفرات “ماكرو” (Macro) الموضوعة في الملف والفعالة تَطلب من الضحية السماح لإيجاد بعض التعديلات في الإعدادات المرتبطة بحاسوبه، وعندما يوافق الضحية على إجراء هذه التعديلات يتم تطبيق شفرات “ماكرو سكريبت فيجوال بيسيك” (VBS) أخرى، مَهمّتُها تحميل خفيّ لبرمجيات لمبو الخبيث من حساب الجيميل للقراصنة ونصبها على حاسواب الضحية واتصاله بموقع “showip.net” من خلال استعمال “HTTP POST” للتعرُّف إلى المعرِّف الرقمي (IP) للكمبيوتر.

إن برمجيات لمبو الخبيثة في حقيقة الأمر هي نفسها سكريبت فيجوال بيسيك، وبإمكانها من خلال استثمار أوامر “الويندوز” الداخلية والوصول إلى معلومات مثيلَ تاريخ الحاسوب وزمانه، اسم المستخدم، معلومات نظام الحاسوب، بيانات المنتجات المرتبطة بمضادات الفيروس، قائمة البرامج المنصبة، قوانين التسويق الفيروسي، قائمة العمليات العاملة، بروتوكول اكتشاف تلقائي للخادم الوكيل للويب، نطاق المجموعات، حالات المشاركة في شبكة الإنترنت، الذاكرة الـمَخفية، وكثير من المعلومات الأخرى،

كما تَتسنى لهذا البرنامج الخبيث دراسة اتصال كمبيوتر الضحية بـ “ياندكس” (Yandex) و“جوجل” (Google) و“آركسيف” (Arxiv) و“ميجا” (Mega) و“ميل جيمب” (Mailchimp) و“غيتهوب” (Github) و“ياهو” (Yahoo)؛ وذلك عبر “Ping” أو “curl”، وكذلك يمكنه من خلال أمر “findstr” استخراج المعلومات المرتبطة باسم المستخدم وكلمة المرور والـ “VPN” من محرِّر سجلّ نظام الويندوز (Windows Registry).

يقوم برنامج لمبو الخبيث بحفظ جميع المعلومات في ملف يُسمّى “Logs.txt” ويضغطه بصيغة “ZIP”،  وفي نهاية الأمر يُرسله إلى البريد الإلكتروني للقراصنة عبر “«Microsoft’s Collaboration Data Objects” (CDO) و“SMTPS” و“بورت 465”.

تركّز عمل تورتيسشل في هذه الحملات على مقاولين كانوا على ارتباط مع دول الشرق الأوسط في مجال الصناعات الدفاعية والجوية والفضائية، وتُشير دراسة سوابق الحملات إلى أنّ هناك (فضلاً عن مجموعة تورتيسشل) مجموعةَ “إيمبريال كيت” (Imperial Kitt) التابعة للجمهورية الإيرانية التي تُبدي رغبة خاصة في هذا النوع من الحملات السيبرانية.

وفي مقالة نشره موقع فيسبوك في شهر يوليو/تموز 2021 أعلن عن إغلاق أكثر من 200 حساب مزيَّف فتحها قراصنة تابعون للنظام الإيراني، وفي وقت ذكر فيه فيسبوك اسم مجموعة تورتيسشل فإنه قال أيضاً إن الصفحات المغلَقة كانت إحدى إمكانيات الأونلاين التي تستثمرها هذه المجموعة كهندسة اجتماعية وتقوم تحت أسماء عاملي الشركات الدفاعية والجوية والفضائية والمنظمات المدنية والأطباء والإعلاميين وغير هؤلاء بإرسال ملفات ملوَّثة بالفيروس إلى الضحايا أو استدراجهم إلى خارج منصات التواصل الاجتماعي لتنفيذ تقنيات قرصنتهم عليهم بعيداً عن أعين الخبراء الفنيين في الفيسبوك،

كذلك أشار الفيسبوك إلى قيام مجموعة تورتيسشل بــ“سرقة أوراق الاعتماد” (credential theft)، وقال إن القراصنة حاولوا من خلال إطلاق مواقع إنترنتية مزيَّفة خداعَ المواطنين وسرقة معلوماتهم الشخصية، ومثالاً على ذلك كان القراصنة قد أطلقوا موقعاً مزيفاً للبحث عن العمل مشابهاً لموقع البحث عن العمل الخاص بوزارة العمل الأمريكية، ويقومون بإرشاد ضحاياهم والسير بهم إلى هذا الموقع. 

وكان القراصنة يَقومون بإخفاء عنوان هذا الموقع المزيف عبر خدمة تقصير الروابط حتى يَغدو تحديد الـمَصدر والوجهة على الضحية أثناء عملية انتقاله إلى هذا الموقع صعباً أو مستحيلاً.

تشير دراسات الفيسبوك إلى أن القراصنة، ناهيك عن استعمالهم الواسع لمنتوجات “مايكروسوفت” والشفرات التخريبيّة المرتبطة به، قاموا بمهارة تامة بجعل البرمجيات الجاسوسية الخبيثة مطابقةً لحاجاتهم أو قاموا بتوسيعها بطريقة تُمكِّن من إضافة جميع المعلومات الضرورية لعمليات الاختراق والتغلغل، مثيل التعرُّف إلى الهدف، جمع المعلومات، التسلل، الـحَوسبة، الاتصال بين القيادة والسيطرة، التسجيل، وغير ذلك من الخصائص، ومن بين البرمجيات الخبيثة المتطورة برنامج “سيسكيت” (Syskit) الذي كانت مجموعة تورتيسشل تَستخدمه في اختراق أنظمة تشغيل ويندوز الحواسيب.

ومن القضايا التي تَسترعي الانتباه في مقالة فيسبوك تسمية شركة “محك رايان أفزار” (MRA) في طهران وارتباط مجموعة تورتيسشل مع هذه الشركة، وقال الفيسبوك إن شركة محك رايان أفزار من جملة الشركات التابعة للحرس الثوري الإيراني التي عادةً ما تُعهَد إليها مشاريع “الاستعانة بمصادر خارجية في تطوير البرمجيات الخبيثة” (Outsourcing malware development). 

وفي وقت سابق تم إدراج بعض أعضاء شركة محك رايان أفزار والقائمين عليها على لائحة العقوبات الأمريكية بسبب أنشطتهم السيبرانية التخريبية.

اشترك في نشرتنا الإخبارية
اشترك هنا للحصول على آخر الأخبار والتحديثات والعروض الخاصة التي يتم تسليمها مباشرة إلى صندوق الوارد الخاص بك.
يمكنك إلغاء الاشتراك في أي وقت
قد يعجبك ايضا

يستخدم هذا الموقع ملفات تعريف الارتباط لتحسين تجربتك. سنفترض أنك موافق على ذلك ، ولكن يمكنك إلغاء الاشتراك إذا كنت ترغب في ذلك. قبول قراءة المزيد