تقرير يفك خيوط حملة تجسس إيرانية واسعة.. “انتحال وتزوير وبرمجيات خبيثة”
كشف تقرير لشركة “مانديانت” لأمن المعلومات، نشرته اليوم الخميس، عن شن مجموعة “APT42” الإيرانية المدعومة من الدولة حملة تجسس إلكتروني واسعة ومتطورة تستهدف منظمات غير حكومية وجهات إعلامية وأكاديمية ونشطاء في الغرب والشرق الأوسط.
– حملة تجسس إيرانية واسعة
ووفقاً للتقرير الذي فك خيوط حملة تجسس إيرانية واسعة، فإن المجموعة تقوم بانتحال شخصيات صحافيين ومنظمي فعاليات لبناء الثقة مع ضحاياهم عبر مراسلات مستمرة، قبل إرسالها دعوات لمؤتمرات أو وثائق موثوقة.
ورصد التقرير استخدام الجماعة لبرمجيات خبيثة مخصصة تُسمى”نايس كيرل” و”تيم كات”، والتي يتم إرسالها إلى الضحايا عن طريق رسائل تصيُّد إلكتروني موجهة بشكل دقيق، بهدف منح المهاجمين نقطة دخول أولية إلى أنظمة الضحايا.
– تعمل لصالح الحرس الثوري
وبحسب التقرير الذي نشرته مدونة تابعة لشركة “غوغل”، فإن المجموعة التي تعمل لصالح منظمة استخبارات الحرس الثوري الإيراني، تلجأ إلى خدع هندسة اجتماعية متطورة من جمع بيانات الاعتماد واستخدامها للوصول الأولي إلى البيئات السحابية “Cloud environments” لأهدافها.
وتمكن هذه الخدع الجماعة من سرقة بيانات اعتماد وتسجيل دخول واستخدامها للوصول إلى البيئات السحابية، لتقوم لاحقاً بتسريب بيانات ذات أهمية استراتيجية لإيران بشكل خفي.
ويمكن للمهاجمين استغلال هذا الوصول إما كواجهة لإدخال الأوامر وتنفيذها على الأنظمة المخترقة، أو كنقطة انطلاق لزرع المزيد من البرمجيات الضارة، داخل الشبكة المستهدفة.
– أهداف ومهام مجموعة “APT42”
توصل التقرير إلى أن أهداف ومهام مجموعة “APT42” تتوافق مع انتمائها لمنظمة استخبارات الحرس الثوري، وهي جزء من جهاز الاستخبارات الإيراني المسؤول عن مراقبة ومنع التهديدات الخارجية والاضطرابات الداخلية.
كما أن أنشطة الجماعة تتداخل مع جهات إلكترونية أخرى سبق الإبلاغ عنها، مثل مجموعات “كالانك” و”شارمين كيتن”، و”مينت ساندسنتروم”، وغيرها.
ويوضح التقرير أيضاً أن عمليات سرقة بيانات الاعتماد الواسعة النطاق التي تشتهر بها APT42″ تتم عادة عبر 3 مراحل أساسية، هي: استهداف بيانات اعتماد الضحايا عبر رسائل إلكترونية احتيالية موجهة، واستخدام بنى تحتية ونطاقات وأنماط متخفية للتمويه، وطرق أخرى من أجل الإيقاع بضحاياها.
وينقسم عمل المجموعة إلى 3 مجموعات مصغرة “أ” و”ب” و”ج”، تقوم الأولى بانتحال شخصية إعلامية ومنظمات غير ربحية لخداع ضحاياها وكسب ثقتهم.
بينما تعمد الثانية إلى انتحال هوية خدمات ومواقع إلكترونية موثوقة ومعروفة. والمجموعة الأخير تقوم بانتحال صفة “خادم البريد” وخدمات اختصار الروابط، وأيضا ادعاء تقديم خدمات منظمات غير حكومية.
اقرأ أيضا:
)) شاهد|| الأقمار الصناعية تكشف ما يفعله الحوثيون تحت الأرض.. “يختفون عن الأنظار”
