مقاطع فيديو تفضح قرصنة إيران

آي بي إم: التسريبات كشفت تفاصيل الهجمات على أفراد البحرية الأمريكية 40 جيجابايت ضبطت عن طريق الخطأ تظهر أسرار التهديدات الأمنية القرصنة الإيرانية ترصدت الحملة الانتخابية للرئيس الأمريكي ترمب عملية «القطط الساحرة» حاولت اقتحام مواقع وحسابات أمريكية حساسة مجموعة الفوسفور استهدفت 241 حسابا لعملاء مايكروسوفت خلال شهرين
آي بي إم: التسريبات كشفت تفاصيل الهجمات على أفراد البحرية الأمريكية 40 جيجابايت ضبطت عن طريق الخطأ تظهر أسرار التهديدات الأمنية القرصنة الإيرانية ترصدت الحملة الانتخابية للرئيس الأمريكي ترمب عملية «القطط الساحرة» حاولت اقتحام مواقع وحسابات أمريكية حساسة مجموعة الفوسفور استهدفت 241 حسابا لعملاء مايكروسوفت خلال شهرين

الاثنين - 20 يوليو 2020

Mon - 20 Jul 2020

فضحت مقاطع فيديو مسربة خططا إيرانية لتنفيذ عمليات إرهابية ضد أفراد البحرية الأمريكية ووزارة الخارجية وجهات عدة.

وأكد موقع «بانك إنفو سيكيورتي الأمني أن مجموعة من القراصنة الإيرانيين تركت عن طريق الخطأ أكثر من 40 جيجابايت من مقاطع الفيديو التدريبية والمواد الأخرى المكشوفة على الإنترنت، وفقا للباحثين في منصة IBM X-Force المهتمة بالبحث عن التهديدات الأمنية ومكافحة الإرهاب.

وأشار إلى أن المنصة نجحت في الوصول إلى المواد السرية، عبر خادم غير محمي، وتضمنت مقاطع فيديو تشرح بالتفصيل الهجمات التي تستهدف أفراد البحرية الأمريكية ووزارة الخارجية، وترصدت الحملة الانتخابية للرئيس الأمريكي دونالد ترمب.

تدريب المتسللين

وتظهر مقاطع الفيديو، التي يبلغ طول بعضها 5 ساعات، تسجيلات تتضمن أنشطة مجموعة من القراصنة يبدو أنه تم إجراؤها للمساعدة في تدريب المتسللين المحتملين الآخرين والمجندين، وتكشف كيفية استخدام المجموعة للتقنيات، مثل رسائل البريد الالكتروني التصيدية ضد أهدافها، وفقا لشركة أي بي إم.

وينتمي الخادم ومقاطع الفيديو إلى مجموعة اختراق تطلق عليها «أي بي إم اسم ITG18»، ويسميها باحثون أمنيون آخرون «القطط الساحرة» و»الفسفور»، وتعد المجموعة واحدة من أكبر مجموعات القرصنة التي ترعاها الحكومة الإيرانية، وتم ربطها بعمليات مختلفة تستهدف الولايات المتحدة وغيرها.

سرقة المعلومات

ويقول ريتشارد إيمرسون، محلل التهديدات الالكترونية في شركة آي بي إم: «ما وجدناه في الواقع مثير للاهتمام، فهناك تعقيدات استخدمتها ITG18 لتنفيذ عملياتها»، مضيفا «إن استخدام أدوات مشروعة وجاهزة لجمع بيانات الضحايا واستخراجها، يظهر حقا أن الجهات الفاعلة في التهديد الإيراني لا تحتاج إلى أن تكون متطورة لتكون فعالة، الشيء الآخر الذي استخلصناه من هذا البحث هو السرعة الهائلة التي عملت الجهات الفاعلة في ITG18، في بعض الحالات كان القراصنة يدخلون ويخرجون من حسابات البريد الالكتروني بعد سرقة المعلومات في غضون دقيقتين، وهذا يوضح أن هناك إجراءات وحركات ربما قاموا بها عدة مرات من قبل».

وبعد اكتشاف مقاطع الفيديو ثم تحليلها في مايو، اتصلت أي بي إم بشتى وكالات الحكومة الفيدرالية الأمريكية وشاركت النتائج معها، كما يقول إيمرسون، وبعد حوالي أسبوع من الاكتشاف، أغلقت مجموعة القرصنة الوصول إلى الخادم، وفقا لشركة أي بي إم.

خدعة المتسللين

في مقاطع الفيديو التي شاهدها باحثو شركة أي بي إم، يبدو أن المتسللين الإيرانيين استهدفوا بحارا في البحرية الأمريكية، وشخصا مزدوج الجنسية، ومسؤولين في وزارة الخارجية الأمريكية، وضابطا في البحرية اليونانية.. وفقا للتقرير.

وعلى الرغم من عدم نجاح كل عملية وتحقيق أهدافها، إلا أن الباحثين لاحظوا أنه في بعض الحالات، كان المتسللون قادرين على الوصول إلى حسابات البريد الالكتروني ووسائل التواصل الاجتماعي واستخدام بياناتهم للاستهداف الدقيق.

سجل المهاجمون أنشطة القرصنة باستخدام تطبيق لتسجيل الشاشة يسمى «باندي كام»، ووفقا للباحثين، تم استخدام مقاطع الفيديو لتدريب المجندين الجدد.

عمليات تصيد

اكتشف باحثو أي بي إم، 5 مقاطع فيديو بعناوين مثل «AOL.avi» و «Aol Contact.avi» و «Gmail.avi» و «Yahoo.avi» و «Hotmail.avi»، وأشاروا إلى أن مقاطع الفيديو أظهرت كيف تستخدم مجموعة القرصنة بيانات اعتماد مسروقة من مختلف وسائل التواصل الاجتماعي، ومنصات البريد الالكتروني لتوضيح كيفية تجنيد مجموعات البيانات من هذه الحسابات.

وفي مقطع فيديو آخر، يمكن رؤية مهاجم يشارك في محاولة تصيد فاشلة تستهدف حسابات البريد الالكتروني لشخص مزدوج الجنسية (إيراني أمريكي)، واثنين من مسؤولي وزارة الخارجية الأمريكية، وحسابا واحدا مرتبطا بالسفارة الافتراضية الأمريكية في إيران، وفقا للتقرير .

لاحظ باحثو شركة آي بي إم أن «التسجيل يظهر على ما يبدو رسائل البريد الالكتروني المرتدة في صندوق بريد المشغل، ويبلغهم أن رسائل البريد الالكتروني الاحتيالية المحتملة لم تتم، على الرغم من عدم التعريف بالموضوع».

دخول مشبوه

كشف الباحثون أيضا عن 3 مقاطع فيديو نجح فيها قراصنة ITG18 في اختراق الحسابات المرتبطة بضباط البحرية الأمريكية واليونانية، وفقا للتقرير، حيث تظهر المقاطع تشغيل الفيديوهات التدريبية التي تتضمن الحسابات الشخصية، وبمجرد الحصول على حق الوصول الناجح إلى حسابات الضحايا، حذف عامل ITG18 الإشعارات المرسلة إلى الحسابات المخترقة، مما يشير إلى عمليات تسجيل دخول مشبوهة دون تنبه الضحايا.

شرع المهاجمون في تصدير جهات اتصال الحساب والصور والمستندات من مواقع تخزين سحابية مختلفة، مثل قوقل درايف، من حسابات البريد الالكتروني المخترقة.

وحصل المهاجمون باستخدام الرسائل الالكترونية المخترقة على معلومات تافهة أخرى مثل جدول توصيل البيتزا، والمساعدات المالية للطلاب، والمرافق البلدية، ومنتجات الأطفال، وألعاب الفيديو من أجل إنشاء أهداف أكثر دقة للضحية، كما يشير التقرير، ولاحظ باحثو أي ب ي إم أن بعض مقاطع الفيديو الأخرى أظهرت أن المهاجمين تجاوزوا باحترافية المصادقة الثنائية.

قرصنة الفوسفور

وذكرت صحيفة نيويورك تايمز نقلا عن مصدرين مجهولين على دراية بالهجوم، أن حساب الحملة الذي استهدفته مجموعة القرصنة ينتمي إلى حملة الرئيس دونالد ترمب، فيما أكد توم بيرت، نائب رئيس الشركة لأمن العملاء أن مجموعة القرصنة، التي تطلق عليها مايكروسوفت اسم «الفوسفور»، حاولت مهاجمة 241 حساب بريد الكتروني لعملاء الشركة بين أغسطس وسبتمبر.

وتمكنت المجموعة من اختراق أربعة فقط من تلك الحسابات المستهدفة، ولا ينتمي أي منها إلى المسؤولين الأمريكيين أو الحملة الرئاسية التي لم يتم تسميتها، كما تقول المدونة.

الأهداف المحتملة

كان الهدف الواضح للحملة جمع معلومات عن الضحايا، بما في ذلك أكبر عدد ممكن من التفاصيل الشخصية، حسبما قال بيرت «على الرغم من أن الحملة لم تكن معقدة من الناحية الفنية، فقد استثمر المتسللون قدرا كبيرا من الوقت في محاولة تخمين كلمات المرور، وبيانات الاعتماد الأخرى للضحايا الذين كانوا يستهدفونهم».

لم تكشف مايكروسوفت عن أي تفاصيل فنية لحملة القرصنة بخلاف ملاحظة مركز استخبارات التهديد» التابع للشركة، حيث وجد قراصنة الفسفور أكثر من 2700 محاولة لتحديد حسابات البريد الالكتروني لعملاء مايكروسوفت على مدار 30 يوما، ولا يصف منشور المدونة كيف ربطت مايكروسوفت المجموعة بإيران.

يقول متحدث باسم مايكروسوفت لن تقدم معلومات إضافية بخلاف ما هو موجود في منشور المدونة، وقامت الشركة بإبلاغ عملائها المتأثرين بحملة القرصنة التي ربما تكون حساباتهم قد تعرضت للاختراق، بأنه يمكن للعملاء التحقق من النشاط داخل حسابات البريد الالكتروني الخاصة بهم من خلال علامة التبويب «نشاط تسجيل الدخول لأمان الحساب»، والتي توفر معلومات حول الأجهزة وعناوين IP التي دخلت إلى الحساب.

وأوصت مايكروسوفت بتغيير كلمات المرور وتمكين المصادقة الثنائية للمساعدة في تأمين حسابات البريد الالكتروني بشكل أفضل.

استهداف ترمب

في يونيو الماضي، وجد باحثون في محرك البحث قوقل، أن نفس مجموعة القرصنة الإيرانية، التي يسمونها APT35، استهدفت الحملة الرئاسية للرئيس الأمريكي دونالد ترمب دون جدوى، كما وجدوا أن مجموعة قرصنة مرتبطة بالحكومة الصينية حاولت استهداف حملة المرشح الديمقراطي للرئاسة جو بايدن في نفس الوقت تقريبا.

وأكدت مايكروسوفت في مدونتها أنه على مدار الشهرين الماضيين، استهدفت مجموعة اختراق مرتبطة بإيران حسابات بريد الكتروني مرتبطة بحملة مرشح واحد للرئاسة الأمريكية عام 2020 ومسؤولين حكوميين أمريكيين حاليين وسابقين وصحفيين يغطون السياسة العالمية وإيرانيين بارزين يعيشون خارج إيران.

ظلت شركة مايكروسوفت تراقب مجموعة الفوسفور منذ عدة سنوات، وعلى الرغم من عدم معرفة الكثير عن المجموعة، لكن يبدو أنها استهدفت الصحفيين والناشطين في جميع أنحاء الشرق الأوسط منذ عام 2013 على الأقل.

في كثير من الحالات، استخدمت المجموعة حملات التصيد بالرمح، وتقنيات الهندسة الاجتماعية، بالإضافة إلى حسابات الوسائط الاجتماعية المزيفة كخطوات نحو إصابة الأجهزة بالبرامج الضارة.

وفي بداية العام الحالي، حصلت مايكروسوفت على حكم قضائي يمنح الشركة السيطرة على 99 نطاقا استخدمها الفوسفور لجذب الأهداف، وفي كثير من الحالات، استخدمت مواقع الويب هذه أسماء علامات تجارية مشابهة لعلامات مايكروسوفت التجارية.

وفي الأشهر الماضية، حذرت مايكروسوفت من زيادة النشاط السيبراني قبل الانتخابات الرئاسية الأمريكية، ونبهت شركة البرمجيات 10 آلاف من عملائها من الشركات والمستهلكين من أن مجموعات الاختراق ربما استهدفت حساباتهم، وبالإضافة إلى إيران، وصفت مايكروسوفت روسيا وكوريا الشمالية بأن الدولتين الأخريين تستهدفان مستخدميها.

حكم قضائي البحثعن معلومات

يقول كريس بيرسون، الرئيس التنفيذي لشركة الأمن السيبراني «تحاول الدول والجهات الفاعلة التحقق باستمرار من حسابات البريد الالكتروني ومستودعات الوصول المستندة إلى السحابة المرتبطة بالأفراد البارزين، بما في ذلك أولئك المرتبطون بالحملة السياسية وقطاعات حساسة أخرى».

ويشير التقرير الأخير لمايكروسوفت إلى استمرار الدول والجهات المستهدفة للتهديد، على جمع المعلومات الاستراتيجية والمعلومات وحتى الاتصالات اليومية بالبريد الالكتروني، ويمكن الوصول إلى هذه الحملات والشركات يمكن تحقيقه بسهولة من خلال التصيد وغيرها من نواقل الهجوم المستهدفة التي تؤدي في النهاية إلى وصول غير مقيد إلى هذه الحسابات».

وتزايدت القرصنة في الفترة الأخيرة مع تصاعد التوترات بين إيران والولايات المتحدة في الأشهر الأخيرة، والعمليات الإرهابية التي تنفذها إيران في المنطقة.

الأكثر قراءة