القرصنة الإيرانية لحسابات العاملين في الجيش الأمريكي

أحمد باطبي-إيران وير

أعلن فيسبوك أنه أغلق زهاء 200 حساب كان القراصنة المرتبطين بالنظام الإيراني يستخدمونها لاختراق حسابات الجيش الأمريكي والشركات الدفاعية والجوفضائية.

ونشر فريق التحقيقات في شركة فيسبوك يوم الخميس، 15 يوليو/تموز، مقالة في هذا الخصوص معلناً فيها أن هذه المجموعة من الأنشطة غير المكتشَفة للقراصنة الإيرانيين هي جزء من مشروع تجسس سيبراني يَندرج ضمن أجندة النظام الإيراني منذ سنوات، وقال الفريق نفسه إن مشروع القراصنة التجسسي عملية مستمرة تتوفر على إمكانيات جيدة لتنفيذ هجمات سيبرانية، وكذلك تستخدم أساليبَ وتقنياتٍ ملائمةً لإخفاء هوية القراصنة وأدائهم.

 وجاء في هذه المقالة أن قراصنة النظام الإيراني يَفتحون صفحاتٍ مزيفةً ظواهرها معتبرة بأسماء موظفي الشركات الدفاعية والجوفضائية للاحتيال بها على ضحاياهم وتصيُّدهم، كان القراصنة يُمضون في بعض الأحيان عدة أشهر من الوقت لمخادعة أهدافهم والوصول إلى إقناعهم بالضغط على الروابط الإنترنتية الملوثة، وهكذا يقومون بنصب وتفعيل برمجيات التجسس الخبيثة على أنظمتهم الحاسوبية.

يُعرِّف خبراء الفيسبوك هؤلاء القراصنة باسم “تورتسشيل (Tortoiseshell)”، ويقول إن أنشطتهم كانت متمركزة في أكثرها في الشرق الأوسط لكن رقعة نطاقهم وصلت مؤخراً إلى بريطانيا والولايات المتحدة أيضاً، ويقوم أسلوبهم على التعرف إلى الهدف أولاً، ثم استعمال طرق تخريبية مثيلَ تلويث النظام الحاسوبي والشبكة من خلال البرمجيات التجسسية ضد الضحايا.

قام الفيسبوك بتحليل تكتيكات وتقنيات وإجراءات (Tactics, Techniques, and Procedures) (TTPs) القراصنة، وانتهى إلى القول إن هذه الشبكة الاجتماعية والخدمات المقدَّمة فيها كانت إحدى أهم أدوات المقرصنين بغية الإيقاع بالضحايا في فِـخاخهم، يُعتبر TTPS أحد الموضوعات الرئيسة في قضية الإرهاب السيبراني، وفيها يتم تعيين أهداف المجرمين السيبرانيين وأدواتهم واستراتيجيتهم وخصائصهم الأخرى من خلال تحليل تكتيكاتهم وتقنياتهم وإجراءاتهم التي يستعملونها.

تُشكّل “الهندسة الاجتماعية” (Social engineering) أحد أهم أساليب القراصنة في الفيسبوك، إذ يستعملون طريقة البث المباشر وطرائق الخداع المعقدة في الحصول على ثقة ضحاياهم، ثم يُجبرونهم على الضغط على الروابط الإنترنتية الملوثة وتحميل البرامج الإلكترونية الخبيثة، وحتى يبدو الأمر طبيعياً يَفتح القراصنة صفحة مستخدم بهوية مزيفة في عدة شبكات تواصل اجتماعي وبمعلومات مشتركة، ويتنكرون بأسماء موظفي الشركات الدفاعية والجوفضائية وأسماء المرتبطين بالمنظمات المدنية والأطباء والإعلاميين وغيرهم، ثم يَسيرون بالضحية إلى خارج الشبكة الاجتماعية ليرسلوا لها روابط ملوثة بعيداً عن أعين المراقبين الفنيين في الفيسبوك.

كما أن “سرقة أوراق الاعتماد” (credential theft) كانت من بين إجراءات هذه المجموعة، حيث قاموا بتصميم مجموعة من الصفحات والمواقع الإنترنتية المزيفة على النطاقات الإنترنتية بغيةَ الإيقاع بالأشخاص النشطين في الحقل الدفاعي والجوفضائي، على سبيل المثال استخدم القراصنة البنى التحتية المناسبة وأطلقوا موقعاً مزيفاً خاصاً بالبحث عن عمل قانوني في وزارة العمل الأمريكية. كانوا يُقصّرون غالبيةَ الروابط المرسلة عن طريق الإيميل من خلال استعمال خدمات خاصة بتقصير الروابط، والهدف من وراء ذلك جعْل عملية تحديد مصدر ووجهة الإيميلات صعبةً أو استحالة معرفتهما.

كانت “البرمجيات الخبيثة” (Malware) من الأدوات التي يستثمرها هذا الفريق من القراصنة، وفي هذا الصعيد صرّح الفيسبوك أن القراصنة جعلوا بعض البرمجيات الخبيثة شخصيةً بطريقة فريدة، مُضيفين إليها خدماتٍ تامةً نظير التعرُّف والسمات المتعلقة بإلحاق الضرر بالضحية.

كما استمرت هذه المجموعة في استخدام برنامجها الخبيث القديم المسمى “Syskit” لاختراق أنظمة الويندوز العاملة؛ ناهيك عن استعمالها استعمالاً واسعاً الصفحات التخريبية المرتبطة بــ “مايكروسوفت إكسل” في عملياتها وهجماتها.

كانت ” الاستعانة بمصادر خارجية لتطوير البرمجيات الخبيثة (Outsourcing malware development) من مؤشرات أنشطة هذه المجموعة. وهنا يقول الفيسبوك إن تحقيقات الخبراء تشير إلى رجوع المنفذين من وراء الكواليس العاملين مع هذه المجموعة المقرصِنة إلى شركة “ماهك ريان أفزار” (Mahak Rayan Afraz) (MRA)، من الشركات التابعة للحرس الثوري الإيراني في طهران، لتطوير برمجياتهم الخبيثة، وكان بعض أعضاء هذه الشركة والقائمين على أمرها قد صُنِّفوا على لائحة العقوبات الأمريكية لقيامهم بأنشطة تخريب سيبراني.

تم التعرُّف إلى مجموعة تورتسشيل لأول مرة في العام 2018، واندرجت ضمت مجموعات القرصنة التابعة للحكومات، وفي بداية عملها استهدفت على الأقل 11 شركة مستقرة في السعودية بهجمات سيبرانية، ونجحت في حملتين منها على الأقل في الوصول إلى نطاقات الشركة على مستوى المدير.

وإطلاق موقع إنترنتي مزيف خاص بالجنود الأمريكان القدماء عنوانُه “hxxp: // hiremilitaryheroes [.] com” هو نشاط آخر من أنشطة هذه المجموعة المقرصنة، في 2019 أحدثت هذه المجموعة هذا الموقع الشبيه جداً بالموقع الحقيقي (www.hiringourheroes.org) في محاولة منها نقْلَ برمجياتها التجسسية الخبيثة إلى حواسيب زائري الموقع، الإجراء الذي اعتُبِر رسمياً مساعي النظام الإيراني في قرصنة الجنود الأمريكان، وأُطلِقت التحذيرات بسببه.

بعض الخبراء السيبرانيين في مجموعة تورتسشيل تابعون لمجموعة “التهديد المتقدم المستمر” (APT35)، و”APT” أو “Advanced Persistent Threat” في الحقل السيبراني مصطلح يحيل إلى التهديدات السيبرانية المستمرة والهادفة التي يقوم القراصنة بتنظيمها وتنفيذها للهجوم على أهداف مثيلَ حكومات الأعداء أو الحكومات الخصمة، ومعارضي النظام، والمؤسسات والكيانات المؤثرة، والشركات التجارية، والمراكز العلمية.

إن الهدف الرئيس لمجموعات التهديد المتقدم المستمر المعروفة بالعلامة المختصرة APT والأرقام المنسوبة إليها هو إحداث الخلل في عملية نشاط الضحايا الطبيعي أو سرقة معلوماتهم ورأس مالهم المعنوي. “APT33″ و”APT34″ و”APT39” هي من بين المجموعات الإيرانية للتهديد المتقدم المستمر الفاعلة في الأنشطة الإنترنتية الإجرامية والعاملة بدعم من النظام الإيراني.

جاءت الشركة الأمنية “FireEye” لأول مرة على ذكر اسم APT35 في 2014، في بداية الأمر اعتبرت هذه الشركة مجموعة من القراصنة الإيرانيين تُدعى “فريق نيوزكستر” (Newscaster Team) منفِّذَ ما وراء الكواليس لـ APT35، وذهبت إلى أنها المسببة في الحملات المستمرة والمكثفة على الجيش الأمريكي وعلى دول في الشرق الأوسط، والدبلوماسيين ورجال الحكومات في دول مختلفة، والمؤسسات الإعلامية، والقواعد الصناعية والحيوية في مجال الطاقة، والصناعات الدفاعية (DIB) والهندسية، والكيانات النشِطة في مضمار الخدمات التجارية والقطاعات الاتصالية.

أظهرت أنشطة هذه المجموعة، وبصورة خاصة من 2017 فصاعداً، تطوراً وتوزيعاً للعمل في الأنشطة القرصنية. يعتقد الخبراء أن تورتسشيل أيضاً جزء من فريق نيوزكستر الذي انفصل أثناء عملية تطور هذه المجموعة لكنها ما تزال بأسلوبها السابق في خدمة أهداف النظام الإيراني السياسية والعسكرية في المجال السيبراني.