قراصنة إيرانيون تابعون للحرس الثوري يَخترقون جامعة بريطانية

أحمد باطبي- إيران وير

تعرض الموقع الإلكتروني لكلية الدراسات الشرقية والأفريقية التابعة لجامعة لندن (SOAS) في لندن وبعض الموظفين والأساتذة والخبراء والصحفيين ومن على صلة بهذه الجامعة، لهجوم من قبل مجموعة قراصنة تابعون للحرس الثوري الإيراني.

أصدرت مجموعة الأمن السيبراني “بروف بوينت” تقريرًا يتناول تفاصيل هذا الهجوم، وذكرت أن هدف المهاجمين قد تمثل في سرقة معلومات هذه الجامعة وكل من على صلة بها.

في هذه السلسلة من الهجمات، حاول المهاجمون شن هجوم تجسسي سيبراني باستخدام هوية بعض الشخصيات العلمية والأكاديمية الموجودة في بريطانيا، كما حاولوا سرقة معلومات هؤلاء الأشخاص وكلمات مرورهم عبر الاستفادة من هجمات التصيد الاحتيالي.

اختار خبراء مجموعة بروف بوينت اسم “الباحثين الزائفين (Spoofed Scholars)” لهذه المجموعة من الهجمات السيبرانية، وقالوا إن مجموعة تسمى (TA453)، وهي مجموعة فرعية من مجموعة التهديدات المستدامة (APT)، هي المسؤولة عن هذه الجرائم السيبرانية.

أما (APT) أو (Advanced Persistent Threat) فهو مصطلح في الأمن السيبراني يشير إلى التهديدات المتطورة المستمرة والهادفة، ويُنظّمها ويَقوم بها قراصنة تَدعمهم حكومات بعينها للهجوم على بعض الأهداف مثيلَ حكومات العدو أو الخصم، والمعارضين للنظام، والمؤسسات والكيانات المؤثرة، والشركات التجارية، والمراكز العلمية. وغرضهم من وراء ذلك إحداث خلل في الآلية الطبيعية للضحية أو سرقة معلوماته ورأسماله المعنوي، وتُعتبَر كلٌّ من (33APT) و(34APT) و(39APT) من مجموعات التهديدات المتطورة المستمرة التي تَعمل برعاية ودعم نظام الجمهورية الإسلامية الإيرانية وتَقوم بأنشطة إنترنتية إجرامية.

وترى مجموعة الأمن السيبراني أن (TA453) تشمل مجموعتين من القراصنة الحكوميين التابعين للحرس الثوري الإيراني باسم “الهررة الجذابة” (Charming Kitten) و”الفسفور” (Phosphorous) ويندرجان تحت مجموعة التهديدات المتطورة المستمرة (APT34).

كذلك فإن (34APT) مجموعة مكوّنة من مجموعات مقرصِنة مستقلة، نظيرَ “الـهِرَرة الجذابة” (CHARMING KITTEN)، والفريق الأمني “أجاكس” (AJAX)، والفسفور (PHOSPHOROUS)، وعدة مجموعات أخرى تم رصدها من قبل مجموعات الأمن السيبراني عام 2014، واستهدفت حتى الآن مراكزَ متعددةً في المجالات المالية والحكومية والكيميائية ومجال الطاقة وغيرها في جميع أرجاء العالم.

وبحسب ما ذكرته مجموعة بروف بوينت في بداية العام الجاري، فإن قراصنة (TA453) كانوا يتواصلون مع أهداف في كلية الدراسات الشرقية والأفريقية بجامعة لندن عبر استخدام البريد الإلكتروني المزيف (hannse.kendel14[@]gmail.com) باسم الباحث البريطاني وعضو هيئة التدريس دكتور هانز بيجيرن كينيدل، وفي بداية الأمر، حاول القراصنة كسب ثقة الضحايا عبر البريد الإلكتروني وإجراء الاتصالات الهاتفية بهم من أجل المشاركة في مؤتمر وهمي تحت اسم “التحديات الأمنية الأمريكية في الشرق الأوسط”. ومع إصرار الأهداف على تلقي دعوات رسمية، أرسلوا لهم دعوات مزيفة، وانتهت محاولات القراصنة بمكالمة فيديو.

ذكر خبراء مجموعة بروف بوينت أن القراصنة يتحدثون اللغة الإنجليزية بطلاقة، وكانوا مهتمين بالحصول على أرقام الهواتف المحمولة لهؤلاء الأشخاص مما يرجح شن هجوم على الهواتف المحمولة والبرامج المثبتة عليها.

كما أنه كانت هناك محاولة واحدة على الأقل في سلسلة رسائل البريد الإلكتروني التي أرسلها المتسللون باسم ” دكتور هانز بيجيرن كينيدل” لسرقة بيانات اعتماد الضحية، ومن المرجح أنها كانت أكثر من محاولة.

كان أبرز ما في هذه الهجمات، هو وصول القراصنة لجزء من موقع (soasradio [.] org) الذي يستضيف عدد من الصفحات الحقيقية لكلية الدراسات الشرقية والأفريقية بجامعة لندن، كان القراصنة خلال هجماتهم، يرسلون للضحايا رابطًا يتيح لهم عبر النقر عليه، الانتقال لصفحة خاصة بالمشاركة في ويبينار، وكانت هذه الصفحة جزءًا من الصفحات الحقيقية لهذه الجامعة على موقع (SOAS Radio)، ويشير هذا المستوى إلى أن القراصنة قاموا على الأرجح بإنشاء هذه الصفحة المزيفة عبر سرقة بيانات اعتماد الأشخاص المرتبطين بهذا الموقع.

وعلى صفحة الويبينار المزيفة، كانت خيارات تسجيل الدخول من خلال حسابات Facebook، وGmail، وYahoo وغيرها هي الجزء الأكثر خطورة، فقد تم تصميم هذه الخيارات لتنبه المستخدمين إلى أن الطريقة الوحيدة للوصول إلى هذا الويبينار هي تسجيل الدخول من خلال الحسابات المتوفرة في أسفل الصفحة. وبالطبع، كان نقر المستخدمين على إحدى هذه الخيارات، يتيح للقراصنة بكل سهولة بيانات اعتماد حساباتهم.

لم يكن “دكتور هانز بيجيرن كينيدل” الاسم الزائف الوحيد الذي يستخدمه القراصنة لخداع أهدافهم، في بداية شهر مايو من العام الجاري، حاولوا تشجيع الضحايا الجدد على حضور مؤتمر آخر غير واقعي بنفس الطريقة عبر تزييف بريد إلكتروني وهوية شخص آخر.

وفي أواخر عام 2020، قامت مجموعة الأمن السيبراني بروف بوينت برصد مجموعة القراصنة (TA453)، وتناولت في تقرير خاص، هجمات هذه المجموعة ضد 25 خبير من كبار المتخصصين في الطب وعلم الوراثة وطب الأعصاب والأورام في الولايات المتحدة وإسرائيل. وأطلق باحثو “بروف بوينت” على هذه المجموعة من الهجمات اسم “الدماء الملوثة” (BadBlood) نظرًا لهوية الضحايا وطبيعة عملهم في مجال الطب.

لقد شنت مجموعة قراصنة (TA453) في تلك السلسلة من الهجمات، هجومًا على كلية الدراسات الشرقية والأفريقية بجامعة لندن عبر حساب على Gmail وهو (zajfman.daniel [@] gmail.com)، وكان القراصنة يرسلون للضحايا بريداً إلكترونياً بعنوان “لمحة سريعة عن الأسلحة النووية” عبر استخدام اسم عالم الفيزياء الإسرائيلي “دانيال زاجفمان”، وكان البريد الإلكتروني يحتوي على ملف PDF باسم (CBP-9075.pdf)، والنقر فوق هذا الملف ينقل الضحية إلى أحد النطاقات التابعة للقراصنة تحت اسم (1drv [.] Casa)، وهو ما كان ينتهي باختراق خدمة التخزين السحابي المقدمة لهم من شركة ميكروسوفت (Onedrive)، ويوجد على النطاق التابع للقراصنة صفحة مزيفة تشبه صفحة تسجيل دخول مستخدمي شركة ميكروسوفت والتي تطلب من الضحايا إدخال اسم المستخدم وكلمة المرور لعرض محتويات ملف الـ PDF، وينتهي هذا الأمر بمشاهدة الملف المذكور، لكن في المقابل، يرصد القراصنة بكل سهولة مرحلة التحقق من هوية الضحية، ويسرقون بياناته.

قسمت مجموعة بروف بوينت أهداف القراصنة (TA453) إلى ثلاث فئات، وذكرت أن هذه الأهداف تتوافق مع أولويات الحرس الثوري الإيراني، وتتمثل الفئة الأولى في الأعضاء والمنتسبين وكبار العاملين في مراكز الفكر، والفئة الثانية في الصحفيين المهتمين بشؤون الشرق الأوسط، والفئة الثالثة في أساتذة الجامعات.

يعتقد خبراء بروف بوينت أن هذه الفئات الثلاث من الأهداف لديها إمكانية الوصول إلى المعلومات المهمة التي تهتم بها الجمهورية الإيرانية بما في ذلك السياسة الخارجية، والحركات المرتبطة بالمعارضة، والمحادثات النووية مع الولايات المتحدة وغيرها. وهذا هو السبب في تحديد أكثر من 10 منظمات على أنها أهداف القراصنة، وتم استخدام المجموعة (TA453) لاختراقهم.

وأكدت مجموعة بروف بوينت بكل ثقة أن مجموعة الهاكرز (TA453) تعمل تحت قيادة الحرس الثوري الإيراني.