المجموعة متورطة في أنشطة تجسس واختراق واسعة النطاق ـ صورة تعبيرية.
المجموعة متورطة في أنشطة تجسس واختراق واسعة النطاق ـ صورة تعبيرية.

قالت شركة "مانديانت" لأمن المعلومات، الخميس، إن مجموعة "APT42" الإيرانية المدعومة من الدولة شنت حملة تجسس إلكتروني متطورة تستهدف منظمات غير حكومية وجهات إعلامية وأكاديمية ونشطاء في الغرب والشرق الأوسط.

وليست هذه المرة الأولى التي يتم رصد فيها نشاطات مماثلة لهذه المجموعة التي سبق فرضت وزارة الخزانة الأميركية عقوبات على أفراد ينتمون إليها، بعد أن كشفت تقارير عن تورطها في أنشطة تجسس واختراق واسعة النطاق.

ومنذ عام 2010، يستهدف مشغلون إيرانيون أعضاء حكومات وجيوش وشركات أجنبية، بالإضافة إلى المعارضين السياسيين والمدافعين عن حقوق الإنسان. وبمرور الوقت، أصبحت هذه الهجمات، التي تقودها حملات تعرف باسم "إيه بي تي"، أكثر تعقيدا في طرق تنفيذ ما يُعرف بالهندسة الاجتماعية.

ما هو الـ"APT"؟

اختصار لمصطلح "التهديد المتقدم المستمر" (Advanced Persistent Threat)، الذي يستخدم لوصف حملة هجوم يقوم فيها مُتسلل، أو فريق من المتسللين، بإنشاء وجود غير قانوني وطويل الأمد على شبكة من أجل الحصول على بيانات حساسة للغاية، وذلك وفقا لشركة "إمبريفا" المتخصصة في مجال الأمن السيبراني.

وعادة ما تشمل أهداف هذه الهجمات، التي يتم اختيارها وبحثها بعناية فائقة، الشركات الكبيرة أو المنظمات الحكومية، وذلك بأغراض اختراق معلومات حساسة، مثل البيانات الخاصة بالموظفين والمستخدمين، أو تخريب البنى التحتية الحيوية للهدف، مثل حذف قاعدة البيانات، أو الاستيلاء الكامل على الموقع. بالإضافة أيضا إلى هدف سرقة الملكية الفكرية للشركات، مثل الأسرار التجارية أو براءات الاختراع.

ويتطلب تنفيذ هجوم سيبراني من فئة "APT"، موارد أكثر من هجوم اختراق عادي بحسب الشركة التي أشارت إلى أن منفذيه يكونون عادة فرقا من قراصنة الإنترنت ذوي الخبرة والذين لديهم دعم مالي كبير، ومموَّلين في بعض الحالات من حكومات تستخدم هذه الهجمات كأسلحة حرب إلكترونية.

"APT42" الإيرانية

أما "APT42"، فهي جماعة تجسس إلكتروني مدعومة من السلطات الإيرانية، مكلفة بإجراء عمليات جمع المعلومات والمراقبة ضد الأفراد والمؤسسات ذات الأهمية الاستراتيجية بالنسبة للحكومة الإيرانية، وفقا لشركة الأمن السيبراني "مانديانت".

ونوهت الشركة إلى أن نشاطات "إيه بي تي 42" (APT42) تتوافق مع حملات خبيثة أبلغت عنها بعض شركات الأمن الإلكتروني منها هجمات "تشارمينغ كيتين" (Charming Kitten، بالعربية: القطة الفاتنة) و"مينت ساندستورمز/فوسفوروس" و"TA453" و"يلو غارودا" و"ITG18".

وأكدت "مانديانت" أن المجموعة مسؤولة عن العديد من هجمات التصيد الاحتيالي في أوروبا، والولايات المتحدة والشرق الأوسط وشمال أفريقيا. 

ويقدر الموقع ذاته، أن "APT42" تعمل نيابة عن منظمة استخبارات الحرس الثوري (IRGC-IO)، بناء على أنماط الاستهداف التي تتماشى مع الولايات التشغيلية والأولويات الخاصة بهذا الجهاز الأمني.

ويرجع تقرير سابق للمنطقة، تاريخ بدء تشغيل المجموعة إلى عام 2015 على الأقل.

كما أن أنشطة الجماعة تتداخل مع جهات إلكترونية أخرى سبق الإبلاغ عنها، مثل مجموعات "كالانك" و"شارمين كيتن"، و"مينت ساندسنتروم"، وTA453 وITG18 بالإضافة إلى "فوسفوراس" التي تعرف باسم  APT 35، وفريق أياكس سيكيورتي.

من جانبه يشير موقع "زيمبيريوم" المتخصص في قضايا الأمن السيبراني، أن أنشطة المجموعة تستهدف بشكل خاص المنظمات في الشرق الأوسط، وخاصة العاملة في قطاعات الطاقة والاتصالات وأيضا الحكومية. 

ووفقا للمصدر ذاته، ركزت مجموعة APT42 هجماتها، بشكل خاص، على استهداف المنظمات التي لها علاقة بديناميكيات الجغرافيا السياسية والنزاعات القائمة في المنطقة. 

وتشتهر هذه المجموعة بتوظيف مجموعة متنوعة من الأساليب والتقنيات والإجراءات (المعروفة اختصارا بـ TTPs) بهدف اختراق الأنظمة والشبكات المستهدفة بطرق غير مشروعة. 

ومن خلال هذه الاختراقات، تتمكن المجموعة من مراقبة الأهداف وسرقة المعلومات الحساسة منها، وصولا إلى تحقيق غاياتها الاستراتيجية طويلة المدى التي تتماشى مع أجندة الجهة التي تقف خلفها وترعى نشاطها.

"احتيال واستهداف صحفيين"

وفي آخر التقارير التي تحدث عنها، كشفت شركة "مانديانت" لأمن المعلومات، الخميس، عن شن المجموعة "APT42" حملة تجسس إلكتروني متطورة تستهدف منظمات غير حكومية وجهات إعلامية وأكاديمية ونشطاء في الغرب والشرق الأوسط.

وأوضح التقرير أن المجموعة تلجأ إلى خدع هندسة اجتماعية متطورة من جمع بيانات الاعتماد واستخدامها للوصول الأولي إلى البيئات السحابية "Cloud environments" لأهدافها.

وبحسب المصدر ذاته، تقوم المجموعة بانتحال شخصيات صحفيين ومنظمي فعاليات لبناء الثقة مع ضحاياهم عبر مراسلات مستمرة، قبل إرسالها دعوات لمؤتمرات أو وثائق موثوقة. 

وتمكن هذه الخدع الجماعة من سرقة بيانات اعتماد وتسجيل دخول واستخدامها للوصول إلى البيئات السحابية، لتقوم لاحقا بتسريب بيانات ذات أهمية استراتيجية لإيران بشكل خفي.

كما رصد التقرير استخدام الجماعة لبرمجيات خبيثة مخصصة تُسمى"نايس كيرل" و"تيم كات"، والتي يتم إرسالها إلى الضحايا عن طريق رسائل تصيُّد إلكتروني موجهة بشكل دقيق، بهدف منح المهاجمين نقطة دخول أولية إلى أنظمة الضحايا. 

ويمكن للمهاجمين استغلال هذا الوصول إما كواجهة لإدخال الأوامر وتنفيذها على الأنظمة المخترقة، أو كنقطة انطلاق لزرع المزيد من البرمجيات الضارة، داخل الشبكة المستهدفة.

وخلص التقرير إلى أن أهداف ومهام مجموعة "APT42" تتوافق مع انتمائها لمنظمة استخبارات الحرس الثوري، وهي جزء من جهاز الاستخبارات الإيراني المسؤول عن مراقبة ومنع التهديدات الخارجية والاضطرابات الداخلية. 

ويوضح التقرير أيضا أن عمليات سرقة بيانات الاعتماد الواسعة النطاق التي تشتهر بها APT42" تتم عادة عبر ثلاث مراحل أساسية، هي: استهداف بيانات اعتماد الضحايا عبر رسائل إلكترونية احتيالية موجهة، واستخدام بنى تحتية ونطاقات وأنماط متخفية للتمويه، وطرق أخرى من أجل الإيقاع بضحاياها.

وينقسم عمل المجموعة إلى ثلاث مجموعات مصغرة "أ" و"ب" و"ج"؛ تقوم الأولى بانتحال شخصية إعلامية ومنظمات غير ربحية لخداع ضحاياها وكسب ثقتهم.

بينما تعمد الثانية إلى انتحال هوية خدمات ومواقع إلكترونية موثوقة ومعروفة. والمجموعة الأخير تقوم بانتحال صفة "خادم البريد" وخدمات اختصار الروابط، وأيضا ادعاء تقديم خدمات منظمات غير حكومية.

عمليات سابقة

وقبل التقرير الأخير سبق أن وثقت "مانديانت"،  ما لا يقل عن 30 عملية تجسس إلكتروني نفذتها الجماعة منذ عام 2015.

ولعل أبرز هذه العمليات، ما كشفه تقرير لمنظمة "هيومن رايتس ووتش"، أواخر عام 2022، عن استهداف هذه الجماعة لموظفين تابعين لها، وما لا يقل عن 18 من النشطاء، والصحفيين، والباحثين، والأكاديميين، والدبلوماسيين، والسياسيين العاملين في قضايا الشرق الأوسط. 

واعتبرت المنظمة أن عمليات القرصنة تأتي "ضمن حملة مستمرة من أساليب القرصنة الإيرانية، تسمى بالهندسة الاجتماعية والتصيد الاحتيالي". 

وحدد التحليل التقني الذي أجرته هيومن رايتس ووتش بالاشتراك مع "مختبر الأمن" التابع لـ "منظمة العفو الدولية" 18 ضحية إضافية استُهدفوا كجزء من الحملة نفسها. 

وقالت المنظمة في تقرير مطول لها: "اختُرق البريد الإلكتروني والبيانات الحساسة الأخرى لثلاثة منهم على الأقل، هم نيكولاس نوي، استشاري المناصرة لـ "منظمة اللاجئين الدولية" في لبنان"، ومراسل صحيفة أميركية كبيرة، ومدافع عن حقوق المرأة في منطقة الخليج". 

وتمكن المهاجمون من الوصول إلى رسائل البريد الإلكتروني، الخاصة بالأشخاص الثلاثة، ومحركات التخزين السحابية، والروزنامات، وجهات الاتصال الخاصة بهم، وأجروا عملية "غوغل تيك آوت (Google Takeout)، وهي خدمة تصدّر البيانات من الخدمات الأساسية والإضافية لحساب "غوغل".

وكشف التحقيق المشترك أنه عند النقر على روابط التصيد الاحتيالي المرسلة عبر واتساب، تتم الإحالة إلى صفحة تسجيل دخول مزيفة تلتقط كلمة مرور البريد الإلكتروني للمستخدم ورمز المصادقة.

وحقق فريق البحث في البنية التحتية التي استضافت الروابط الخبيثة وكشف أهدافا إضافية لهذه الحملة المستمرة.

العقوبات الأميركية

وفرض مكتب مراقبة الأصول الأجنبية بوزارة الخزانة الأميركية، في سبتمبر 2022، عقوبات على أفراد ينتمون إلى مجموعة "إيه بي تي 42"، وفق ما ذكره تقرير "هيومن رايتس ووتش" مرفقا بيانا بالعقوبات المذكورة.

ورغم أن بيان وزارة الخزانة لم يشر إلى اسم مجموعة "APT42" تحديدا، إلا أنه نوه إلى أن بعض شركات الأمن السيبراني الخاصة تمنح بانتظام أسماء مستعارة أو ألقابا خاصة للحملات الإلكترونية الخبيثة التي ترصدها، وذلك بهدف تمييزها عن بعضها البعض وتسهيل الإشارة إليها ومتابعة نشاطها.

وأوضح المصدر ذاته، أنه "بينما لا يتم ربط الأفراد الذين تم فرض عقوبات عليهم اليوم بشكل مباشر بمجموعة (APT)، إلا أنه يمكن نسب بعض أنشطتهم الخبيثة في الفضاء الإلكتروني جزئيا إلى العديد من مجموعات التسلل المسماة، مثل "APT 35" و"Charming Kitten" و"Nemesis Kitten" و"Phosphorus" و"Tunnel Vision"".

وقد حددت العديد من شركات الأمن السيبراني أن هذه المجموعات مرتبطة بالحكومة الإيرانية، وذكرت أنها قامت بمجموعة متنوعة من الأنشطة الضارة عبر الإنترنت، بما في ذلك برامج الفدية والتجسس الإلكتروني.

وأطلقت هذه المجموعة حملات واسعة النطاق ضد المنظمات والمسؤولين في جميع أنحاء العالم، مستهدفة بشكل خاص موظفي الدفاع والدبلوماسية والحكومة في الولايات المتحدة والشرق الأوسط، بالإضافة إلى الصناعات الخاصة، بما في ذلك وسائل الإعلام والطاقة وخدمات الأعمال والاتصالات.

اجتماع البحرين عقد تحت إشراف القيادة المركزية الأميركية، وفق أكسيوس (أرشيفية.تعبيرية)
اجتماع البحرين عقد تحت إشراف القيادة المركزية الأميركية، وفق أكسيوس

اجتمع أكبر جنرالات إسرائيل هذا الأسبوع في البحرين مع نظرائهم من جيوش عربية لبحث التعاون الأمني في المنطقة، وفق ما ذكره مصدران على معرفة مباشرة بالموضوع لموقع "أكسيوس". 

وكان الاجتماع الذي عقد تحت رعاية القيادة المركزية الأميركية "سنتكوم" قد تم بشكل سري بسبب الحساسيات السياسية الإقليمية بشأن الحرب في غزة، وفق ما ذكره "أكسيوس". 

وأشار الموقع إلى أن الاجتماع عُقِد بحضور رئيس الأركان الإسرائيلي، هرتسي هاليفي، بالإضافة إلى رئيس القيادة المركزية الأميركية، الجنرال مايكل "إريك" كوريلا. 

وذكر أكسيوس أن كبار الجنرالات من البحرين والإمارات والسعودية والأردن ومصر حضروا الاجتماع الذي عُقد الاثنين في المنامة. 

ونوه "أكسيوس" إلى أن الاجتماع كان "بمثابة مؤشر على أن الحوار والتعاون العسكري بين إسرائيل والدول العربية يتواصل تحت (إشراف) 'سنتكوم' بغض النظر عن الانتقادات والإدانات التي لاقتها العمليات العسكرية الإسرائيلية في غزة. 

ورفضت القوات الإسرائيلية طلب "أكسيوس" التعليق، ولم تستجب "سنتكوم" بشكل مباشر لطلبات الموقع التعليق على أسئلة بشأن الاجتماع.

وخلال السنوات الماضية، عملت "سنتكوم" ووزارة الدفاع الأميركية "البنتاغون" مع جيوش المنطقة لرفع التعاون الجوي وأنظمة الدفاع الصاروخية. 

ونوه الموقع إلى أن الولايات المتحدة اعتبرت إحباط الهجوم الذي شنته إيران بالصواريخ والطائرات المسيَّرة، في 13 أبريل الماضي، ثمرة لهذا التعاون مع دول المنطقة. 

وقال مسؤولون أميركيون إن التعاون بين إسرائيل ودول عربية في المنطقة سمح لهم بجمع معلومات استخبارتية والتوصل إلى تحذيرات مسبقة بالهجوم. 

ويشير مسؤولون إلى أن التعاون ضم المشاركة الفعالة للأردن والسعودية في اعتراض الصواريخ والطائرات المسيرة التي اخترقت أجواءهما بعد إطلاقها من إيران والعراق واليمن صوب إسرائيل، وفق ما نقله "أكسيوس". 

وخلال الشهر الماضي، أكدت إيران أنها أجرت محادثات غير مباشرة مع الولايات المتحدة في سلطنة عُمان في ظل التوتر الإقليمي على خلفية الحرب في قطاع غزة، وفق ما نقلته وكالة الجمهورية الإسلامية للأنباء "إرنا" حينها.

وقطعت العلاقات بين الولايات المتحدة وإيران في أعقاب انتصار "الثورة الإسلامية" عام 1979. والبلدان على خلاف حاد منذ عقود بشأن ملفات عدة منها برنامج طهران النووي، وتفاقم في ظل الحرب في غزة بين إسرائيل، حليفة الولايات المتحدة، وحركة حماس، حليفة إيران.

وأجريت المحادثات بعد هجوم غير مسبوق بالمسيّرات والصواريخ شنّته إيران على إسرائيل ليل 13-14 أبريل.

وجاءت الضربة الإيرانية ردا على تدمير القنصلية الإيرانية لدى سوريا في الأول من أبريل بضربة نُسبت إلى إسرائيل وقُتل فيها سبعة عناصر في الحرس الثوري بينهم ضابطان رفيعان.

وقال الجيش الإسرائيلي إن الغالبية الساحقة من الصواريخ والمسيرات التي أطلقتها إيران وتخطى عددها الإجمالي الـ300، تم اعتراضها بمساعدة الولايات المتحدة وحلفاء آخرين، وإن الهجوم لم يسفر إلا عن أضرار طفيفة.

بعد أقل من أسبوع دوت انفجارات في محافظة أصفهان الإيرانية، قالت وسائل إعلام أميركية إنها نجمت عن هجوم إسرائيلي ردا على الضربة الإيرانية.

منذّ ذلك الحين قللت طهران من شأن تقارير عن تعرضها لضربة إسرائيلية وقالت إنها لن ترد ما لم يتم استهداف "مصالح" إيران.

وإسرائيل وإيران في حال عداء منذ قيام الجمهورية الإسلامية في عام 1979.

وتفاقمت التوترات الإقليمية منذ اندلاع الحرب بين إسرائيل وحماس في قطاع غزة ودخول فصائل مسلّحة موالية لإيران في سوريا ولبنان والعراق واليمن على خط التصعيد في جبهات إقليمية عدة.

وتتولى سويسرا تمثيل المصالح الأميركية في إيران.

وفي السنوات الأخيرة جرت محادثات غير مباشرة بين طهران وواشنطن بشأن آليات كبح البرنامج النووي وتبادل سجناء وتحرير أموال إيرانية مجمدة في الخارج.