قالت شركة "مانديانت" لأمن المعلومات، الخميس، إن مجموعة "APT42" الإيرانية المدعومة من الدولة شنت حملة تجسس إلكتروني متطورة تستهدف منظمات غير حكومية وجهات إعلامية وأكاديمية ونشطاء في الغرب والشرق الأوسط.
وليست هذه المرة الأولى التي يتم رصد فيها نشاطات مماثلة لهذه المجموعة التي سبق فرضت وزارة الخزانة الأميركية عقوبات على أفراد ينتمون إليها، بعد أن كشفت تقارير عن تورطها في أنشطة تجسس واختراق واسعة النطاق.
ومنذ عام 2010، يستهدف مشغلون إيرانيون أعضاء حكومات وجيوش وشركات أجنبية، بالإضافة إلى المعارضين السياسيين والمدافعين عن حقوق الإنسان. وبمرور الوقت، أصبحت هذه الهجمات، التي تقودها حملات تعرف باسم "إيه بي تي"، أكثر تعقيدا في طرق تنفيذ ما يُعرف بالهندسة الاجتماعية.
ما هو الـ"APT"؟
اختصار لمصطلح "التهديد المتقدم المستمر" (Advanced Persistent Threat)، الذي يستخدم لوصف حملة هجوم يقوم فيها مُتسلل، أو فريق من المتسللين، بإنشاء وجود غير قانوني وطويل الأمد على شبكة من أجل الحصول على بيانات حساسة للغاية، وذلك وفقا لشركة "إمبريفا" المتخصصة في مجال الأمن السيبراني.
وعادة ما تشمل أهداف هذه الهجمات، التي يتم اختيارها وبحثها بعناية فائقة، الشركات الكبيرة أو المنظمات الحكومية، وذلك بأغراض اختراق معلومات حساسة، مثل البيانات الخاصة بالموظفين والمستخدمين، أو تخريب البنى التحتية الحيوية للهدف، مثل حذف قاعدة البيانات، أو الاستيلاء الكامل على الموقع. بالإضافة أيضا إلى هدف سرقة الملكية الفكرية للشركات، مثل الأسرار التجارية أو براءات الاختراع.
ويتطلب تنفيذ هجوم سيبراني من فئة "APT"، موارد أكثر من هجوم اختراق عادي بحسب الشركة التي أشارت إلى أن منفذيه يكونون عادة فرقا من قراصنة الإنترنت ذوي الخبرة والذين لديهم دعم مالي كبير، ومموَّلين في بعض الحالات من حكومات تستخدم هذه الهجمات كأسلحة حرب إلكترونية.
"APT42" الإيرانية
أما "APT42"، فهي جماعة تجسس إلكتروني مدعومة من السلطات الإيرانية، مكلفة بإجراء عمليات جمع المعلومات والمراقبة ضد الأفراد والمؤسسات ذات الأهمية الاستراتيجية بالنسبة للحكومة الإيرانية، وفقا لشركة الأمن السيبراني "مانديانت".
ونوهت الشركة إلى أن نشاطات "إيه بي تي 42" (APT42) تتوافق مع حملات خبيثة أبلغت عنها بعض شركات الأمن الإلكتروني منها هجمات "تشارمينغ كيتين" (Charming Kitten، بالعربية: القطة الفاتنة) و"مينت ساندستورمز/فوسفوروس" و"TA453" و"يلو غارودا" و"ITG18".
وأكدت "مانديانت" أن المجموعة مسؤولة عن العديد من هجمات التصيد الاحتيالي في أوروبا، والولايات المتحدة والشرق الأوسط وشمال أفريقيا.
ويقدر الموقع ذاته، أن "APT42" تعمل نيابة عن منظمة استخبارات الحرس الثوري (IRGC-IO)، بناء على أنماط الاستهداف التي تتماشى مع الولايات التشغيلية والأولويات الخاصة بهذا الجهاز الأمني.
ويرجع تقرير سابق للمنطقة، تاريخ بدء تشغيل المجموعة إلى عام 2015 على الأقل.
كما أن أنشطة الجماعة تتداخل مع جهات إلكترونية أخرى سبق الإبلاغ عنها، مثل مجموعات "كالانك" و"شارمين كيتن"، و"مينت ساندسنتروم"، وTA453 وITG18 بالإضافة إلى "فوسفوراس" التي تعرف باسم APT 35، وفريق أياكس سيكيورتي.
من جانبه يشير موقع "زيمبيريوم" المتخصص في قضايا الأمن السيبراني، أن أنشطة المجموعة تستهدف بشكل خاص المنظمات في الشرق الأوسط، وخاصة العاملة في قطاعات الطاقة والاتصالات وأيضا الحكومية.
ووفقا للمصدر ذاته، ركزت مجموعة APT42 هجماتها، بشكل خاص، على استهداف المنظمات التي لها علاقة بديناميكيات الجغرافيا السياسية والنزاعات القائمة في المنطقة.
وتشتهر هذه المجموعة بتوظيف مجموعة متنوعة من الأساليب والتقنيات والإجراءات (المعروفة اختصارا بـ TTPs) بهدف اختراق الأنظمة والشبكات المستهدفة بطرق غير مشروعة.
ومن خلال هذه الاختراقات، تتمكن المجموعة من مراقبة الأهداف وسرقة المعلومات الحساسة منها، وصولا إلى تحقيق غاياتها الاستراتيجية طويلة المدى التي تتماشى مع أجندة الجهة التي تقف خلفها وترعى نشاطها.
"احتيال واستهداف صحفيين"
وفي آخر التقارير التي تحدث عنها، كشفت شركة "مانديانت" لأمن المعلومات، الخميس، عن شن المجموعة "APT42" حملة تجسس إلكتروني متطورة تستهدف منظمات غير حكومية وجهات إعلامية وأكاديمية ونشطاء في الغرب والشرق الأوسط.
وأوضح التقرير أن المجموعة تلجأ إلى خدع هندسة اجتماعية متطورة من جمع بيانات الاعتماد واستخدامها للوصول الأولي إلى البيئات السحابية "Cloud environments" لأهدافها.
وبحسب المصدر ذاته، تقوم المجموعة بانتحال شخصيات صحفيين ومنظمي فعاليات لبناء الثقة مع ضحاياهم عبر مراسلات مستمرة، قبل إرسالها دعوات لمؤتمرات أو وثائق موثوقة.
وتمكن هذه الخدع الجماعة من سرقة بيانات اعتماد وتسجيل دخول واستخدامها للوصول إلى البيئات السحابية، لتقوم لاحقا بتسريب بيانات ذات أهمية استراتيجية لإيران بشكل خفي.
كما رصد التقرير استخدام الجماعة لبرمجيات خبيثة مخصصة تُسمى"نايس كيرل" و"تيم كات"، والتي يتم إرسالها إلى الضحايا عن طريق رسائل تصيُّد إلكتروني موجهة بشكل دقيق، بهدف منح المهاجمين نقطة دخول أولية إلى أنظمة الضحايا.
ويمكن للمهاجمين استغلال هذا الوصول إما كواجهة لإدخال الأوامر وتنفيذها على الأنظمة المخترقة، أو كنقطة انطلاق لزرع المزيد من البرمجيات الضارة، داخل الشبكة المستهدفة.
وخلص التقرير إلى أن أهداف ومهام مجموعة "APT42" تتوافق مع انتمائها لمنظمة استخبارات الحرس الثوري، وهي جزء من جهاز الاستخبارات الإيراني المسؤول عن مراقبة ومنع التهديدات الخارجية والاضطرابات الداخلية.
ويوضح التقرير أيضا أن عمليات سرقة بيانات الاعتماد الواسعة النطاق التي تشتهر بها APT42" تتم عادة عبر ثلاث مراحل أساسية، هي: استهداف بيانات اعتماد الضحايا عبر رسائل إلكترونية احتيالية موجهة، واستخدام بنى تحتية ونطاقات وأنماط متخفية للتمويه، وطرق أخرى من أجل الإيقاع بضحاياها.
وينقسم عمل المجموعة إلى ثلاث مجموعات مصغرة "أ" و"ب" و"ج"؛ تقوم الأولى بانتحال شخصية إعلامية ومنظمات غير ربحية لخداع ضحاياها وكسب ثقتهم.
بينما تعمد الثانية إلى انتحال هوية خدمات ومواقع إلكترونية موثوقة ومعروفة. والمجموعة الأخير تقوم بانتحال صفة "خادم البريد" وخدمات اختصار الروابط، وأيضا ادعاء تقديم خدمات منظمات غير حكومية.
عمليات سابقة
وقبل التقرير الأخير سبق أن وثقت "مانديانت"، ما لا يقل عن 30 عملية تجسس إلكتروني نفذتها الجماعة منذ عام 2015.
ولعل أبرز هذه العمليات، ما كشفه تقرير لمنظمة "هيومن رايتس ووتش"، أواخر عام 2022، عن استهداف هذه الجماعة لموظفين تابعين لها، وما لا يقل عن 18 من النشطاء، والصحفيين، والباحثين، والأكاديميين، والدبلوماسيين، والسياسيين العاملين في قضايا الشرق الأوسط.
واعتبرت المنظمة أن عمليات القرصنة تأتي "ضمن حملة مستمرة من أساليب القرصنة الإيرانية، تسمى بالهندسة الاجتماعية والتصيد الاحتيالي".
وحدد التحليل التقني الذي أجرته هيومن رايتس ووتش بالاشتراك مع "مختبر الأمن" التابع لـ "منظمة العفو الدولية" 18 ضحية إضافية استُهدفوا كجزء من الحملة نفسها.
وقالت المنظمة في تقرير مطول لها: "اختُرق البريد الإلكتروني والبيانات الحساسة الأخرى لثلاثة منهم على الأقل، هم نيكولاس نوي، استشاري المناصرة لـ "منظمة اللاجئين الدولية" في لبنان"، ومراسل صحيفة أميركية كبيرة، ومدافع عن حقوق المرأة في منطقة الخليج".
وتمكن المهاجمون من الوصول إلى رسائل البريد الإلكتروني، الخاصة بالأشخاص الثلاثة، ومحركات التخزين السحابية، والروزنامات، وجهات الاتصال الخاصة بهم، وأجروا عملية "غوغل تيك آوت (Google Takeout)، وهي خدمة تصدّر البيانات من الخدمات الأساسية والإضافية لحساب "غوغل".
وكشف التحقيق المشترك أنه عند النقر على روابط التصيد الاحتيالي المرسلة عبر واتساب، تتم الإحالة إلى صفحة تسجيل دخول مزيفة تلتقط كلمة مرور البريد الإلكتروني للمستخدم ورمز المصادقة.
وحقق فريق البحث في البنية التحتية التي استضافت الروابط الخبيثة وكشف أهدافا إضافية لهذه الحملة المستمرة.
العقوبات الأميركية
وفرض مكتب مراقبة الأصول الأجنبية بوزارة الخزانة الأميركية، في سبتمبر 2022، عقوبات على أفراد ينتمون إلى مجموعة "إيه بي تي 42"، وفق ما ذكره تقرير "هيومن رايتس ووتش" مرفقا بيانا بالعقوبات المذكورة.
ورغم أن بيان وزارة الخزانة لم يشر إلى اسم مجموعة "APT42" تحديدا، إلا أنه نوه إلى أن بعض شركات الأمن السيبراني الخاصة تمنح بانتظام أسماء مستعارة أو ألقابا خاصة للحملات الإلكترونية الخبيثة التي ترصدها، وذلك بهدف تمييزها عن بعضها البعض وتسهيل الإشارة إليها ومتابعة نشاطها.
وأوضح المصدر ذاته، أنه "بينما لا يتم ربط الأفراد الذين تم فرض عقوبات عليهم اليوم بشكل مباشر بمجموعة (APT)، إلا أنه يمكن نسب بعض أنشطتهم الخبيثة في الفضاء الإلكتروني جزئيا إلى العديد من مجموعات التسلل المسماة، مثل "APT 35" و"Charming Kitten" و"Nemesis Kitten" و"Phosphorus" و"Tunnel Vision"".
وقد حددت العديد من شركات الأمن السيبراني أن هذه المجموعات مرتبطة بالحكومة الإيرانية، وذكرت أنها قامت بمجموعة متنوعة من الأنشطة الضارة عبر الإنترنت، بما في ذلك برامج الفدية والتجسس الإلكتروني.
وأطلقت هذه المجموعة حملات واسعة النطاق ضد المنظمات والمسؤولين في جميع أنحاء العالم، مستهدفة بشكل خاص موظفي الدفاع والدبلوماسية والحكومة في الولايات المتحدة والشرق الأوسط، بالإضافة إلى الصناعات الخاصة، بما في ذلك وسائل الإعلام والطاقة وخدمات الأعمال والاتصالات.
