كشفت شركة "بروف بوينت" للأمن السيبراني عمليات "معقدة" نفذتها مجموعة قراصنة إيرانية تطلق على نفسها اسم "القطة الفاتنة"، حاولت استهداف الأشخاص من خلال انتحال شخصية أستاذ وباحث جامعي بريطاني.
وفي حين تدور الشكوك حول وقوف الحرس الثوري الإيراني وراء المجموعة، أوضحت الشركة أنها ليست متأكدة بنسبة 100% بأن الحرس الثوري كان وراء العملية، لكنها قالت إن جميع الحيل والأساليب المستخدمة وأهداف الهجوم تشير إلى حد كبير لتورطه.
دردشة عبر الإنترنت
كما ذكرت "بي بي سي" الفارسي أن المجموعة التي تعرف أيضاً باسم "الفوسفور" أو "APT35"، قد اخترقت موقعاً إلكترونياً تابعاً لكلية الدراسات الشرقية والأفريقية بجامعة لندن (SOAS) بهدف قرصنة المعلومات الشخصية من الضحايا.
ووصفت "بروف بوينت" عمليات "الأساتذة الزائفين" بالمعقدة، مضيفة أن المهاجمين الإلكترونيين استهدفوا أشخاصاً معظمهم من الولايات المتحدة وبريطانيا، وسعوا للدردشة معهم عبر الإنترنت.
ماذا فعل القراصنة؟
في التفاصيل دعا "باحث وجامعي كبير" مزيف، مطلع عام 2021، زعم بأنه يحاضر في جامعة سواز بلندن، عبر رسائل بعثها بالبريد إلكتروني، المستهدفين إلى مؤتمر عبر الإنترنت بعنوان "تحديات أميركا الأمنية في الشرق الأوسط".
وكانت الرسائل المزيفة قد أرسلت بواسطة خدمة البريد الإلكتروني "جيميل" من قبل قراصنة يقال إنهم مرتبطون بالحرس الثوري الإيراني. وإذا قام أي شخص بالرد على هذه الرسائل، فكان يتلقى رابطا للتسجيل في أحد المواقع الحقيقية التابعة للجامعة والتي تم اختراقها من قبل القراصنة.
موقع حقيقي!
يشار إلى أن هذا الموقع كان مملوكاً لراديو سواز، وهي محطة إذاعية مستقلة على الإنترنت يستقر العاملون فيها في داخل كلية سواز.
كما سُمح لمتلقي البريد الإلكتروني بالتسجيل عبر "جيميل" و"ياهو" و"مايكروسوفت" و"آي كلاود" و"فيسبوك"، وبهذا كان يتسنى للقراصنة سرقة اسم المستخدم وكلمة المرور الخاصة به. بالطبع هذه ليست طريقة جديدة، لكن من سمات هذه العملية أنها استخدمت موقعاً حقيقياً لقرصنة المعلومات الشخصية للأفراد. ودعا القراصنة الناس للتسجيل من خلال الموقع المخترق.
"الأكثر غرابة وتعقيداً"
من جهته وصف شرود دي غريبو، أحد كبار المدراء التنفيذيين في شركة "بروف بوينت"، في تصريح لبي بي سي، مثل هذه العملية من قبل هؤلاء القراصنة بالـ"أكثر غرابة وتعقيداً" مقارنة بأعمالهم السابقة.
ووفق بي بي سي، فمحاولة هؤلاء الجواسيس الإلكترونيين التواصل مع أهدافهم عن طريق الهاتف أو مؤتمرات الفيديو بدلاً من البريد الإلكتروني يعد أمراً غير معتاد، إلا أنه يظهر ثقتهم ومهارتهم في التواصل باللغة الإنجليزية وتقديم أنفسهم كمحاضرين جامعيين بريطانيين.
لم تتضرر
من جانبها قالت كلية الدراسات الشرقية والأفريقية بجامعة لندن لبي بي سي إن القراصنة لم يستحوذوا على أي معلومات شخصية وإن منظومة البيانات لم تتضرر.
وحسب "موقع سواز"، فإن موقع الإذاعة منفصل عن الموقع الرسمي للكلية ولم يكن جزءاً من أي من مجالات الإنترنت الخاصة بالجامعة.
بدورها أعلنت الكلية في بيان أرسلته لبي بي سي: "في وقت سابق من هذا العام، عندما علمنا بوجود الموقع المزيف، تصرفنا على الفور وأبلغنا عن عملية خرق كالمعتاد، وراجعنا كيفية تنفيذ العملية واتخذنا خطوات لتطوير المزيد من الإجراءات الوقائية للحفاظ على مثل هذه الأنظمة الجانبية".
{{ article.visit_count }}
وفي حين تدور الشكوك حول وقوف الحرس الثوري الإيراني وراء المجموعة، أوضحت الشركة أنها ليست متأكدة بنسبة 100% بأن الحرس الثوري كان وراء العملية، لكنها قالت إن جميع الحيل والأساليب المستخدمة وأهداف الهجوم تشير إلى حد كبير لتورطه.
دردشة عبر الإنترنت
كما ذكرت "بي بي سي" الفارسي أن المجموعة التي تعرف أيضاً باسم "الفوسفور" أو "APT35"، قد اخترقت موقعاً إلكترونياً تابعاً لكلية الدراسات الشرقية والأفريقية بجامعة لندن (SOAS) بهدف قرصنة المعلومات الشخصية من الضحايا.
ووصفت "بروف بوينت" عمليات "الأساتذة الزائفين" بالمعقدة، مضيفة أن المهاجمين الإلكترونيين استهدفوا أشخاصاً معظمهم من الولايات المتحدة وبريطانيا، وسعوا للدردشة معهم عبر الإنترنت.
ماذا فعل القراصنة؟
في التفاصيل دعا "باحث وجامعي كبير" مزيف، مطلع عام 2021، زعم بأنه يحاضر في جامعة سواز بلندن، عبر رسائل بعثها بالبريد إلكتروني، المستهدفين إلى مؤتمر عبر الإنترنت بعنوان "تحديات أميركا الأمنية في الشرق الأوسط".
وكانت الرسائل المزيفة قد أرسلت بواسطة خدمة البريد الإلكتروني "جيميل" من قبل قراصنة يقال إنهم مرتبطون بالحرس الثوري الإيراني. وإذا قام أي شخص بالرد على هذه الرسائل، فكان يتلقى رابطا للتسجيل في أحد المواقع الحقيقية التابعة للجامعة والتي تم اختراقها من قبل القراصنة.
موقع حقيقي!
يشار إلى أن هذا الموقع كان مملوكاً لراديو سواز، وهي محطة إذاعية مستقلة على الإنترنت يستقر العاملون فيها في داخل كلية سواز.
كما سُمح لمتلقي البريد الإلكتروني بالتسجيل عبر "جيميل" و"ياهو" و"مايكروسوفت" و"آي كلاود" و"فيسبوك"، وبهذا كان يتسنى للقراصنة سرقة اسم المستخدم وكلمة المرور الخاصة به. بالطبع هذه ليست طريقة جديدة، لكن من سمات هذه العملية أنها استخدمت موقعاً حقيقياً لقرصنة المعلومات الشخصية للأفراد. ودعا القراصنة الناس للتسجيل من خلال الموقع المخترق.
"الأكثر غرابة وتعقيداً"
من جهته وصف شرود دي غريبو، أحد كبار المدراء التنفيذيين في شركة "بروف بوينت"، في تصريح لبي بي سي، مثل هذه العملية من قبل هؤلاء القراصنة بالـ"أكثر غرابة وتعقيداً" مقارنة بأعمالهم السابقة.
ووفق بي بي سي، فمحاولة هؤلاء الجواسيس الإلكترونيين التواصل مع أهدافهم عن طريق الهاتف أو مؤتمرات الفيديو بدلاً من البريد الإلكتروني يعد أمراً غير معتاد، إلا أنه يظهر ثقتهم ومهارتهم في التواصل باللغة الإنجليزية وتقديم أنفسهم كمحاضرين جامعيين بريطانيين.
لم تتضرر
من جانبها قالت كلية الدراسات الشرقية والأفريقية بجامعة لندن لبي بي سي إن القراصنة لم يستحوذوا على أي معلومات شخصية وإن منظومة البيانات لم تتضرر.
وحسب "موقع سواز"، فإن موقع الإذاعة منفصل عن الموقع الرسمي للكلية ولم يكن جزءاً من أي من مجالات الإنترنت الخاصة بالجامعة.
بدورها أعلنت الكلية في بيان أرسلته لبي بي سي: "في وقت سابق من هذا العام، عندما علمنا بوجود الموقع المزيف، تصرفنا على الفور وأبلغنا عن عملية خرق كالمعتاد، وراجعنا كيفية تنفيذ العملية واتخذنا خطوات لتطوير المزيد من الإجراءات الوقائية للحفاظ على مثل هذه الأنظمة الجانبية".