كشفت شركة "Mandiant" الناشطة في مجال الأمن السيبراني في تقريرها الجديد عن قراصنة إلكترونيين يعملون لصالح منظمة استخبارات الحرس الثوري الإيراني، يستهدفون ضحاياهم بجمع المعلومات عن حساباتهم الشخصية من خلال هجمات التصيد والتجسس الإلكترونيين وإنتاج البرامج الضارة وتوزيعها.
وذكر موقع "إيران بريفينغ": يكشف تقفي الأثر الأول لأنشطة هذه المجموعة، المسماة "APT42" - تعود لعام 2015 - أن أهداف هذه المجموعة في الغالب التجسس على مجموعة متنوعة من الأفراد والمنظمات، وفقا لأولويات ومصالح النظام الإيراني.
خلق الثقة بهدف الولوج إلى حسابات الضحايا
وتم تصميم عمليات قراصنة "APT42"، بهدف خلق الثقة لدى الضحية المستهدفة، بغية الولوج إلى حسابات شخصية ومؤسساتية لمسؤولين حكوميين أو شخصيات سياسية أو صانعي قرار إيرانيين سابقين ونشطاء التنظيمات المناهضة للنظام والصحافيين وأساتذة الجامعات الذين أجروا بحوثا عن إيران.
بعد أن سنحت الفرصة لهؤلاء القراصنة لسرقة معلومات عبر حسابات ضحاياهم، قاموا أحيانا بتثبيت برامج ضارة على أجهزة ويندوز أو هواتف أندرويد الخاصة بهم.
وتمكنت هذه البرامج الضارة من الإبلاغ عن موقع الشخص المستهدف وتسجيل محادثاته الهاتفية والوصول إلى الصور ومقاطع الفيديو على هاتفه المحمول واستنساخ جميع رسائله النصية الموجودة على جهازه المحمول.
وأظهر تقفي أثر "APT42" في أكثر من 30 عملية نفذت في 14 دولة مختلفة، بما في ذلك أستراليا والدول الأوروبية والشرق الأوسط والولايات المتحدة الأميركية، أظهر أن هذه المجموعة قد غيرت تركيز عملياتها في فترات زمنية مختلفة، حسب أولويات النظام الإيراني.
انتحال شخصية خبير لقاحات من أكسفورد
وفي إحدى الهجمات التي قامت بها مجموعة "APT42" في عام 2020 بالتزامن مع بدايات انتشار جائحة كورونا في العالم، حاولت هذه المجموعة مهاجمة وسرقة المعلومات من شركات الأدوية الأجنبية عن طريق إرسال رسائل بريد إلكترونية مزيفة، تحت اسم خبير لقاحات يعمل في جامعة أكسفورد البريطانية.
وفي العام الماضي، اتصل أعضاء هذه المجموعة أيضا ببعض الضحايا لمدة 37 يوما، باستخدام عناوين بريد إلكتروني تم الكشف عنها وكانت تابعة لمؤسسات إعلامية أميركية، وذلك عبر إرسال طلبات مزيفة لإجراء مقابلة، وقبل إرسال روابط لصفحات تصيد لسرقة المعلومات.
يعتقد باحثو "Mandiant" أنه بسبب حصانة مجموعة "APT42" التقنية، أنها لا تزال تواصل عمليات التجسس لصالح النظام الإيراني منذ فترات طويلة.
إلى ذلك، تُظهر الأنماط السلوكية والتكتيكية لهذه المجموعة في السنوات الماضية أن "APT42" مرتبطة بمجموعة قرصنة أخرى في إيران تُعرف باسم "APT35" أو "القطط الساحرة".
وذكر موقع "إيران بريفينغ": يكشف تقفي الأثر الأول لأنشطة هذه المجموعة، المسماة "APT42" - تعود لعام 2015 - أن أهداف هذه المجموعة في الغالب التجسس على مجموعة متنوعة من الأفراد والمنظمات، وفقا لأولويات ومصالح النظام الإيراني.
خلق الثقة بهدف الولوج إلى حسابات الضحايا
وتم تصميم عمليات قراصنة "APT42"، بهدف خلق الثقة لدى الضحية المستهدفة، بغية الولوج إلى حسابات شخصية ومؤسساتية لمسؤولين حكوميين أو شخصيات سياسية أو صانعي قرار إيرانيين سابقين ونشطاء التنظيمات المناهضة للنظام والصحافيين وأساتذة الجامعات الذين أجروا بحوثا عن إيران.
بعد أن سنحت الفرصة لهؤلاء القراصنة لسرقة معلومات عبر حسابات ضحاياهم، قاموا أحيانا بتثبيت برامج ضارة على أجهزة ويندوز أو هواتف أندرويد الخاصة بهم.
وتمكنت هذه البرامج الضارة من الإبلاغ عن موقع الشخص المستهدف وتسجيل محادثاته الهاتفية والوصول إلى الصور ومقاطع الفيديو على هاتفه المحمول واستنساخ جميع رسائله النصية الموجودة على جهازه المحمول.
وأظهر تقفي أثر "APT42" في أكثر من 30 عملية نفذت في 14 دولة مختلفة، بما في ذلك أستراليا والدول الأوروبية والشرق الأوسط والولايات المتحدة الأميركية، أظهر أن هذه المجموعة قد غيرت تركيز عملياتها في فترات زمنية مختلفة، حسب أولويات النظام الإيراني.
انتحال شخصية خبير لقاحات من أكسفورد
وفي إحدى الهجمات التي قامت بها مجموعة "APT42" في عام 2020 بالتزامن مع بدايات انتشار جائحة كورونا في العالم، حاولت هذه المجموعة مهاجمة وسرقة المعلومات من شركات الأدوية الأجنبية عن طريق إرسال رسائل بريد إلكترونية مزيفة، تحت اسم خبير لقاحات يعمل في جامعة أكسفورد البريطانية.
وفي العام الماضي، اتصل أعضاء هذه المجموعة أيضا ببعض الضحايا لمدة 37 يوما، باستخدام عناوين بريد إلكتروني تم الكشف عنها وكانت تابعة لمؤسسات إعلامية أميركية، وذلك عبر إرسال طلبات مزيفة لإجراء مقابلة، وقبل إرسال روابط لصفحات تصيد لسرقة المعلومات.
يعتقد باحثو "Mandiant" أنه بسبب حصانة مجموعة "APT42" التقنية، أنها لا تزال تواصل عمليات التجسس لصالح النظام الإيراني منذ فترات طويلة.
إلى ذلك، تُظهر الأنماط السلوكية والتكتيكية لهذه المجموعة في السنوات الماضية أن "APT42" مرتبطة بمجموعة قرصنة أخرى في إيران تُعرف باسم "APT35" أو "القطط الساحرة".