إيران: قراصنة تدعمهم الدولة يخترقون حسابات نشطاء وصحفيين وسياسيين

تهدد حملة التصيد الاحتيالي المستمرة الجماعات المستقلة في المنطقة.

نشر هذا البيان أولًا على هيومن رايتس ووتش

حملة التصيد الإلكتروني المستمرة تهدد المجموعات المستقلة

(بيروت) – قالت “هيومن رايتس ووتش” اليوم إن قراصنة إنترنت مدعومين من الحكومة الإيرانية استهدفوا موظفين في هيومن رايتس ووتش، وما لا يقل عن 18 من النشطاء، والصحفيين، والباحثين، والأكاديميين، والدبلوماسيين، والسياسيين العاملين في قضايا الشرق الأوسط ضمن حملة مستمرة من أساليب القرصنة التي تسمى بالهندسة الاجتماعية والتصيد الاحتيالي.

نسب تحقيق أجرته هيومن رايتس ووتش هجوم التصيد الاحتيالي إلى كيان تابع للحكومة الإيرانية يُعرف بـ “إيه بي تي 42” (APT42) ويُشار إليه أحيانا بـ “تشارمينغ كيتين” (Charming Kitten، بالعربية: القطة الفاتنة). حدد التحليل التقني الذي أجرته هيومن رايتس ووتش بالاشتراك مع “مختبر الأمن” التابع لمنظمة العفو الدولية 18 ضحية إضافية استُهدفوا كجزء من الحملة نفسها. اختُرق البريد الإلكتروني والبيانات الحساسة الأخرى لثلاثة منهم على الأقل: مراسل/ة لصحيفة أمريكية كبيرة، ومدافع/ة عن حقوق المرأة في منطقة الخليج، ونيكولاس نوي، استشاري المناصرة لمنظمة اللاجئين الدولية في لبنان.

قالت عبير غطاس، مديرة أمن المعلومات في هيومن رايتس ووتش: “يستخدم قراصنة الإنترنت الإيرانيون المدعومون من الدولة بضراوة أساليب متطورة للهندسة الاجتماعية وسرقة المعلومات الشخصية للوصول إلى البيانات الحساسة وجهات الاتصال التي يحتفظ بها باحثون ومنظمات للمجتمع المدني تركز على الشرق الأوسط. يزيد ذلك بشكل كبير المخاطر التي يواجهها الصحفيون والمدافعون عن حقوق الإنسان في إيران وأماكن أخرى في المنطقة.”

بالنسبة إلى الثلاثة الذين عُرف تعرض حساباتهم للاختراق، تمكن المهاجمون من الوصول إلى رسائل البريد الإلكتروني، ومحركات التخزين السحابية، والروزنامات، وجهات الاتصال الخاصة بهم، وأجروا عملية “غوغل تيك آوت” (Google Takeout)، وهي خدمة تصدّر البيانات من الخدمات الأساسية والإضافية لحساب “غوغل”.

أبلغت العديد من شركات الأمن عن حملات التصيد الاحتيالي التي نفذتها إيه بي تي 42 والتي تستهدف الباحثين، ومجموعات المجتمع المدني، والمعارضين الذين يركز عملهم على الشرق الأوسط. حددت معظم الشركات إيه بي تي 42 على أنها الجهة المهاجِمة بناء على أنماط الاستهداف والأدلة التقنية. ربطت مؤسسات مثل غوغل وشركات الأمن الرقمي ريكوردِد فيوتشر، وبروف بوينت، و مانداينت إيه بي تي 42 بالسلطات الإيرانية. يساعد تحديد جهة التهديد وتسميتها الباحثين على تحديد النشاط السيبراني العدائي وتتبعه وربطه.

في أكتوبر / تشرين الأول 2022، تلقى/ت موظف/ت في هيومن رايتس ووتش يعمل/تعمل في منطقة الشرق الأوسط وشمال أفريقيا رسائل مشبوهة على واتساب من شخص ينتحل صفة أحد العاملين في مؤسسة أبحاث في لبنان ودعا الموظف/ة إلى مؤتمر. كشف التحقيق المشترك أنه عند النقر على روابط التصيد الاحتيالي المرسلة عبر واتساب، تتم الإحالة إلى صفحة تسجيل دخول مزيفة تلتقط كلمة مرور البريد الإلكتروني للمستخدم ورمز المصادقة. حقق فريق البحث في البنية التحتية التي استضافت الروابط الخبيثة وكشف أهدافا إضافية لهذه الحملة المستمرة.

اتصلت هيومن رايتس ووتش ومنظمة العفو الدولية بالأشخاص الـ 18 البارزين الذين حُددوا كأهداف لهذه الحملة. رد 15 منهم وأكدوا أنهم تلقوا نفس رسائل واتساب ما بين 15 سبتمبر / أيلول و25 نوفمبر / تشرين الثاني 2022.

في 23 نوفمبر / تشرين الثاني 2022، تم استهداف موظف/ة ثانٍ/ية في هيومن رايتس ووتش. تلقى/ت رسائل واتساب نفسها من الرقم نفسه الذي اتصل بالأهداف الأخرى.

تشكل الهندسة الاجتماعية ومحاولات التصيد الاحتيالي مكونات رئيسية للهجمات الإلكترونية الإيرانية. منذ العام 2010، يستهدف مشغلون إيرانيون أعضاء حكومات، وجيوش، وشركات أجنبية، بالإضافة إلى المعارضين السياسيين والمدافعين عن حقوق الإنسان. بمرور الوقت، أصبحت هذه الهجمات أكثر تعقيدا في طرق تنفيذ ما يُعرف بالهندسة الاجتماعية.

وفق لشركة الأمن السيبراني مانديانت في الولايات المتحدة، كانت إيه بي تي 42 مسؤولة عن عديد من هجمات التصيد الاحتيالي في أوروبا، والولايات المتحدة، والشرق الأوسط وشمال أفريقيا. في 14 سبتمبر / أيلول 2022، فرض مكتب مراقبة الأصول الأجنبية بوزارة الخزانة الأمريكية عقوبات على أفراد ينتمون إلى مجموعة إيه بي تي 42.

كشف التحقيق أيضا عن أوجه القصور في إجراءات الحماية الأمنية التي توفرها غوغل لحماية بيانات المستخدمين. قال الأفراد الذين استُهدفوا بنجاح من خلال هجوم التصيد الاحتيالي لـ هيومن رايتس ووتش إنهم لم يدركوا أن حساباتهم على “جيميل” تعرضت للاختراق أو أن عملية غوغل تيك آوت بدأت. يرجع ذلك جزئيا إلى أن التحذيرات الأمنية ضمن نشاط حساب غوغل لا تقدم أو تعرض أي إشعار دائم في البريد الوارد للمستخدم، ولا ترسل رسالة تنبيه إلى تطبيق جيميل على هواتفهم.

كشفت المراجعة الأمنية للنشاط ​​في غوغل أن المهاجمين تمكنوا من الوصول إلى حسابات الأهداف فورا تقريبا بعد الاختراق، وحافظوا على إمكانية الوصول إلى الحسابات حتى أبلغتهم هيومن رايتس ووتش وفريق البحث في منظمة العفو الدولية وساعداهم على فصل جهاز المهاجم المتصل.

قالت هيومن رايتس ووتش إن على غوغل تعزيز التحذيرات الأمنية الخاصة بجيميل فورا لتوفير حماية أفضل للصحفيين والمدافعين عن حقوق الإنسان ومستخدميها الأكثر عرضة لخطر الهجمات.

قالت غطاس: “في منطقة الشرق الأوسط المليئة بتهديدات المراقبة التي يتعرض لها النشطاء، من الضروري للباحثين في مجال الأمن الرقمي ليس فقط نشر النتائج والترويج لها، ولكن أيضا إعطاء الأولوية لحماية النشطاء والصحفيين وقادة المجتمع المدني المستهدفين في المنطقة”.

التحليل التقني لحملة التصيد الاحتيالي

في 18 أكتوبر / تشرين الأول 2022، تلقى/ت موظف/ة في هيومن رايتس ووتش يعمل/تعمل في منطقة الشرق الأوسط وشمال أفريقيا رسالة على وتساب تزعم أنها من مؤسسة أبحاث مقرها لبنان، ودعت المتلقي/ة إلى مؤتمر. استخدمت الدعوة تنسيق دعوات سابقة من هذه المؤسسة، ما يشير إلى مستوى متطور من الهندسة الاجتماعية. الشخص الذي انتحلتْ صفته مجموعة إيه بي تي 42 في رسائل واتساب كان يعمل سابقا في مؤسسة الأبحاث.

أرسل/ت موظف/ة هيومن رايتس ووتش هذه الرسائل إلى فريق أمن المعلومات، الذي أكد أنها كانت محاولة تصيد احتيالي. لو نقر/ت الموظف/ة على الرابط: the cutly[.]biz، لكان أعيد توجيهه/ا إلى عنوان الويب:   https://sharefilesonline[.]live/xxxxxx/BI-File-2022.html، الذي يستضيف صفحة تسجيل دخول وهمية إلى مايكروسوفت.

رابط التقرير بالكامل.