قراصنة إيرانيون يخترقون حسابات نشطاء وصحافيين وسياسيين

«هيومن رايتس ووتش» قالت إنهم مدعومون من النظام

صورة توضيحية للقرصنة السيبرانية تعود إلى 13 مايو 2017 (رويترز)

استهدف قراصنة إيرانيون مدعومون من النظام موظفين في «هيومن رايتس ووتش» وأكثر من 18 ناشطاً وصحافياً وباحثاً وأكاديمياً ودبلوماسياً وسياسياً يعملون في قضايا الشرق الأوسط، ضمن «حملة مستمرة من أساليب القرصنة التي تسمى (الهندسة الاجتماعية والتصيد الاحتيالي)»؛ وفق ما ذكرت «هيومن رايتس ووتش» في تقدير أمس (الاثنين).
ونسب تحقيق أجرته المنظمة هجوم التصيد الاحتيالي إلى كيان تابع للحكومة الإيرانية يُعرف باسم «إيه بي تي 42 (APT42)» ويُشار إليه أحياناً بـ«تشارمينغ كيتين (Charming Kitten»، بالعربية: «القطة الفاتنة». وحدد التحليل التقني الذي أجرته «هيومن رايتس ووتش»، بالاشتراك مع «مختبر الأمن» التابع لـ«منظمة العفو الدولية»، 18 ضحية إضافية استُهدفوا في جزء من الحملة نفسها. اختُرق البريد الإلكتروني والبيانات الحساسة الأخرى لثلاثة منهم على الأقل: «مراسل/ة» لصحيفة أميركية كبيرة، و«مدافع/ة» عن حقوق المرأة في منطقة الخليج، ونيكولاس نوي، استشاري المناصرة لـ«منظمة اللاجئين الدولية» في لبنان.
وقالت عبير غطاس، مديرة أمن المعلومات في «هيومن رايتس ووتش»: «يستخدم قراصنة الإنترنت الإيرانيون المدعومون من الدولة بضراوة أساليب متطورة للهندسة الاجتماعية وسرقة المعلومات الشخصية للوصول إلى البيانات الحساسة وجهات الاتصال التي يحتفظ بها باحثون ومنظمات للمجتمع المدني تركز على الشرق الأوسط. يزيد ذلك بشكل كبير المخاطر التي يواجهها الصحافيون والمدافعون عن حقوق الإنسان في إيران وأماكن أخرى في المنطقة».
وأضافت: «في منطقة الشرق الأوسط المليئة بتهديدات المراقبة التي يتعرض لها النشطاء، من الضروري للباحثين في مجال الأمن الرقمي ليس فقط نشر النتائج والترويج لها، ولكن أيضاً إعطاء الأولوية لحماية النشطاء والصحافيين وقادة المجتمع المدني المستهدفين في المنطقة».
بالنسبة إلى الأشخاص الثلاثة الذين عُرف تعرض حساباتهم للاختراق، تمكن المهاجمون من الوصول إلى رسائل البريد الإلكتروني، ومحركات التخزين السحابية، والروزنامات، وجهات الاتصال الخاصة بهم، وأجروا عملية «غوغل تيك آوت (Google Takeout)»، وهي خدمة تصدّر البيانات من الخدمات الأساسية والإضافية لحساب «غوغل».
وأبلغ العديد من شركات الأمن عن حملات «التصيد الاحتيالي» التي نفذتها «إيه بي تي 42» والتي تستهدف الباحثين، ومجموعات المجتمع المدني، والمعارضين الذين يركز عملهم على الشرق الأوسط. حدد معظم الشركات «إيه بي تي 42» على أنها الجهة المهاجِمة بناء على أنماط الاستهداف والأدلة التقنية. ربطت مؤسسات، مثل «غوغل» وشركات الأمن الرقمي «ريكوردِد فيوتشر» و«بروف بوينت» و«مانداينت»، «إيه بي تي 42» بالسلطات الإيرانية، ويساعد تحديد جهة التهديد وتسميتها الباحثين على تحديد النشاط السيبراني العدائي وتتبعه وربطه، طبقاً لتقرير «هيومن رايتس ووتش».
اتصلت «هيومن رايتس ووتش» ومنظمة العفو الدولية بالأشخاص الـ18 البارزين الذين حُددوا أهدافاً لهذه الحملة. رد 15 منهم وأكدوا أنهم تلقوا رسائل «واتساب» نفسها في ما بين 15 سبتمبر (أيلول) و25 نوفمبر (تشرين الثاني) 2022.
وأشار التقرير إلى أنه منذ عام 2010، يستهدف مشغلون إيرانيون أعضاء حكومات، وجيوشاً، وشركات أجنبية، بالإضافة إلى المعارضين السياسيين والمدافعين عن حقوق الإنسان. بمرور الوقت، أصبحت هذه الهجمات أكثر تعقيداً في طرق تنفيذ ما تُعرف بـ«الهندسة الاجتماعية». ووفقاً لشركة الأمن السيبراني «مانداينت» في الولايات المتحدة، كانت «إيه بي تي 42» مسؤولة عن عديد من هجمات التصيد الاحتيالي في أوروبا، والولايات المتحدة، والشرق الأوسط وشمال أفريقيا. في 14 سبتمبر 2022، فرض «مكتب مراقبة الأصول الأجنبية» بوزارة الخزانة الأميركية عقوبات على أفراد ينتمون إلى مجموعة «إيه بي تي 42».
وطالبت «هيومن رايتس ووتش» «غوغل» بـ«تعزيز التحذيرات الأمنية الخاصة بـ(جيميل) فوراً لتوفير حماية أفضل للصحافيين والمدافعين عن حقوق الإنسان، ومستخدميها الأكثر عرضة لخطر الهجمات».