القراصنة الإيرانيون يلتفون على التطبيقات المشفرة

أعضاء من جماعة مجاهدي خلق ينظمون وقفة احتجاجية بعد إعدام المصارع الإيراني في أمستردام الأسبوع الماضي (أ.ف،ب)

كشف تقريران للأمن السيبراني، صدرا الجمعة، أن قراصنة الإنترنت الإيرانيين، غالبيتهم موظفون أو منتسبون للحكومة، يعكفون في الوقت الحالي على إدارة عمليات تجسس إلكتروني واسعة النطاق، مزودة بأدوات مراقبة يمكنها التغلب على أنظمة الرسائل المشفرة، وهي القدرات التي لم تكن معروفة في إيران من قبل.
ولا تستهدف العملية المنشقين المحليين والأقليات الدينية والعرقية والنشطاء المناهضين للحكومة في الخارج فحسب، بل يمكن استخدامها أيضاً للتجسس على عامة الناس داخل إيران، وفقاً لتقارير صدرت عن مؤسسة «سوفتوير بوينت تكنولوجيز» المعنية بالأمن السيبراني، ومجموعة «ميان»؛ المنظمة المعنية بحقوق الإنسان التي تركز على الأمن الرقمي في الشرق الأوسط.
وأفادت صحيفة «نيويورك تايمز» عن التقارير، قبل إصدارها، بأن القراصنة نجحوا في التسلل إلى ما كان يعتقد أنه هواتف محمولة آمنة، وأجهزة كومبيوتر تابعة لأشخاص مستهدفين، وتغلبوا على العقبات التي أنشأتها التطبيقات المشفرة، مثل «تلغرام»، وفقاً لـ«ميان»، ونجحوا أيضاً في الوصول إلى المعلومات على منصة التواصل «واتساب»، وكلاهما من أدوات المراسلة الشائعة في إيران.
وكشفت التقارير أن المتسللين ابتكروا أيضاً برامج ضارة متخفية في صورة تطبيقات «أندرويد».
وقال متحدث باسم «تلغرام» إن الشركة لم تكن على دراية بعملية القرصنة الإيرانية، لكن «لا يمكن لأي منصة منع تقليدها» من قبل محتالين ينجحون في إقناع المستخدمين بإدخال بياناتهم إلى موقع إلكتروني ضار. وقد رفضت منصة التواصل «واتساب» التعليق.
وتشير التقارير إلى حدوث تقدم كبير في مهارات قراصنة المخابرات الإيرانية. وجاءت هذه الأخبار وسط تحذيرات من قِبل واشنطن من أن إيران تستخدم أساليب التخريب السيبراني، في محاولة للتأثير على الانتخابات الأميركية. وقد حدد ممثلو الادعاء الفيدراليون، الأربعاء، شخصين إيرانيين قالوا إنهما اخترقا أجهزة كومبيوتر أميركية، وسرقا بيانات لصالح الحكومة الإيرانية لتحقيق مكاسب مالية.
وقال أمير رشيدي، مدير الحقوق الرقمية والأمن والباحث، في تقرير صدر مؤخراً عن «ميان»، إن «سلوك إيران على الإنترنت، من الرقابة إلى القرصنة، بات أكثر عدوانية من أي وقت مضى».
ووفقاً لتقرير صدر عن وحدة المعلومات في «تيشك بوينت»، فقد بدأت عمليات التجسس الإلكتروني عام 2014، ولم يجرِ اكتشاف تلك القدرات الكاملة طيلة 6 سنوات.
وتتبعت «ميان» العملية الأولى حتى فبراير (شباط) 2018، التي بدأت برسالة بريد إلكتروني خبيثة استهدفت جماعة دينية صوفية في إيران، بعد مواجهة عنيفة بين أعضائها وقوات الأمن الإيرانية.
وأظهرت عمليات التتبع أن البرمجيات الخبيثة المستخدمة في ذلك الهجوم وهجمات أخرى، في يونيو (حزيران) 2020، انطلاقاً من شركة تكنولوجيا خاصة في مدينة مشهد (شمال شرقي إيران) تحمل اسم «أندروميدا».
وأفاد باحثو «ميان» بأن «أندروميدا» تتبع نمطاً لمهاجمة النشطاء ومجموعات الأقليات العرقية وجماعات المعارضة الانفصالية، لكنهم طوروا أيضاً أدواتاً للتصيد والبرامج الضارة التي يمكن أن تستهدف عامة الناس.
ووفقاً لتقرير «ميان»، يبدو أن المتسللين لديهم هدف واضح، وهو سرقة معلومات عن جماعات المعارضة الإيرانية في أوروبا والولايات المتحدة، والتجسس على الإيرانيين الذين غالباً ما يستخدمون تطبيقات الهاتف المحمول للتخطيط للاحتجاجات.
وذكرت التقارير أن من بين أبرز ضحايا الهجمات جماعات مثل «مجاهدي خلق»، ومجموعة تُعرف باسم جمعية «عائلات معسكر أشرف وسكان الحرية»، و«منظمة المقاومة الوطنية الأذربيجانية»، ومواطني محافظة سيستان وبلوشستان المضطربة في إيران، ووكالة «هارنا» الإيرانية للأبناء، وكذلك محامي وصحافيي حقوق الإنسان العاملين في إذاعة «صوت أميركا»؛ وجميعهم تم استهدافهم بعمليات القرصنة.
وبحسب «تشيك بوينت»، يستخدم القراصنة مجموعة متنوعة من تقنيات التسلل، بما في ذلك التصيد الاحتيالي، لكن الطريقة الأكثر انتشاراً هي إرسال ما يبدو أنه مستندات وتطبيقات مغرية إلى أهداف محددة بعناية.
وإحدى هذه التقنيات كانت وثيقة باللغة الفارسية، بعنوان «النظام يخشى انتشار المدافع الثورية»، في إشارة إلى الصراع بين الحكومة ومنظمة «مجاهدي خلق»، أرسلت إلى أعضاء تلك الحركة، فيما أخفيت وثيقة أخرى في شكل تقرير ينتظره على نطاق واسع نشطاء حقوق الإنسان، تتعلق بباحث في الأمن السيبراني. واحتوت تلك المستندات على رمز برنامج ضار قام بتنشيط عدد من أوامر برامج التجسس من خلال خادم خارجي، عندما فتحها المتسلمون على أجهزة الكومبيوتر الخاصة بهم أو هواتفهم.
ووفقاً لتقرير «تيشك بوينت»، كانت جميع الأهداف تقريباً منظمات ومعارضي الحكومة الذين غادروا إيران، ويقيمون الآن في أوروبا، ووثقت «ميان» أهدافاً في الولايات المتحدة وكندا وتركيا، بالإضافة إلى الاتحاد الأوروبي.
وساعد برنامج التجسس المهاجمين في الوصول إلى أي ملف تقريباً، وتسجيل بيانات الحافظة، والتقاط لقطات للشاشة (سكرين شوت)، وسرقة المعلومات. ووفقاً لـ«ميان»، فقد مكن أحد التطبيقات المتسللين من تنزيل البيانات المخزنة على «واتساب».
وعلاوة على ذلك، اكتشف المهاجمون ضعفاً في بروتوكولات التثبيت لدى كثير من التطبيقات المشفرة، بما في ذلك «تلغرام»، التي كانت تُعد دائماً آمنة نسبياً، مما مكنهم من سرقة ملفات تثبيت التطبيقات.
وتتيح هذه الملفات بدورها للمهاجمين الاستفادة الكاملة من حسابات الضحايا على «تلغرام». ورغم أن المهاجمين لا يستطيعون فك تشفير الاتصالات المشفرة لـ«تلغرام»، فإن استراتيجيتهم تجعل من ذلك مهمة غير ضرورية. فبدلاً من ذلك، فإنهم يستخدمون ملفات التثبيت المسروقة لإنشاء عمليات تسجيل دخول إلى «تلغرام» لتنشيط التطبيق بأسماء الضحايا على جهاز آخر، وهو ما يتيح للمهاجمين مراقبة جميع أنشطة «تلغرام» للضحايا سراً.
وفي هذا السياق، قال رئيس قسم المعلومات المهددة في «تشيك بوينت»، لوتيم فينكلستين، إنه قد «نجحت عملية المراقبة المتطورة هذه في البقاء تحت الرادار لمدة 6 أعوام على الأقل. فقد واصلت المجموعة الهجوم المستهدف متعدد المنصات على الهواتف المحمولة وأجهزة الكومبيوتر المكتبية، وما هو محفوظ على شبكة الإنترنت، وهو ما حرم الضحايا من أي فرصة للنجاة».
ونوه فينكلشتاين بأن المهاجمين «صمموا أسلحتهم الإلكترونية لاستهداف تطبيقات المراسلة الفورية تقنياً، حتى تلك التي تعد آمنة».
وقال خبراء «ميان» إن الشركة الإيرانية المرتبطة بالمهاجمين «أندروميدا» قد ورد ذكرها في 3 تقارير سابقة على الأقل، تربطهم بسرقة المعلومات من خلال البرامج الضارة. وكشف تقرير «ميان» أن أدوات الهجوم في تلك الحالات تشير إلى أنها «صممت وصنعت وأديرت من قبل القراصنة أنفسهم».
وعزا رشيدي، الباحث في «ميان»، نجاح المتسللين جزئياً إلى ما وصفه بمهاراتهم الاجتماعية في الخداع الذي يجذب الضحايا إلى الفخ. وعلى سبيل المثال، تم تصميم أحد البرامج الضارة التي تستهدف المنشقين في السويد في صورة تعليمات باللغة الفارسية للإيرانيين الذين يسعون للحصول على رخص قيادة سويدية، فيما يعد تطبيق آخر يستهدف الإيرانيين العاديين بمنح المستخدمين فرصاً أكبر للتعامل مع تطبيقات التواصل الاجتماعي، مثل «تلغرام» و«إنستغرام».
وقال فينكلشتاين إنه من «المحتمل جداً» أن يكون المتسللون أشخاصاً يعملون لحسابهم الخاص، جرى تجنيدهم من قبل المخابرات الإيرانية، كما كان الحال في حلقات القرصنة الإيرانية السابقة، مضيفاً أن البنية التحتية للعملية دفعت «تشيك بوينت» إلى استنتاج أن الهجمات «تدار من قبل كيانات إيرانية ضد منشقين عن النظام».
وفي السياق ذاته، قال باباك جلبي (37 عاماً)، المتحدث باسم منظمة المقاومة الوطنية الأذربيجانية التي تروج لحقوق الأتراك العرقيين في إيران، إن جهاز الكومبيوتر الخاص به قد تعرض للاختراق من قبل هذه المجموعة في أواخر عام 2018، عندما تلقى بريداً إلكترونياً يحتوي على رابط نقر عليه.
وقال الجلبي إنه أجرى مقابلة مع قناة «العربية» التلفزيونية حول الأمن السيبراني الإيراني، وبعد 3 أيام تلقى رسالة بريد إلكتروني من شخص متنكر في زي محرر قناة العربية، يبلغه فيها بأن الشبكة تلقت شكاوى من إيران بشأن مقابلته، وطالبته بالاطلاع على الشكاوى من خلال رابط. وعندما نقر الجلبي على الرابط، تم اختراق جهاز الكومبيوتر الخاص به. وبعد ذلك مباشرة، اتصل الجلبي برشيدي الذي يعمل في «ميان»، والذي استعرض ملفاته وبريده الإلكتروني، وأكد أن هذه المجموعة من المتسللين هي من تقف وراء الاختراق.
- خدمة «نيويورك تايمز»