إيران تكشف عن مجموعة قراصنة جديدة ذات صلة بمخابرات الحرس الثوري الإيراني

  • تعود الآثار الأولى لأنشطة هذه المجموعة، المسماة APT42 ، إلى عام 2015 على الأقل.
  • يعتقد باحثو مانديانت أنه بسبب عدم القابلية للاختراق APT42 للتقارير العامة أو تدمير البنية التحتية التقنية.

في تقرير جديد تابع لشركة الأمن السيبراني مانديانت (Mandiant), تم الكشف عن إحدى مجموعات القرصنة التابعة لجهاز مخابرات الحرس الثوري الإيراني. وتضمنت العمليات الرئيسية لهذه المجموعة جمع معلومات عن حسابات الأشخاص من خلال هجمات التصيد، والتجسس على أنشطة الضحايا وإنتاج برامج ضارة وتوزيعها.

وتعود الآثار الأولى لأنشطة هذه المجموعة، المسماة APT42 ، إلى عام 2015 على الأقل.

وأهدافها في الغالب ضد مجموعة متنوعة من الأفراد والمنظمات الذين يتماشى التجسس عليهم استراتيجيًا مع أولويات ومصالح النظام الإيراني.

وتضمنت عمليات APT42، المصممة بهدف خلق الثقة في الضحية المستهدفة، الوصول إلى حسابات شخصية وتنظيمية لمسؤولين حكوميين أو شخصيات سياسية أو سياسيين إيرانيين سابقين، ونشطاء الجماعات المناهضة للنظام، والصحفيين وأساتذة جامعيين يجرون أبحاثًا عن إيران.

وبعد أن تتمكن هذه المجموعة من سرقة معلومات حساب ضحاياها، تقوم أحيانًا بتثبيت برامج ضارة على أجهزة “ويندوز” أو هواتف “آندرويد” الخاصة بهم.

وتستطيع هذه البرامج الضارة الإبلاغ عن موقع الشخص وتسجيل المحادثات الهاتفية والوصول إلى الصور ومقاطع الفيديو على الهاتف وإرسال جميع الرسائل النصية الموجودة على الجهاز إلى المهاجم.

وتم متابعة خطى مجموعة APT42 في أكثر من 30 عملية في 14 دولة مختلفة، بما في ذلك أستراليا والدول الأوروبية والشرق الأوسط والولايات المتحدة الأميركية، وتظهر أن هذه المجموعة قد غيرت تركيز عملياتها في فترات زمنية مختلفة حسب أولويات النظام الإيراني.

وفي إحدى هجمات APT42 التي حدثت عام 2020 وفي بداية وباء كورونا بالعالم، حاولت هذه المجموعة مهاجمة وسرقة المعلومات من شركات الأدوية الأجنبية عن طريق إرسال رسائل بريد إلكتروني مزيفة تحت اسم خبير لقاح من جامعة أكسفورد.

وخلال العام الماضي، استخدم أعضاء المجموعة أيضًا عناوين البريد الإلكتروني المسربة من المؤسسات الإعلامية الأميركية لإرسال طلبات مقابلة مزيفة، وقبل إرسال روابط إلى صفحات التصيد لسرقة معلومات الضحايا، كانوا على اتصال ببعضهم لمدة 37 يومًا.

ويعتقد باحثو مانديانت أنه بسبب عدم القابلية للاختراق APT42 للتقارير العامة أو تدمير البنية التحتية التقنية، ستواصل هذه المجموعة عمليات التجسس لصالح إيران على المدى الطويل.

بالإضافة إلى ذلك، تُظهر الأنماط السلوكية والفنية لهذه المجموعة في السنوات الماضية أن APT42 مرتبطة بمجموعة قرصنة أخرى في إيران تُعرف باسم APT35 أو “صغار القطط الفاتنة”.