مجموعة APT42 تستهدف نشطاء وصحفيين ومسؤولين أمريكيين مناهضين لإيران
قال باحثون وخبراء يتابعون مجموعة الاختراق الإلكتروني الإيرانية التي اخترقت حملة المرشح الرئاسي الجمهوري دونالد ترامب إنها معروفة بوضع برامج مراقبة على الهواتف المحمولة لضحاياها مما يمكنهم من تسجيل المكالمات وسرقة الرسائل النصية وتشغيل الكاميرات والميكروفونات بصمت.
ويعتقد على نطاق واسع أن القراصنة الإيرانيين المتهمين، والذين يُعرفون باسم APT42 أو CharmingKitten لدى مجتمع أبحاث الأمن السيبراني، مرتبطون بقسم استخباراتي داخل الجيش الإيراني، يُعرف باسم منظمة استخبارات الحرس الثوري الإسلامي أو IRGC-IO.
وقال مصدر لرويترز إن ظهورهم في الانتخابات الأمريكية جدير بالملاحظة، بسبب نهجهم التجسسي الغازي ضد أهداف عالية القيمة في واشنطن وإسرائيل.
وأوضح جون هولتكويست، كبير المحللين في شركة مانديانت للأمن السيبراني الأمريكية، الذي أشار إلى أبحاث سابقة وجدت أن المجموعة تراقب الهواتف المحمولة للناشطين والمحتجين الإيرانيين: “ما يجعل (APT42) خطيرة بشكل لا يصدق هو فكرة أنها منظمة لها تاريخ في استهداف الأشخاص المعنيين جسديًا”.
وقال متحدث باسم البعثة الإيرانية الدائمة لدى الأمم المتحدة في نيويورك في رسالة بالبريد الإلكتروني إن “الحكومة الإيرانية لا تملك ولا تضمر أي نية أو دافع للتدخل في الانتخابات الرئاسية الأمريكية”.
في المقابل أكد المتحدثون باسم ترامب أن إيران تستهدف الرئيس السابق والمرشح الجمهوري الحالي لأنهما لا يؤيدان سياساته تجاه طهران.
مستهدفة للغاية
لم يتم ذكر اسم طاقم APT42 الذي استهدف ترامب رسميًا في لوائح اتهام إنفاذ القانون الأمريكية أو التهم الجنائية، مما يترك تساؤلات حول هيكلهم وهويتهم، لكن الخبراء يعتقدون أنهم يمثلون تهديدًا كبيرًا.
وقال ليفي جوندرت، كبير مسؤولي الأمن في شركة الاستخبارات الإلكترونية الأمريكية Recorded Future وعميل خاص سابق في الخدمة السرية: “إن جهاز الاستخبارات التابع للحرس الثوري الإيراني مكلف بجمع المعلومات الاستخباراتية للدفاع عن مصالح الجمهورية الإسلامية وتعزيزها. وإلى جانب فيلق القدس، فإنهم أقوى كيانات الأمن والاستخبارات داخل إيران”.
في شهر مارس/آذار، اكتشف محللو شركة Recorded Future محاولات قرصنة من قبل مجموعة APT42 ضد مجموعة إعلامية مقرها الولايات المتحدة تدعى Iran International، والتي قالت السلطات البريطانية في وقت سابق إنها كانت هدفًا للعنف الجسدي وتهديدات الإرهاب من قبل عملاء مرتبطين بإيران.
وقال هولتكويست إن المتسللين يستخدمون عادة برامج ضارة للهواتف المحمولة تسمح لهم “بتسجيل المكالمات الهاتفية، وتسجيلات الصوت في الغرف، وسرقة رسائل SMS (النصية)، وأخذ الصور من الجهاز”، وجمع بيانات الموقع الجغرافي.
في الأشهر الأخيرة، أرسل مسؤولو حملة ترامب رسالة إلى الموظفين تحذرهم من توخي الحذر بشأن أمن المعلومات، وفقًا لشخص مطلع على الرسالة. وقال الشخص، الذي طلب عدم الكشف عن هويته لأنه غير مسموح له بالتحدث إلى وسائل الإعلام، إن الرسالة حذرت من أن الهواتف المحمولة ليست أكثر أمانًا من الأجهزة الأخرى وتمثل نقطة ضعف مهمة.
كما تقوم مجموعة APT42 بشكل شائع بانتحال شخصية الصحفيين ومراكز الأبحاث في واشنطن في عمليات هندسة اجتماعية معقدة تعتمد على البريد الإلكتروني بهدف إغراء المستهدفين بفتح رسائل مفخخة، مما يسمح لهم بالاستيلاء على الأنظمة.
وقال جوش ميلر، محلل التهديدات في شركة بروف بوينت لأمن البريد الإلكتروني، إن “حملات التصيد الاحتيالي التي تقوم بها المجموعة تستهدف بشكل كبير وتستند إلى أبحاث جيدة؛ وتستهدف المجموعة عادة عددًا صغيرًا من الأفراد”. وغالبًا ما تستهدف نشطاء مناهضين لإيران، ومراسلين لديهم إمكانية الوصول إلى مصادر داخل إيران، وأكاديميين من الشرق الأوسط ومستشارين في السياسة الخارجية. وشمل ذلك اختراق مسؤولين حكوميين غربيين ومقاولين دفاعيين أمريكيين.
على سبيل المثال، في عام 2018، استهدف المتسللون العاملين في المجال النووي ومسؤولي وزارة الخزانة الأمريكية في الوقت الذي انسحبت فيه الولايات المتحدة رسميا من خطة العمل الشاملة المشتركة، وفقا لما قاله أليسون ويكوف، المحلل البارز للاستخبارات السيبرانية في شركة الخدمات المهنية برايس ووتر هاوس كوبرز.
بدأ ظهور مجموعة APT42 علناً في السباق الرئاسي الجاري في وقت سابق من هذا الشهر بعد تقرير أصدرته شركة مايكروسوفت في التاسع من أغسطس/آب، والذي قال إن المجموعة كانت تحاول اختراق موظفين في حملة رئاسية لم يتم الكشف عن اسمها.
ولا تزال مجموعة APT42 تستهدف بشكل نشط مسؤولي الحملة الانتخابية وشخصيات إدارة ترامب السابقة التي تنتقد إيران، وفقًا لمدونة نشرها فريق أبحاث الأمن السيبراني في جوجل.