استخدم قراصنة تابعون للنظام الإيراني أساليب جديدة لاستهداف شخصيات بارزة في مجال الأمن النووي، وأبحاث الجينوم، وخبراء في مجال شؤون الشرق الأوسط.
وأظهرت التحقيقات التي نشرتها شركة “بروف بوينت” للأمن السيبراني أن “هذه الهجمات تتماشى مع حملة الهندسة الاجتماعية الجديدة التي يقوم بها الحرس الثوري الإيراني، والتي تهدف إلى جمع معلومات حساسة”.
كما تتماشى أنشطة مجموعة القراصنة هذه المسماة “TA453″، مع مجموعات قرصنة أخرى تابعة للنظام الإيراني، مثل “APT42″ و”صغار القطة الجذابة” و”فسفروس”.
ويقوم القراصنة في الحملة الجديدة بانتحال شخصيات تنشط في منظمات أبحاث السياسة الخارجية في الغرب، لجمع معلومات نيابة عن الحرس الثوري الإيراني.
وتشمل الشخصيات المنتحلة أشخاصًا يعملون في مراكز مثل: مركز “بيو” للأبحاث، ومعهد أبحاث السياسة الخارجية، ومعهد “تشاتام هاوس” والمعروف رسميًا باسم المعهد الملكي للشؤون الدولية، ومجلة “نيتشر”.
يشار إلى أن الأسلوب الجديد المستخدم في هذه الحملة تم تنفيذه منذ منتصف حزيران 2022.
وما يميز هذه الحملة عن الهجمات الأخرى في الماضي هو استخدام أسلوب يسمى “تزوير هوية متعددة الشخصية”.
ويستخدم القراصنة في هذا الأسلوب بدلا من الهوية المزيفة، يستخدمون العديد من الهويات المزيفة خاضعة للرقابة للتواصل مع الضحية، ويقومون بهذه الطريقة بزيادة فرص نجاح الهجوم.
والغرض من تطبيق هذه الفكرة التي تعمل على مبدأ علم النفس “العقل الاجتماعي” هو زيادة مصداقية المراسلات مع الضحية المستهدفة، وتقليل احتمالية الكشف عن تزييف الموضوع والأشخاص والمحادثات.
وتتطلب هذه الطريقة أيضاً تنسيقاً أعلى لإدارة الهويات المزيفة المتعددة بشكل متزامن.
وبحسب هذا الأسلوب، يقوم القراصنة بإرسال بريدهم الإلكتروني نيابة عن هوية مزيفة، ويضيفون العديد من الهويات المزيفة الأخرى إلى هذا البريد الإلكتروني.
وبعد أن يرد الضحية على أول رسالة بريد إلكتروني، يقوم المتسللون في رسائل البريد الإلكتروني التالية، بإرسال رابط من تطبيق Microsoft Office ملوث.
ويسمح هذا الملف للمتسلل بالوصول إلى أسماء المستخدمين وقائمة الأنشطة الأخيرة قيد التشغيل في الجهاز وعنوان IP الخاص بالضحية.
في إحدى الحالات، انتحل القراصنة شخصية آرون شتاين، رئيس الأبحاث في معهد أبحاث السياسة الخارجية، وحاولوا طرح أسئلة على الضحية حول إسرائيل والعراق ودول الخليج واتفاق إبراهيم.
ويتم طرح هذه الأسئلة بشكل عام لتوفير ذريعة لإرسال الرابط الملوث في المراحل التالية، كما أن هناك احتمالا بأن هذه الأسئلة يتم طرحها مباشرة من قبل الحرس الثوري الإيراني لأغراض استخباراتية.
وإضافة إلى هوية شتاين المزيفة في الحالة المذكورة، يتضمن البريد هوية ريتشارد وايك، مدير الأبحاث في مركز “بيو” أيضا باعتباره هوية مزيفة ثانية.
وبعد يوم من إرسال بريد الإلكتروني من قبل شتاين، دخل ريتشارد وايك المزيف أيضًا المحادثة، وطلب من الضحية مشاركة آرائه حول الموضوع المذكور.
وأضاف التقرير الذي نشرته “بروف بوينت” أن “مهمة المتسللين بهذه الطريقة تتمحور حول استخراج المعلومات فقط، ولا يتم استغلال آخر بعد اختراق النظام”.
إلى ذلك، كشفت شركة “منديانت” للأمن السيبراني في الأسبوع الماضي، عن “مجموعة قراصنة تابعة لمنظمة استخبارات الحرس الثوري الإيراني”.
وتأتي الهجمات الإلكترونية للحرس الثوري بينما أكد المبعوث الألماني الدائم لدى الأمم المتحدة مؤخراً رداً على الهجوم السيبراني الأخير الذي شنه عناصر تابعون لإيران ضد ألبانيا، أكد على “ضرورة محاسبة طهران على هذا الهجوم على البنية التحتية لهذا البلد”.
وقال المندوب الدائم لألمانيا لدى الأمم المتحدة إن “الأمن السيبراني قضية أساسية، وقد أكد ممثل السياسة الخارجية الألمانية للشؤون السيبرانية عزمنا على الحساب المناسب فيما يتعلق بهذه القضية بالتعاون مع الشركاء”.
وعلى الرغم من هذا، وصف المركز الوطني للفضاء السيبراني الإيراني، تقرير ألبانيا حول الهجوم السيبراني الإيراني على بنيتها التحتية بأنه “لا أساس له”، وأعلن عن استعداد طهران من أجل التنسيق وإرسال وفد فني للتحقيق في المشكلة وتبادل المعلومات الفنية.