تقرير يكشف أسلوب «الهاكرز الإيراني» في هجمات التجسس الإلكتروني
كشفت وحدة مكافحة التهديدات لدى شركة «سكيوروركس» العالمية عن هجمة إلكترونية نسائية إغرائية تقوم بها مجموعة إيرانية تعمل في مجال التجسس الإلكتروني، ويطلق عليها لقب كوبالت جيبسي أو Cobalt Gypsy (وتعرف أيضاً باسم أويلريغ OilRig)، والتي يُعتقد بأنها تعمل نيابةً عن الحكومة الإيرانية.
ونجحت المجموعة في إغراء المدراء التنفيذيين العاملين في قطاع أمن تقنية المعلومات، والتكنولوجيا، والنفط والغاز في عدّة بلدان، ودفعهم للإفصاح عن بياناتهم وحساباتهم السرية، وذلك من خلال استخدام وسائل الإغراء.
وتعود بدايات هذه الهجمات إلى شهري يناير وفبراير من العام 2017، إذ شهد خبراء وحدة مكافحة التهديدات لدى سيكيوروركس آنذاك انطلاق عدة حملات إلكترونية احتيالية، استهدفت منشآت وهيئات حيوية في منطقة الشرق الأوسط وشمال إفريقيا.
وقد استعانت هذه الحملات بأداة بوبي رات PupyRat للوصول والتحكم عن بعد والمتاحة على نطاق واسع، وعند فشل الحملات الاحتيالية الأولية عبر رسائل البريد الإلكتروني، لاحظ خبراء وحدة مكافحة التهديدات وجود حملات احتيالية عالية التوجيه والتركيز تنطلق عبر وسائل التواصل الاجتماعي من شخصية تطلق على نفسها اسم ميا آش.
وكشفت عمليات التحليل المعمقة عن وجود مجموعة مهيكلة من ملفات التعريف الشخصية المزيفة الخاصة بوسائل التواصل الاجتماعي، والتي يبدو أنه قد تم تصميمها من أجل بناء أواصر الثقة وتوطيد العلاقات مع الشخصيات المستهدفة، وتشير الروابط المدرجة ضمن هذه الملفات الشخصية إلى استهدافها الكثير من المؤسسات من مختلف التخصصات بدءاً من شهر أبريل من العام 2016.
وتشير التقديرات متوسطة الثقة لخبراء وحدة مكافحة التهديدات إلى أن هذه الحملات والشخصيات تتم إدارتها وتوجيهها من قبل منظمة كوبالت جيبسي (التي اشتهرت سابقاً باسم تي جي-2889)، وهي مجموعة تهديد ترتبط بشكل مباشر بالعمليات الإلكترونية الموجهة من قبل الحكومة الإيرانية.
وقد لوحظ قيام مجموعة كوبالت جيبسي باستهداف المؤسسات العاملة في منطقة الشرق الأوسط وشمال أفريقيا، أو التابعة لها في المنطقة، وذلك على امتداد العديد من القطاعات الرئيسية بما فيها الاتصالات السلكية واللاسلكية، والهيئات الحكومية، و وزارات الدفاع، وشركات النفط، ومؤسسات الخدمات المالية، باستخدام الهجمات الاحتيالية، بعد تحديد الشخصيات المستهدفة من خلال وسائل ومواقع التواصل الاجتماعي.
النقاط الرئيسية
– شخصية ميا آش وهمية ومزيفة، تم تحديدها من قبل خبراء وحدة مكافحة التهديدات بنسبة عالية من الثقة، وقد تم تصميمها بهدف إرساء علاقات وطيدة مع الموظفين العاملين ضمن المؤسسات المستهدفة.
– يُقدر خبراء وحدة مكافحة التهديدات بثقة متوسطة أن حملات ميا آش تُدار من قبل منظمة كوبالت جيبسي وفقاً لأهداف محددة، وضحايا مُراقبين، وخطة مدروسة بدقة لإدارة هذه الحملة.
– ستستعين مجموعة كوبالت جيبسي بشخصيات عبر وسائل التواصل الاجتماعي المهيكلة، التي تتفاعل وتتواصل عبر عدة وسائل للتواصل الاجتماعي، ومنصات التخاطب والدردشة والبريد الإلكتروني، وذلك بهدف إقامة علاقات وطيدة مع الأهداف المحددة، وهو ما يشير إلى درجة عالية من الابتكار، والابداع، والدهاء، والاصرار على تطبيق خطتهم.
– ينبغي على المؤسسات تثقيف موظفيها بشكل دوري حول المخططات المصممة عبر وسائل التواصل الاجتماعي، وثنيهم وبقوة عن التواصل عبر الإنترنت مع الجهات والشخصيات التي لا يتم التحقق من صحتها وصدقها إلا من خلال العلاقات الحقيقية على أرض الواقع.
– بالإضافة إلى ذلك، يوصي خبراء وحدة مكافحة التهديدات بنشر حلول خاصة بالطرفيات، وبمراقبة الأنشطة المشبوهة التي تولدها البرمجيات الخبيثة مثل بوبي رات PupyRat.
وقد تمكن خبراء وحدة مكافحة التهديدات من تحديد ومعرفة هوية الجهة التي تقف وراء هذا النشاط، ألا وهي مجموعة التهديد كوبالت جيبسي، استناداً على الأدوات والتقنيات والإجراءات TTPs المستخدمة في كلتا الحملتين.
وعلى وجه التحديد، استهدفت مجموعة كوبالت جيبسي، وبشكل متكرر، المؤسسات التي تأثرت نتيجة الحملات الأخيرة، واستخدمت وسائل التواصل الاجتماعي، لا سيما موقع لينكدإن، لتحديد الأهداف والتفاعل معها، ثم قامت بتفخيخ ملفات الإكسيل بالبرمجيات الخبيثة من سلسلة RAT، بما فيها برمجية بوبي رات PupyRat الخبيثة، من أجل اختراق أنظمة ضحاياها.
وتشير تقديرات خبراء وحدة مكافحة التهديدات وبثقة متوسطة بأن شخصية ميا آش استخدمت من أجل اختراق المنظمة المستهدفة، وذلك لأن الحملة الأولى، والأوسع نطاقاً، لم تتكلل بالنجاح.