الكشف عن حملة تجسس رقمي في الشرق الأوسط استمرت 6 سنوات

الكشف عن حملة تجسس رقمي في الشرق الأوسط استمرت 6 سنواتالتجسس السيبراني

كشفت كاسبرسكي النقاب عن حملة تجسس رقمي استهدفت لمدة طويلة أفرادًا ناطقين بالفارسية في إيران.

ونشطت العصابة التخريبية التي تقف وراء الحملة، والتي أطلق عليها اسم "القط الشرس"، منذ العام 2015 على الأقلّ. وعملت على إيصال برمجية خبيثة دُعيت MarkiRAT إلى المستهدفين لتسرق بياناتهم وتنفّذ أوامر على أجهزتهم. ولهذه البرمجية نسخ يمكنها اختراق متصفح كروم وتطبيق تليجرام لدى المستخدم الضحية.

وفي مارس من هذا العام، جرى تحميل مستند إغراء مشبوه إلى موقع VirusTotal حيث نُشر على الملأ من خلال تغريدة على تويتر قرر باحثو كاسبرسكي، عند ملاحظتها، إجراء مزيد من التحقيق حول المسألة، ليجدوا حملة مراقبة استمرت 6 سنوات ضد أفراد ناطقين بالفارسية في إيران. وأطلق الباحثون على الجهة التي تقف وراء الحملة اسم Ferocious Kitten الذي يعني "القط الشرس".

وظلّت هذه العصابة ناشطة منذ العام 2015 على الأقل، وتستهدف ضحاياها بمستندات مفخخة تحتوي على وحدات ماكرو خبيثة. وتتنكر هذه المستندات في هيئة صور أو مقاطع فيديو تصوّر أعمالًا ضد النظام الإيراني كاحتجاجات أو أنشطة من معسكرات المقاومة. وتحاول الرسائل المرفقة بتلك مستندات إقناع المستهدفين بفتح الصور أو مقاطع الفيديو المرفقة، فإذا فعلوا يجري إسقاط الملفات التنفيذية الخبيثة في النظام المستهدف، في أثناء عرض المحتوى المرئي للملف على الشاشة.

وتُسقط الملفات التنفيذية الحمولة الخبيثة الرئيسة، وهي عبارة عن برمجية خبيثة مصممة خصيصًا تُعرف باسم MarkiRAT، والتي تشغّل، بمجرد تنزيلها إلى النظام المصاب، برمجية keylogger لتسجيل كل محتوى الحافظة وجميع الضغطات على لوحة المفاتيح، كما تتيح للمهاجمين إمكانية تنزيل الملفات وتحميلها وتمنحهم القدرة على تنفيذ أوامر مختلفة على الجهاز المصاب.

وتمكن باحثو كاسبرسكي من اكتشاف العديد من النسخ المتغيرة من MarkiRAT؛ فوجدوا لإحداها القدرة على اعتراض تشغيل تطبيق Telegram وإطلاق برمجية خبيثة معه، وهي تقوم بذلك عن طريق البحث في الجهاز المصاب عن مستودع البيانات الداخلي الخاص بالتطبيق، وفي حال العثور عليه، تنسخ البرمجية MarkiRAT نفسها فيه ثم تعدِّل الاختصار الذي يقوم بتشغيل ليجرام تلتنفيذ هذا المستودع المعدل مع التطبيق نفسه.

وثمة نسخة أخرى تعدّل اختصار متصفح كروم في جهاز الضحية بطريقة مشابهة، لتصبح النتيجة تشغيل تطبيق كروم لكن مع تنفيذ حمولة MarkiRAT بجانبه في كل مرة يطلق فيها المستخدم هذا التطبيق. وهناك نسخة ثالثة هي نسخة ذات منفذ خلفي من Psiphon؛ أداة VPN مفتوحة المصدر التي تُستخدم غالبًا لتجاوز الرقابة على الإنترنت. ووجدت كاسبرسكي أيضًا دليلًا على أن الجهات التخريبية طوّرت عمليات زرع خبيثة تستهدف أجهزة أندرويد ، على الرغم من أن الباحثين لم يتمكنوا من الحصول على أية عينات محدّدة لتحليلها.

ويبدو أن ضحايا هذه الحملة هم من الناطقين بالفارسية والمقيمين داخل إيران. ويشير محتوى المستندات المفخخة إلى أن المهاجمين يلاحقون على وجه التحديد أنصار حركات المعارضة داخل البلاد.

ورأى مارك ليشتيك الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، أن من المثير للاهتمام إنشاء المجموعة التخريبية نسخًا مخصصة لمتصفح كروم وتطبيق تليجرام، بالرغم من أن البرمجية الخبيثة MarkiRAT ومجموعة الأدوات المصاحبة لها "ليست شديدة التعقيد"، معتبرًا في ذلك إشارة إلى أن تركيز المجموعة ينصبّ على ما وصفه بـ "تكييف مجموعة أدواتها الحالية مع البيئات المستهدفة بدلاً من إثرائها بالميزات والقدرات"، مرجّحًا أن تُقدِم المجموعة على تنفيذ "عدة حملات تستهدف منصات مختلفة".

و قال بول راسكاجنيريس الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي: "وجدنا أيضًا نسخة متغيرة عادية أكثر حداثة تستخدم "أداة تنزيل" بدلًا من احتوائها على حمولة تخريبية مضمنة، ما يشير إلى أن المجموعة لا تزال نشطة للغاية، وقد تكون حاليًا في طور تعديل تكتيكاتها وأساليبها وإجراءاتها".

من جانبها قالت الباحث الأمني الأول وعضو فريق البحث والتحليل العالمي، أسيل كيال، إن المنهجية المتبعة في استهداف ضحايا حملة "القط الشرس" وإجراءاتها وأساليبها وتكتيكاتها "مماثلة للجهات التخريبية الأخرى الناشطة في المنطقة، مثل Local Kitten وRampant Kitten"، معتبرة أن هذه الجهات تشكل معًا "منظومة أوسع لحملات المراقبة في إيران". وأضافت: "لا يبدو أنه يجري تتبّع هذه الأنواع من المجموعات التخريبية بانتظام، ما يتيح لها التحرك بعيدًا عن الرقابة لفترات طويلة، ويسهل عليها بالتالي إعادة استخدام بُناها التحتية ومجموعة أدواتها".

وأوصى خبراء كاسبرسكي لحماية موظفي الشركات من الجهات التخريبية ، بالحفاظ على اليقظة تجاه رسائل البريد الإلكتروني أو الرسائل الخبيثة التي تحاول إقناع المتلقي بأمر ما، وكن دائمًا على دراية بوسائل حماية الخصوصية في جميع التطبيقات والخدمات التي تستخدمها، وعدم النقر على أية روابط واردة من مصادر غير معروفة ولا تفتح أية ملفات أو مرفقات مشبوهة، مؤكدين أهمية الحرص دائمًا على تثبيت التحديثات التي قد يحتوي بعضها على تصحيحات لمشكلات أمنية خطرة، وإستخدام حلًا أمنيًا قويًا يتناسب مع نوع نظامك وأجهزتك.

أضف تعليق