فيسبوك يكشف مجموعة قراصنة تعمل من إيران استهدفت عسكريين غربيين

أعلن موقع فيسبوك أنه كشف وحظر مجموعة قراصنة تعمل من إيران استهدفت عناصر من طواقم الدفاع في الولايات المتحدة وأوروبا.

استخدمت مجموعة القراصنة المعروفة باسم “تورتويسشيل” موقع فيسبوك لجمع المعلومات عن العناصر المستهدفة قبل زرع برمجيات خبيثة في أجهزتها المعلوماتية للتجسّس عليها.

واستهدفت المجموعة في شكل اساسي عسكريين وشركات الدفاع والفضاء في الولايات المتحدة وبدرجة أقل في المملكة المتحدة وأوروبا.

وقال مسؤول التحقيقات حول التجسس الإلكتروني في فيسبوك مايك دفيليانسكي الخميس إنه “من الصعب أن نعرف مدى نجاح الحملة، لكنها حملت كل السمات المميزة لعملية ممولة جيدا”.

وأوضح فيسبوك أن شبكته كانت أحد عناصر عملية التجسس الإلكتروني الواسعة والتي شملت عدة منصات.

وقالت سارة جونز كبيرة المحللين الرئيسيين في Mandiant Threat Intelligence: “نحن نتتبع معظم الأنشطة الموصوفة في مقال Facebook باسم UNC1833 ، وهي مجموعة استهدفت تاريخياً الأشخاص والمنظمات التابعة لمزودي تكنولوجيا المعلومات والجيش الأمريكي في الشرق الأوسط منذ عام 2018 على الأقل. بعض الموارد التي تستخدمها المجموعة مرتبطة بجماعات إيرانية أخرى مثل APT35. غالباً ما تعكس التداخلات الحركة المتغيرة للموظفين الإيرانيين بين الشركات والمنظمات التي تدعم برنامج إيران السيبراني الهجومي. يتماشى وصف Facebook للمجموعات الإيرانية التي تقوم بتعهيد جميع عملياتها أو أجزاء منها لشركات خارجية مع ملاحظاتنا. نحن نقدر أن شركة واجهة مرتبطة بالحرس الثوري الإيراني تشارك في هذه العمليات.

إن وجود المجالات ذات الصلة بترامب أمر ملحوظ ، على الرغم من عدم وجود دليل على أن هذه المجالات قد تم تفعيلها أو استخدامها لاستهداف أي شخص تابع لعائلة ترامب أو ممتلكاته. قد تشير مجالات مثل هذه إلى الهندسة الاجتماعية المرتبطة بالمواضيع السياسية الأمريكية. في الماضي رأينا استهداف المجال السياسي للولايات المتحدة من قبل الجهات الفاعلة التابعة للحرس الثوري الإيراني.

لا تزال إيران لاعباً إلكترونياً عدوانياً لا ينبغي تجاهله. على الرغم من أن الكثير من نشاطهم يركز على الشرق الأوسط ، إلا أنهم لا يقتصرون على منطقتهم.”

وجرى استعمال الشبكة الاجتماعية من خلال تكتيكات مختلفة، مثل إنشاء حسابات مزيفة للاتصال بالأهداف وبناء ثقتها للنقر على الروابط الخبيثة.

وتظاهر المتسللون بأنهم مسؤولو تجنيد وموظفون في شركة دفاع وحتى صحافيون أو موظفو فندق.

وأنشأت المجموعة أسماء نطاقات ومواقع تنتحل صفة مواقع رسمية مثل موقع البحث عن الوظائف التابع لوزارة العمل الأمريكية.

كما استخدم القراصنة برمجيات خبيثة “خاصة بهم لتنفيذ عملياتهم”، قال موقع فيسبوك إنه وجد أن لها صلات غير مباشرة مع الحرس الثوري الإيراني.

أدخلت تلك البرمجيات على أجهزة الضحايا لجمع المعلومات التي من بينها بيانات اعتماد تسجيل الدخول لرسائل البريد الإلكتروني الخاصة بالعمل أو وسائل التواصل الاجتماعي.

ووفق دفيليانسكي، طورت بعض التقنيات المستعملة في برمجيات القرصنة شركة التكنولوجيا “مهاك ريان أفراز” التي تتخذ مقرا في طهران ولها ارتباطات بالحرس الثوري.

وأضاف المسؤول خلال مؤتمر صحافي عبر الهاتف “ليس لدينا أي دليل على ارتباط تورتويسشيل بحكومة ما بشكل مباشر، لكن بحسب علمي هذه المرة الأولى التي ننسب فيها برمجيات خبيثة إلى شركة لها صلات بالحرس الثوري”.

وحظر فيسبوك حوالى 200 حساب تم استخدامها لخداع الأهداف ودعوتها لدخول مواقع مزيفة. ووقع نحو 200 مستخدم ضحايا وقد أعلمهم فيسبوك بذلك.
وأعلن الموقع أنه تشارك خلاصاته مع شركائه على شبكة الانترنت وكذلك مع السلطات.