مجموعة “APT42”: تنتحل شخصيات الصحافيين والعلماء لتنفيذ هجماتها وتتبع للحرس الثوري الإيراني

مجموعة “APT42”: تنتحل شخصيات الصحافيين والعلماء لتنفيذ هجماتها وتتبع للحرس الثوري الإيراني
أستمع الى المقال

كشف تقريرٌ نشرته شركة “ماديانت” (Madiant) للأمن السيبراني اليوم الأربعاء أن مجموعة “APT42” ذات التهديد المستمر المتقدم (Advanced Persistent Threat) والنشطة منذ عام 2015 ترتبط باستخبارات الحرس الثوري الإيراني، وتنفذ منذ ذلك الحين هجمات على الأشخاص والكيانات التي تعتبرها الحكومة الإيرانية مصدر تهديد.

أدوات متشابهة لجهات مختلفة

تستخدم مجموعة “APT42” تقنيات الهندسة الاجتماعية وعلاقات الثقة الاحتيالية التي تجعل الضحايا يثقون بهم؛ وهي وسائل هجوم تعتمد بشكلٍ كبير على التفاعل البشري وغالبًا ما تتضمن التلاعب بالأشخاص لكسر إجراءات الأمان العادية للحصول على وصول غير مصرح به إلى الأنظمة أو الشبكات أو المواقع المادية أو لتحقيق مكاسب مالية أو الحصول على معلومات سرية.

ويُرجح ارتباط “APT42” بمجموعات تهديد إيرانية أخرى نظرًا إلى تطابق التقنيات المستخدمة من قبل “APT42” مع معظم التقنيات المستخدمة من قبل مجموعات إيرانية معروفة سابقة، وخصوصًا من ناحية هجمات التصيد وتقمص أدوار صحفيين ونشطاء، بحسب دلشاد عثمان خبير الأمن السيبراني.

أما على صعيد هجمات فيروس الفدية، يشير عثمان إلى أن مجموعات إيرانية سابقة مثل مجموعة “UNC788” استخدمت فيروس الفدية الذي يدعى “PINEFLOWER” في هجماتها، الأمر الذي يرجح حقيقة أن تلك المجموعات المختلفة موحدةً من ناحية الادارة التابعة للحرس الثوري الايراني، وقد تتبادل الأدوات التقنية عند الحاجة بما يقتضي الهجوم.

والهدف هو استغلال علاقات الثقة الاحتيالية تلك التي ترسخها المجموعة لسرقة المعلومات الشخصية وبيانات الاعتماد (معلومات تسجيل الدخول)، وبعد ذلك تنتقل المجموعة إلى شبكات الشركات المستهدفة الداخلية، أو تستهدف زملاء أو عائلة الضحية لسرقة المزيد من البيانات والقيام بأنشطة شائنة أخرى.

تشارك مجموعة “APT42” أيضًا في أنشطة الرقابة عن طريق تثبيت برامج تجسس على أجهزة أندرويد المحمولة لمراقبة الأهداف باستمرار. وذلك لضمان استقرار النظام من خلال مراقبة، وحتى اعتقال في بعض الحالات، أولئك الذين يرون أنهم يشكلون تهديدًا للنظام، بحسب “ماديانت”.

تاريخ، وحاضر، ومستقبل إجرامي حافل

قال الباحثون إن المجموعة تستخدم أحيانًا برامج ضارة تعمل على نظام ويندوز أيضًا لتعزيز هذه الأساليب الأساسية للهجوم. في الواقع، يكشف تقرير “ماديانت” أن مجموعة “APT42” قادرة على إجراء أنواع متعددة من العمليات في أي وقت، وهو أمرٌ فريدٌ إلى حد ما. إذ تم التأكيد على أن المجموعة هي الجاني الفعلي في حوالي 30 حملة هجوم معروفة، وهو رقمٌ يشتبه باحثو “مانديانت” في أنه أقل من الواقع بكثير.

أما فيما يتعلق بالتهديدات التي يتعرض لها القطاع الخاص، فإن مجموعة “APT42” لديها ميلٌ لاستهداف كل من حسابات البريد الإلكتروني الشخصية والتي تعود ملكيتها للشركات وللمنظمات ذات الأهمية. كما إنهم يغيرون أيضًا أنماط الاستهداف بمرور الوقت مع تغير أولويات الحكومة الإيرانية.

وأشار تقرير “ماديانت” إلى أن المسؤولين والباحثين الحكوميين الأمريكيين الحاليين والسابقين في المراكز الفكرية والأوساط الأكاديمية المشاركة في صنع السياسات أو الأبحاث المتعلقة بإيران يشكّلون أهدافًا رئيسيةً لـ “APT42″، ومن غير المرجح أن يتوقف هذا النشاط، كما قال الباحثون. في الواقع، قال الباحثون إن المجموعة قد توسّع أنشطتها لتشمل المتعاقدين الحكوميين الذين يعملون على نفس القضايا المتعلقة بإيران.

المراحل الثلاث لنشاط التهديد

تبرع “APT42” في ثلاثة مجالات رئيسية لنشاط التهديد. يتم إجراء الاختراق الأولي عن طريق جمع بيانات الاعتماد باستخدام حملات التصيد المستهدفة التي تؤكد على تطوير الثقة مع الضحية مسبقًا. يتم ذلك عن طريق انتحال شخصية من الصحفيين أو غيرهم من المهنيين الذين قد تثق بهم الضحية أو ترغب في التواصل معهم.

تستخدم المجموعة بعد ذلك هذه الطريقة لجمع رموز “المصادقة متعددة العوامل” (Multifactor Authentication) حتى يتمكنوا من تجاوز الحماية الأمنية ومتابعة التقدم في سبيل تحقيق وصولٍ أعمق إلى الشبكات والأجهزة وحسابات أصحاب العمل والأقارب لسرقة المعلومات التي قد تكون ذات صلة بـالحكومات “المعادية” لإيران.

يتمثل النشاط الرئيسي الثاني للمجموعة في إجراء عمليات المراقبة من خلال البرامج الضارة التي تعمل بنظام أندرويد والتي تتعقب المواقع وتراقب الاتصالات وتتابع أنشطة المعارضين وغيرهم من الأشخاص الذين تهتم لأمرهم الحكومة الإيرانية.

أخيرًا، تستخدم المجموعة ترسانتها المكونة من مجموعة كبيرة من البرامج الضارة، بما في ذلك الأبواب الخلفية وغيرها من الأدوات “الخفيفة” من أجل حصاد البيانات، كما قال الباحثون.

خيط من شبكة أكبر

كانت مجموعة “APT42” المدعومة من قبل الحكومة الإيرانية تحت أنظار الباحثين الأمنيين منذ أن بدأت عملياتها في عام 2015. إذ يتم تعقّبها عبر عدد من التسميات من قبل شركات مختلفة، بما في ذلك اسم “TA453” الذي أطلقته شركة “بروف بوينت” (Proofpoint) واسم “Yellow Garuda” الذي أطلقته شركة “برايس ووترهاوس كووبرس” (PwC) واسم “ITG18” الذي أطلقته شركة “آي بي إم” (IBM).

وقال الباحثون إن مجموعة “APT42” لها أيضًا صلات بمجموعة “APT35″، بل ومن المحتمل أن تكون مجموعة فرعية منها، وهي مجموعة كُبرى تُعرف باسم “Charming Kitten” أو “القطة الساحرة”، لكن لديها مجموعة مختلفة من الأهداف.

إذ تركز مجموعة “القطة الساحرة” بشكلٍ أكبر على العمليات طويلة المدى التي تعتمد على البرامج الضارة والتي تستهدف المؤسسات والشركات في الولايات المتحدة والشرق الأوسط لسرقة البيانات اللازمة لدعم العمليات العسكرية والحكومية الإيرانية. بينما قال الباحثون إن “APT42” تستهدف أفرادًا ومنظمات بعينها يراقبها النظام الإيراني لأغراض سياسية داخلية وخارجية ومن أجل “استقرار النظام”.

حملات إلكترونية محددة ورشيقة برعاية الدولة الإيرانية

على مر السنين، تمكّن الباحثون من تحديد حملات هجوم ارتبطت بـمجموعة “APT42″، وكانت أحيانًا تُنسب إلى مجموعة “القطة الساحرة” بسبب تعقيد تتبع عمليات المجموعة العديدة والمتشعبة، والاختلافات في كيفية تحديد الجهات الفاعلة في الهجوم.

ومن أشهر نشاطات مجموعة “APT42” كانت حملة التصيد التي أُطلق عليها اسم “عملية العلماء المخادعين”  (Operation SpoofedScholars) العام الماضي، حيث انتحلت المجموعة صفة العلماء في كلية الدراسات الشرقية والأفريقية التابعة لجامعة لندن. واستهدفت العملية أفرادًا يركزون على شؤون الشرق الأوسط في الولايات المتحدة والمملكة المتحدة للوصول إلى صناديق البريد الإلكتروني الشخصية الخاصة بهم.

وفي وقتٍ سابق من هذا العام، انتحلت مجموعة “APT42” شخصية صحيفة “ميترو” البريطانية في حملة في فبراير/شباط استهدفت أساتذة في بلجيكا والإمارات العربية المتحدة تربطهم علاقات بحكوماتهم أو أقاربهم الذين يحملون جنسية مزدوجة في إيران، وفقًا لـ “مانديانت”. وحصل المهاجمون حينها على بيانات اعتماد البريد الإلكتروني الشخصية لأهدافهم، واستدرجوهم باستخدام مستند “PDF” مخصص دعاهم إلى مقابلة عبر الإنترنت، ولكن بدلاً من ذلك ربطهم بصفحة تجمع بيانات الاعتماد الخاصة بـ “Gmail”.

وقال الباحثون إنه بالإضافة إلى استهداف العلماء والصحفيين، تُظهر مجموعة “APT42” أيضًا تنوعًا وخفة حركة في عملياتها. إذ كانت من بين مجموعات التهديد التي ركبت موجة استهداف الباحثين في قطاع الأدوية خلال جائحة كورونا، وذلك من خلال حملة هجوم نفذتها في مارس/آذار 2020، وفقًا لـ “مانديانت”.

وقال الباحثون: “يشير هذا إلى أن الحكومة الإيرانية تثق في مجموعة APT42 للرد السريع على التغيرات الجيوسياسية من خلال تعديل عملياتها بما يتماشى مع الأهداف العملياتية التي تهم طهران”.

شاهد أيضًا: إيران تنفذ هجمات سيبرانية ضد إسرائيل

من على قائمة الأهداف؟

إيران، حالها حال الدول الأخرى المثيرة للجدل، لديها مجموعة من الجهات والمجموعات في خدمتها لتنفيذ هجماتٍ إلكترونية ضد المنظمات والأفراد الذين حددت الحكومة أنهم يمثلون تهديدات. إذ قال باحثو “مانديانت” إن موقفها الهجومي الحالي والصراع السيبراني المتزايد مع الولايات المتحدة يرجع إلى المكانة الفريدة في الجغرافيا السياسية التي تحتلها البلاد حاليًا.

قال باحثون: “مزيجٌ التوترات الإقليمية، ومفاوضات الاتفاق النووي، والاضطرابات الداخلية بشأن القضايا الاقتصادية والاجتماعية، تخلق بيئة تزدهر فيها مجموعات مثل APT42”.

وقال باحثو “مانديانت” إن قدرة المجموعة على إعادة التمحور اعتمادًا على نوايا الحكومة ستظل تشكل تهديدًا مباشرًا لكل من الأفراد والمنظمات على مستوى العالم في ظل استمرار الأحداث العالمية والسياسة المحلية في دفع العمليات الهجومية وتغيير أولويات الاستهداف.

هل أعجبك المحتوى وتريد المزيد منه يصل إلى صندوق بريدك الإلكتروني بشكلٍ دوري؟
انضم إلى قائمة من يقدّرون محتوى إكسڤار واشترك بنشرتنا البريدية.