إيران “تخفي برامج تجسس” في تطبيقات صور ومطاعم وألعاب لمراقبة معارضيها

قالت شركة “تشيك بوينت” الرائدة في مجال الأمن الإلكتروني إن إيران تدير عمليتي مراقبة للفضاء الإلكتروني، تستهدفان ما يزيد على ألف معارض للدولة.

وأضافت أن الجهود تهدف إلى رصد أفراد في إيران و12 دولة أخرى، بما في ذلك بريطانيا والولايات المتحدة.

وقالت الشركة إن مجموعتي عمل إيرانيتين تستخدمان تقنيات جديدة لتثبيت برامج تجسس على أجهزة الكمبيوتر وأجهزة الهواتف المحمولة لسرقة تسجيلات المكالمات وملفات الوسائط.

وتواجه إحدى المجموعتين، والمعروفة باسم “دوميستك كيتن Domestic Kitten”، اتهاما بالاحتيال على أشخاص لتحميل برامج خبيثة على الهواتف المحمولة من خلال مجموعة متنوعة من الوسائل بما في ذلك:

• إعادة تجميع إصدار من لعبة فيديو أصلية موجودة على منصة تحميل التطبيقات غوغل بلاي.

• محاكاة تطبيق لمطعم في طهران.

• طرح تطبيق مزيف لأمن أجهزة الهواتف المحمولة.

• توفير تطبيق مخترق ينشر مقالات من وكالة أنباء محلية.

• تقديم تطبيق مخترق لصور خلفية شاشة الجهاز ويحتوي على صور مؤيدة لتنظيم الدولة الإسلامية.

• التخفي وراء شكل تطبيق متجر أندرويد لتحميل المزيد من البرامج.

ووثّق خبراء الشركة الأمريكية الإسرائيلية عمليات استهدفت 1200 ضحية في سبع دول.

وأضافت الشركة أنها رصدت ما يربو على 600 عملية اختراق ناجحة.

ويُقال إن المجموعة الثانية، المعروفة باسم “إنفي Infy ” أو “Prince Of Persia”، تتجسس على أجهزة الكمبيوتر المنزلية وأجهزة العمل الخاصة بالمعارضين في 12 دولة، وتحصل على بيانات حساسة بعد الاحتيال على الأشخاص لفتح مرفقات بريد إلكتروني خبيثة.

ولم تعلق الحكومة الإيرانية على التقرير.

البرمجيات الخبيثة “فوربول”

رُصدت عملية مجموعة “دوميستك كتين” أول مرة عام 2018.

وقالت شركة “تشيك بوينت” إن ثمة أدلة على أن المجموعة نفذت نحو 10 حملات منذ عام 2017.

وظلت أربع حملات منها نشطة، كان آخرها في نوفمبر/تشرين الثاني 2020.

وأضافت الشركة أن المجموعة كانت تستخدم موقعا لمدونة إيرانية وقنوات على تطبيق تيليغرام ورسائل نصية تجذب الأشخاص لتثبيت برامج مُخترقة، أطلق عليها الخبراء اسم “فوربول Furball”، وهي برامج تستطيع القيام بما يلي:

• تسجيل المكالمات والأصوات الأخرى.

• تتبع موقع الجهاز.

• جمع المعلومات المحددة لهوية الجهاز.

• الحصول على الرسائل النصية وسجلات المكالمات.

• سرقة ملفات الوسائط، بما في ذلك مقاطع الفيديو والصور.

• الحصول على قائمة بالتطبيقات الأخرى المثبتة على الجهاز.

• سرقة ملفات من بطاقات التخزين الخارجية.

ويُقال إن عمليات الاختراق الناجحة، التي بلغ عددها 600 عملية اختراق، شملت معارضين وقوى معارضة وأفراد من الأقلية العرقية الكردية في دول هي إيران، والولايات المتحدة، وبريطانيا، وباكستان، وأفغانستان، وتركيا، وأوزبكستان.

وأشارت أنباء إلى أن المجموعة الأخرى “إنفي Infy ” كانت تعمل منذ عام 2007.

• مقتل قاسم سليماني: اختراق موقع فيدرالي أمريكي ونشر رسالة مؤيدة لإيران وصورة تسخر من ترامب
• لماذا يضع قراصنة واتسآب في إسرائيل أعينهم على إيران؟

وقالت شركة “تشيك بوينت” إن أحدث نشاط للمجموعة استهدف أجهزة الكمبيوتر، ورسائل بريد إلكتروني مزيفة ذات محتوى جاذب، عادة تكون مرفقة بوثيقة.

ومن أمثلة ذلك وثيقة تتعلق فيما يبدو بتقديم قروض للمحاربين القدامى المعاقين.

واضافت الشركة إنه بمجرد فتح الوثيقة يجري تثبيت أداة تجسس وسرقة بيانات حساسة.

ويُقال إن وثيقتين استخدمتهما المجموعة مؤخرا تضمنتا صورة لحاكم إيراني، مع تفاصيل اتصال مزعومة.

وقال الخبراء إن قدرات مجموعة “إنفي” كانت “أفضل بكثير” مقارنة بمعظم الحملات الإيرانية المعروفة، وذلك بسبب قدرتها على الانتقائية الشديدة ومعرفة أهدافها، وظلت غير مكتشفة بشكل عام.

وقال يانيف بالماس، رئيس قسم البحث الإلكتروني لدى شركة تشيك بوينت: “من الواضح أن الحكومة الإيرانية تستثمر موارد كبيرة في العمليات الإلكترونية”.

وأضاف: “يبدو أن الجهات المشرفة على حملات التجسس الإلكترونية الإيرانية هذه لم تتأثر تماما بأي أنشطة مضادة من جانب آخرين، على الرغم من الكشف عن كلتا الحملتين، بل وتوقفتا في الماضي”.

وقال: “استأنفت الحملات نشاطها ببساطة”.