القرصنة الإلكترونية: كشف مجموعة إيرانية "تظاهرت بأنها أكاديمية مقرها بريطانيا"

اكتُشفت مجموعة إيرانية تظاهرت بأنها أكاديمية مقرها بريطانيا لاستهداف بعض الأفراد، في حملة تجسس إلكتروني.

واخترقت المجموعة أيضا موقعا إلكترونيا تابعا لكلية الدراسات الشرقية والأفريقية، بجامعة لندن، في محاولة لسرقة بعض المعلومات.

وكشفت شركة أمن إلكتروني تعرف باسم "بروف بوينت" العملية، وتقول إن المجموعة تتسم بتطور كبير.

ويعتقد أن المهاجمين، الذين يُطلق عليهم أحيانا اسم "تشارمينغ كيتين - القطة الساحرة"، مرتبطون بالحكومة الإيرانية، وأنهم أيضا مهيأون للدخول في محادثات آنية مع أهدافهم، الذين يوجدون أساسا في الولايات المتحدة وبريطانيا.

وفي أوائل عام 2021، دعت رسائل بريد إلكترونية، نسبت إلى "عضو كبير في التدريس والبحوث" في كلية الدراسات الشرقية والإفريقية بجامعة لندن، الناس إلى مؤتمر عبر الإنترنت تحت اسم "تحديات الأمن الأمريكية في الشرق الأوسط".

وأرسلت تلك الرسائل الإلكترونية عبر عنوان بريد إلكتروني على جي ميل، ولم ترسل عبر البريد الأكاديمي الحقيقي للشخصية المدعاة، ولكن أرسلتها مجموعة تجسس إلكتروني يعتقد أنها مرتبطة بالحرس الثوري الإيراني.

وبمجرد بدء التواصل مع الهدف أرسل إليه "رابط للتسجيل" لموقع حقيقي على الإنترنت اخترقه المهاجمون بالفعل.

ويرتبط الموقع بـ"راديو إس أو إيه إس"، وهي محطة إذاعية مستقلة عبر الإنترنت وشركة إنتاج مقرها الكلية نفسها.

ومن خلال ذلك الموقع قدمت وسيلة لتسجيل الدخول باستخدام موفري بريد إلكتروني، مثل غوغل، وياهو، ومايكروسوفت، وآي كلاود، وأول، وفيسبوك. ويمكن عن طريق هذه الروابط جميعها بعد ذلك التقاط كلمات السر، وأسماء المستخدمين.

وليست سرقة مثل هذه البيانات أمرا جديدا، ولكن التغيير الجديد هو استخدام موقع حقيقي على الإنترنت.

وقال شيرود دي غريبو، المدير الأول لأبحاث التهديد والتحري في شركة "بروف بوينت" لبي بي سي: "ما أحدثته المجموعة كان أمرا غير معتاد للغاية وأكثر تعقيدا".

وقد تطول الاتصالات بين الأكاديمي المزيف والهدف من أجل بناء الثقة، قبل إرسال رابط التسجيل. ويطلب المرسل في بعض الحالات التواصل عبر الهاتف مع متسلمي الدعوة لمناقشتها.

وفي إحدى الحالات طلب المتسلم مزيدا من التفاصيل، وتلقى عبر البريد الإلكتروني من المهاجمين ثم اقترح عليهم الاتصال عبر خاصية مكالمة الفيديو.

والحقيقة أن جواسيس الإنترنت كانوا يحاولون التواصل آنيا مع الأفراد عبر الهواتف وخاصية محادثات الفيديو بدلا من مجرد الانخراط عبر البريد الإلكتروني، وهو أمر غير معتاد أيضا، مما يشير إلى الثقة في مهارات المجموعة في اللغة الإنجليزية وفي انتحال الهوية (على الرغم من أنه ليس واضحا إن كانت بعض المحادثات قد تمت).

وكانت العملية تستهدف بشكل كبير أقل من 10 منظمات، تواصلت معها المجموعة، بحسب ما تقوله بروف بوينت، على الرغم من استهداف بعض الأفراد في بعض الحالات داخل تلك المنظمات، ومعظمها في الولايات المتحدة وبريطانيا.

وكان المستهدفون في الأساس من ثلاث مجموعات:

ويُعتقد أن هؤلاء استُهدفوا على الأرجح لأنهم قد يكون لديهم معلومات عن السياسة الخارجية للدول تجاه إيران، أو المفاوضات حول برنامج إيران النووي، أو معلومات عن المنشقين الإيرانيين.

ويتناسب هذا مع النشاط السابق لنفس مجموعة التجسس الإلكتروني، التي تسميها بروف بوينت "تي إيه 453".

وقال شيرود ديغريبو إن اهتمام "تي إيه 453" المستمر بهذه الأهداف "يظهر التزاما إيرانيا مستمرا بالعمليات المعتمدة على الاستخدام الإلكتروني لجمع المعلومات الاستخبارية لدعم أولويات الاستخبارات".

وبعد بضعة أشهر من بدء الحملة الأولية في يناير/كانون الثاني، استخدمت المجموعة هوية أكاديمية أخرى في كلية الدراسات الشرقية لمحاولة تجنيد أشخاص لندوة عبر الإنترنت.

وبدت المجموعة مهتمة أيضا بأرقام الهواتف المحمولة التي يمكن استخدامها لنشر برامج ضارة بالأجهزة المحمولة، أو لاستخدامها لاستهداف آخرين.

ماذا قالت الكلية؟

تقول كلية الدراسات الشرقية والإفريقية إن المهاجمين لم يحصلوا على أي معلومات شخصية، وإن أنظمة البيانات الخاصة بها لم تتأثر.

وتضيف أن موقع الإذاعة المخترق كان منفصلاً عن موقع الكلية الرسمي، وليس جزءا من أي مجال من مجالاته الأكاديمية.

وقالت في بيان: "بمجرد أن علمنا بالموقع الوهمي في وقت سابق من هذا العام، عالجنا الخرق على الفور، وأبلغنا عنه بالطريقة العادية".

وأضاف البيان: "راجعنا كيفية حدوث ذلك، واتخذنا خطوات لتحسين حماية هذا النوع من الأنظمة المرتبطة بموقعنا".

وتقول بروف بوينت إنها لا تستطيع التأكد تماما من أن الحرس الثوري الإيراني كان وراء الحملة، لكن الأساليب المتبعة والتقنيات، والاستهداف يجعلها تثق في مسؤوليته.

وتقول شركة الأمن الإلكتروني إنها عملت مع السلطات لإخطار الضحايا، وترجح أن تستمر المجموعة في محاولة التنكر في هيئة أكاديميين.

وتوصي الشركة الأكاديميين والصحفيين وعلماء مراكز الفكر بالتحقق من هوية أي شخص يقدم لهم الفرص، خاصة إذا كان ذلك يتم عبر الإنترنت.