"استخدمت بريد إلكتروني حكومي".. التفاصيل الدقيقية لهجمات إيران السيبرانية على العراق

شفق نيوز/ ذكر موقع "دارك ريدينغ" الأمريكي، أن إيران تطبق مقولة "إبقاء اعدائك قريبين واصدقائك أكثر قربا"، من خلال هجمات تجسس ينفذها قراصنة يعتقد انهم يعملون لصالح الاستخبارات الإيرانية، على جيرانها الأقرب، العراق واليمن، فيما أشار إلى أن بغداد بحاجة لتطوير أمنها السيبراني.    

وأشار تقرير الموقع المتخصص بالأخبار التكنولوجية، والذي ترجمته وكالة شفق نيوز، إن "من جوانب عديدة، دينية وسياسية واقتصادية وغيرها، فإن هذه الدول تعتبر حليفة لإيران، لكن العلاقات الدبلوماسية للعراق واليمن مع ايران لم تمنع الأخيرة من محاولات التجسس السيبراني، تماما مثلما يحصل مع دول صديقة بالنسبة للولايات المتحدة وكوريا الشمالية وقوى سيبرانية كبرى أخرى".

وأوضح التقرير أنه "خلال العام الماضي، وجد باحثون من  Check Point أدلة على حملة تجسس استهدفت جهات في الحكومة العراقية، وهي انشطة نسبت الى مجموعة APT34  التي جرى ربطها تاريخيا بوزارة الاستخبارات والامن الإيرانية".

ونقل التقرير عن باحثين قولهم، إن "هذه الانشطة مستمرة وصولا الى العام 2025، وان منظمات في اليمن كانت ايضا مستهدفة من قبل مجموعة فرعية منفصلة من مجموعة  APT34 في العام الماضي".

كما نقل التقرير عن مدير مجموعة استخبارات التهديدات في مجموعة "تشيك بوينت" سيرجي شيكيفيتش قوله إن "الاطراف الايرانية مهتمة بكل ما يجري في الشرق الاوسط، حتى في الدول التي من المفترض انها حليفة لهم، ولا يزال هدفهم البقاء في القمة".

وبحسب التقرير، فإن الحملة التي استهدفت حكومة العراق، تعود الى اذار/مارس العام 2024 على الاقل، عندما تم تحميل عينات من ثلاثة برامج تجسس جديدة ومخصصة على VirusTotal، وهي Veaty و Spearalواداة ثالثة لم تحدد، تستخدم من أجل إنشاءSecure Shell ، مشيرا الى انه "جرت اضافة امتدادات مزدوجة لهذه الملفات التنفيذية حتى تبدو وكأنها مستندات للضحايا، مما يشير على الارجح الى انها عبر رسائل التصيد الإلكتروني".

ونقل التقرير عن قائد فريق استخبارات التهديدات في "تشيك بوينت" اميتاي بن شوشان ايرليش قوله، إن ما يميز هذه الحملة، ومجموعة APT34 بشكل عام، هو انها تمتلك اساليب فريدة لاستخراج البيانات منذ سنوات.

ولفت الى ان برنامج Veaty الخلفي على سبيل المثال، استخدم عناوين البريد الإلكتروني الحكومية العراقية، لإرسال الاوامر وسرقة البيانات من الانظمة المستهدفة.

وتابع التقرير، انه على الرغم من كشفها بشكل علني في أيلول/ سبتمبر الماضي، إلا أن هذه الحملة تواصلت على مراحل حتى الشهر الماضي، مشيرا الى انه "في حين جرى استخدام البنية التحتية للجهة المهددة وبدلت من أدواتها بشكل محدود، الا ان التكتيكات والتقنيات والإجراءات لا تزال كما هي تقريبا".

ونقل التقرير عن شيكيفيتش قوله إن "المجموعة لم تقم إلا بتعديلات بسيطة حسب الحاجة للاستمرار، وربما لم يكونوا بحاجة الى تطوير قدراتهم كثيرا لتحقيق النجاح"، مضيفا "أنني افترض ان الاستثمار في الأمن السيبراني في العراق ليس كبيرا".

وبحسب ايرليش فانه فيما يتعلق بهذا الجانب، فإن حكومة العراق لا تعتبر الوحيدة التي تواجه هذه المشكلة، وانه "من الشائع كثيرا ان تكون المنظمة على علم بالاختراق، ثم تبدأ في اتخاذ اجراءات استجابة، لكنها لا تكملها بشكل صحيح، مما يتيح لنفس الجهة المهاجمة، بالعودة مجددا".

وذكر التقرير أن "حملة مجموعة APT34  في اليمن كانت مختلفة قليلا، مضيفا انه "بينما جرت تقريبا خلال منتصف العام الماضي، من دون ان يتضح ما اذا كانت لا تزال مستمرة، غير انها انها استخدمت اساليب أقل تعقيدا مقارنة بالحملة في العراق".

واضاف التقرير، أن "هناك أدلة على ان الضحايا المستهدفين في اليمن كانوا يعملون في قطاع الاتصالات"، ونقل التقرير عن ايرليش قوله إن "المجموعة التي رأيناها في اليمن كانت نشطة ايضا في العراق، لكنها كانت مختلفة عن تلك التي استهدفت الحكومة العراقية، لكن في النهاية، كلها تتبع الاستخبارات الايرانية".

وبحسب ايرليتش ايضا فإن "وجود عمليتين مختلفتين تماما يمكن ربطهما بنفس الجهة المهاجمة، يعكس مدى تنوع اساليب قراصنة الاستخبارات الايرانية"، مرجحا وجود "فرق متعددة لها وصول الى موارد مشتركة، وتتعاون فيما بينها، حيث تقوم احدى الفرق بتمرير الوصول الى فريق اخر عند الحاجة، إلا انه في الوقت نفسه، كل فريق يعمل بشكل مستقل، ولهذا فإن هناك أدوات مشتركة بين الفرق، وأخرى مخصصة لكل فريق".  

وتابع التقرير أن "ايريلتش مازح قائلا ان اسم APT34 اصبح يطلق على كل جهة هجومية إيرانية تقريبا في مرحلة ما".

ترجمة وكالة شفق نيوز