جوجل: لجان أليكترونية إيرانية تستهدف الدفاع والطيران في إسرائيل
كتب: أشرف التهامي
توصلت دراسة أجراها الموقع البحثى “جوجل” إلى أن مجموعة تابعة للحرس الثوري الإيرانى، قامت بجمع معلومات رأت “جوجل” أنه “يمكن استغلالها لأغراض التجسس وربما لعمليات هجومية”، حسب زعم “جوجل”.
وأفادت شركة “مانديانت” للأمن السيبراني المملوكة لشركة جوجل اليوم الأربعاء 28/2/2024 أن مجموعة إلكترونية إيرانية مشتبه بها تدير حملة تجسس وهجمات تستهدف قطاعي الدفاع والطيران في إسرائيل والإمارات العربية المتحدة، ومن المحتمل أيضًا الهند وتركيا وألبانيا.
وبحسب التقرير، فإن المجموعة مرتبطة بحزب آخر له علاقات مباشرة مع الحرس الثوري الإسلامي الإيراني. وكانت المجموعة نشطة منذ يونيو 2022 على الأقل، وتظل الحملة مستمرة اعتبارًا من فبراير 2024.
ماذا تتضمن الهجمات السيبرانية؟
تتضمن الهجمات السيبرانية محتوى يرتبط مباشرة بالحرب في غزة، بما في ذلك انتحال شخصية منتدى “أحضروهم إلى المنزل الآن” الذي يدعو إلى إعادة الأسرى الإسرائيليين لدى حماس. كما استخدمت المجموعة وسائل مختلفة لمحاولة اختراق أجهزة الكمبيوتر والهواتف الخاصة بالموظفين في تلك الصناعات.
أساليب الهكرز و الهدف منها؟
ومن بين أساليب المجموعة، حدد الباحثون العشرات من إعلانات الوظائف المزيفة ومواقع البحث عن الوظائف المحتالة المستخدمة للحصول على بيانات اعتماد تسجيل الدخول والتفاصيل الشخصية للموظفين. والهدف هو انتحال شخصية هؤلاء الموظفين داخل أنظمة الشركات والمؤسسات المستهدفة. ومن الصعب تقييم مدى نجاح هذه الهجمات أو تحديد مدى المعلومات المسروقة.
واستخدمت المجموعة أيضًا موقعًا إلكترونيًا ينتحل شخصية Boeing لتوزيع برنامج ضار آخر يسمى MINIBIKE، بالإضافة إلى سرقة كلمات المرور من خلال صفحات تسجيل دخول مزيفة.
وشملت التكتيكات التي استخدمها المتسللون الإيرانيون ما يلي:
1- الهندسة الاجتماعية مثل إرسال رسائل التصيد ورسائل البريد الإلكتروني وتوزيع مواقع الويب المزيفة لتنزيل البرامج الضارة.
2- استخدام البنية التحتية السحابية لـ Microsoft Azure -حيث يبدو الاتصال مشروعًا.
3- استخدام البنية التحتية الموجودة في إسرائيل والإمارات العربية المتحدة (في تلك البلدان التي تستهدفها المجموعة)، مما قد يجعل من الصعب تحديد النشاط الخبيث ضد تلك الكيانات.
الطريقة الأخيرة مثيرة للقلق لأنها تشير إلى أن المتسللين قادرون على العمل كعملاء للبنية التحتية السحابية في إسرائيل دون قلق.
بشكل عام، كان انطباع الباحثين أن هؤلاء المتسللين يعملون بأساليب فريدة لم يسبق لها مثيل مع مجموعات القرصنة الإيرانية.
يشير هذا إلى وجود مجموعة أكثر تطوراً من تلك التي تمت مواجهتها في الماضي. وأشار الباحثون أيضًا إلى أن استخدام المجموعة الذكي للبنى التحتية المحلية يجعل تحديد نشاطها مهمة صعبة. يشير التطور المعروض في تطوير البرامج الضارة إلى قدرات أعلى من المتوسط.
أسباب تزايد النشاط السيبراني الإيراني
تزايد النشاط السيبراني الإيراني بشكل ملحوظ في السنوات الأخيرة، خاصة في العام الماضي، ويرجع ذلك جزئيًا إلى الحرب في غزة ولكن أيضًا بسبب محاولة إيران منع إسرائيل والولايات المتحدة من كبح نفوذها في جميع أنحاء الشرق الأوسط، بالتعاون مع روسيا وإيران. الصين.
ومن ناحية أخرى، واجهت إيران أيضًا العديد من الهجمات السيبرانية المنسوبة إلى إسرائيل، وأحيانًا إلى جهات أجنبية أخرى تعمل نيابة عنها. ومن بين أمور أخرى، حدثت اضطرابات في الموانئ ومحطات الوقود، ومؤخرًا، أدى انفجار غامض إلى تدمير خط أنابيب غاز حيوي في البلاد. لكن من الصعب جداً أن ننسب مثل هذه التصرفات إلى جهة أو أخرى، وفي الأغلب يتعلق الأمر بأدلة ظرفية.