الهجوم الصامت.. إسرائيل تتحدث عن تجسس إيراني «غير مسبوق»
حملة سيبرانية إيرانية جديدة تقول إسرائيل إنها تستهدف مسؤولين عبر هندسة اجتماعية عميقة.
هذا ما كشفت عنه الوكالة الوطنية الرقمية في إسرائيل، متحدثة عن حملة تجسس إلكتروني إيرانية متطورة وغير مسبوقة، تحمل الاسم الرمزي “SpearSpecter”، تُنسب إلى جماعة مرتبطة بجهاز استخبارات الحرس الثوري. بحسب ما طالعته “العين الإخبارية” في صحيفة “يديعوت أحرونوت”.
الأهداف وأساليب الهجمات
وتعمل هذه المجموعة—التي تُعرف أيضا بأسماء مثل APT42 وCharmingCypress—وفق أساليب وتكتيكات جديدة، مبتعدة عن الهجمات الواسعة والعشوائية نحو تجسس دقيق يستند إلى هندسة اجتماعية متقدمة.
في إحاطة مع باحث الأمن السيبراني شيمي كوهين ونير بار يوسف، رئيس وحدة السايبر في الوكالة، كشف المسؤولون أن الحملة تستهدف بشكل منهجي شخصيات ذات قيمة عالية في قطاعات الدفاع والحكومة في إسرائيل، إضافة إلى أفراد من عائلاتهم.
وقال بار يوسف: “تمثل هذه الحملة تطورا مهما، فالهجمات الإلكترونية أصبحت أكثر شخصية وتتطلب موارد أكبر. لم يعد الأمر يتعلق بسرقة كلمات المرور فقط، بل بالحصول على وصول طويل الأمد ومستمر إلى أهداف محددة.”
ووفق الوكالة الإسرائيلية، يقضي المهاجمون أياما أو حتى أسابيع في بناء ما يبدو أنها علاقات شخصية أو مهنية مشروعة مع أهدافهم.
وتشمل أساليب الإغراء الشائعة دعوات لحضور “مؤتمرات مرموقة” أو جدولة “اجتماعات رفيعة المستوى”.
وحتى كتابة هذا الخبر لم تؤكد إيران أو تنف ما جاء على لسان الوكالة الوطنية الرقمية في إسرائيل.
واتساب.. أداة لبناء الثقة والاختراق
من بين أدواتهم الأساسية تطبيق واتساب، الذي يستخدم لبداية التواصل بواجهة مألوفة تساعد على بناء الثقة.
وفي هذا الصدد، أوضح الخبير الأمني، أن “لحملة تبدأ بجمع معلومات أولية، ثم ينتحل المهاجمون هوية شخصية حقيقية ويتواصلون مع الهدف عادة عبر واتساب”.
وبمجرد بناء الثقة، يُرسل رابط خبيث لتفعيل سلسلة هجوم معقدة. ولأهداف أقل قيمة، تُستخدم صفحات اجتماعات مزيفة مصممة مسبقا لالتقاط بيانات الدخول لحظيا.
أما للأهداف عالية القيمة، فتكون الغاية زرع باب خلفي متطور أطلقت عليه غوغل اسم “TAMECAT”، يعتمد على PowerShell، ما يجعل رصده أكثر صعوبة على أدوات الأمن التقليدية.
استغلال خصائص ويندوز وبروتوكول WebDAV
كما يستغل المهاجمون خصائص مدمجة في نظام ويندوز وبروتوكول WebDAV (المستخدم لتحرير المستندات عبر المتصفح) في مرحلة تجهيز الحمولة الخبيثة.
ولتفادي الرصد، يستخدمون بنية قيادة وتحكم (C2) متعددة القنوات تعتمد على منصات شرعية مثل تلغرام وديسكورد، ما يجعل حركة البيانات تبدو طبيعية.
وقال بار يوسف: “تكمن الابتكارية هنا في إخفاء تدفق البيانات. يستخدمون خدمات شرعية كتلغرام وديسكورد كخوادم للتحكم، ما يجعل اكتشاف تسريب المعلومات أمرا بالغ الصعوبة.”
وأضاف : “في مشهد التهديدات الحالي، القاعدة الأولى هي: تحقق، ثم تحقق، ثم تحقق مرة أخرى.”
aXA6IDQ1LjE0LjIyNS4xMCA= جزيرة ام اند امز
