أظهر تحقيق جديد أجرته شركة Check Point Research أن القراصنة الإيرانيون ومجموعات التهديد السيبراني المتمركزة في إيران والتابعة للحكومة الرسمية، تستمر في التجسس بنشاط كبير على الهواتف المحمولة وأجهزة الكمبيوتر الخاصة بالمعارضين وبغيرهم من الأفراد المستهدفين في جميع أنحاء العالم والذين يُعتقد أنهم يمثلون تهديداً للنظام.
القراصنة الإيرانيون ومجموعة Infy
تعمل إحدى المجموعات، المسماةInfy ، منذ عام 2007 على الأقل. ارتبطت بالهجمات الالكترونية التي استهدفت وسائل الإعلام الناطقة باللغة الفارسية والأهداف الدبلوماسية والمعارضين الإيرانيين في دول عدة، بما في ذلك الولايات المتحدة الأميركية وكندا وألمانيا.
يتمثل أسلوب العمل الأساسي لمجموعة Infy بتثبيت البرامج الضارة على أجهزة الكمبيوتر الخاصة بالأفراد المستهدفين لمراقبتهم وجمع مجموعة واسعة من المعلومات منهم وعنهم، بما في ذلك معلومات الاتصال والبيانات الحساسة والتسجيلات الصوتية والصور والملفات الأخرى.
أوقفت Infy عملياتها لفترة وجيزة بين منتصف عام 2016 ومنتصف عام 2017 بعد أن قام باحثون من بالو ألتو بإزالة بنيتهم التحتية الخاصة بالقيادة والسيطرة، وبالتالي فقدت المجموعة قدرتها على التواصل مع الضحايا.
ثم تم اكتشاف Infy مرة أخرى في أغسطس 2017 تحت اسمFoudre ، وهي تقوم بتوزيع برمجيات خبيثة جديدة عبر رسائل بريد إلكتروني موجهة للتصيد الاحتيالي تحتوي على مرفق خبيث قابل للتنفيذ، طبعاً بهدف سرقة البيانات.
ويُظهر بحث Check Point الجديد، الذي تم إجراؤه بالتعاون معSafeBreach Labs ، أن Infy قام بتحديث Foudre مرة أخرى في عام 2020. لذلك عندما يتم تثبيت البرنامج الضار حالياً على جهاز الضحية، يقوم بتنزيل حمولة المرحلة الثانية التي باتت تسمى Tonnerre.
تشمل قدرات البرامج الضارة سرقة الملفات من مجلدات وأجهزة خارجية محددة مسبقاً، وتنفيذ أوامر ضارة عن بُعد، وتسجيل الصوت، والتقاط صورة الشاشة. هذا ويستخدم ممثلو التهديد العديد من الإغراءات لتصيد الأفراد المستهدفين وإغوائهم على تثبيت البرامج الضارة على أجهزة الكمبيوتر الخاصة بهم.
أحدث حملات Infy، والتي ما زالت مستمرة، تستهدف المعارضين الإيرانيين في 12 دولة. وتشمل الأمثلة: وثيقة يُزعم أنها من حاكم مقاطعة إيرانية معينة، أو وثيقة يبدو أنها صادرة عن منظمة حكومية تقدم قروضاً للمحاربين القدامى ذوي الاحتياجات الخاصة وأسر الشهداء.
مجموعة APT-C-50
المجموعة الأخرى، APT-C-50، تدير حملة مراقبة شديدة جداً صالح الحكومة الايراينة منذ عام 2016، ويطلق عليها اسم “Domestic Kitten”. على عكس Infy ، تستهدف APT-C-50 الهاتف المحمول الخاص بالمستخدمين الذين تهمهم إيران فقط.
سلاحها الرئيسي هو البرمجيات الخبيثة”FurBall” ، وهي أداة مصممة لجمع معرفات الأجهزة وسرقة الرسائل القصيرة وسجلات المكالمات وتسجيل الأصوات عبر استخدام ميكروفون الجهاز وسرقة ملفات الوسائط مثل الفيديو والصوت.
في كل حملة، حاولت APT-C-50 خداع المستخدمين لتنزيل برامج ضارة على هواتفهم المحمولة عبر استخدام مجموعة متنوعة من الحيل، بما في ذلك جذبهم إلى موقع مدونة يحتوي على البرامج الضارة، عبر رسائل SMS وقنوات Telegram.
وفقاً لـ Check Point ، قامت APT-C-50 بتشغيل ما لا يقل عن 10 حملات منفصلة حتى الآن، أربعة منها نشطة حالياً. تم إطلاق أحدث هذه الحملات في شهر نوفمبر الماضي. استهدفت المجموعة ما لا يقل عن 1200 فرد في بلدان متعددة ونجحت في إصابة أكثر من 600 جهاز. ومن بين ضحايا الهجوم: معارضون إيرانيون، ودعاة لداعش، والأقلية الكردية في إيران، وغيرهم.