التقرير ( PDF )

المقدمة

هذا التقرير صدر من قبل iransec.org وهي منظمة ايرانية للدفاع عن المدافعين وقد تعاونت المنظمة مع موقع سايبر عربcyber-arabs.com لترجمة التقرير ونشره على الموقع الإلكتروني.

التقرير يغطي : ديسمبر 2016 – مايو 2017

حقائق وأرقام

تمكن الهجومان الأوّل والثاني من سرقة معلومات من 300 ضحية، في حين أن الهجوم الثالث حقق النجاح في 200 حالة.

يبدو أن ما يقارب نصف الضحايا هم من غير الإيرانيين بما في ذلك سياسيون من أمريكا الشمالية وأوروبا وإسرائيل ومنطقة الخليج الفارسي.

كان الضحايا الإيرانيون في الهجمات الأخيرة الثلاثة بشكلٍ رئيسي من الناشطين القاطنين في الولايات المتحدة.

الهجمات هذه عبارة عن نسخ متطورة ومعقدة أكثر من هجمات تشارمينغ كيتن” Charming Kitten سنة 2016.

التقرير 

منذ بداية سنة 2017، تتلقى إيران سك IranSec تقارير عن هجمات عدّة بشأن رسائل بريد إلكتروني مشبوهة يتلقاها صحافيون إيرانيون وناشطون في مجال الدفاع عن حقوق الإنسان، تطالب المستخدمين بتغيير كلمات السرّ الخاصة بحساباتهم على جي مايل Gmail.

في الماضي، شنّت مجموعات من قبيل فلاينج كيتن” Flying Kitten وتشارمينغ كيتن” Charming Kitten وروكت كيتن” Rocket Kitten هجمات تصيّد منظمة ومتواصلة سنة 2010 ، استهدفت ناشطين مدنيين وسياسيين. واستنادًا إلى خبراء في مجال الأمن الرقمي، حاول المهاجمون جمع المعلومات الشخصية الخاصة بضحاياهم بواسطة رسائل تصيّد على البريد الإلكتروني وصفحات مواقع مزيّفة. ووفقًا للتقارير المنشورة، تسهتدف هذه الهجمات بشكلٍ رئيسي مستخدمين إيرانيين يعيشون في الخارج بالإضافة إلى سياسيين أجانب وشركات ومنظمات اقتصادية وعسكرية.

قام مختبر إيران سك لاب” IranSec Lab بتحليل عينات من رسائل بريد إلكتروني مرسلة إلى إيران سك“. يقدّم هذا التقرير توصيفًا للنسخ الثلاث الأخيرة لهجمات التصيّد هذه ويخلص إلى دليل موجز للمستخدمين يدلهم على كيفية تفادي هجمات مماثلة في المستقبل.

للوهلة الأولى، يبدو ذلك هجوم تصيّد. هدف هجمات التصيّد حصد معلومات خاصة معينة (كلمات السرّ مثلاً) من الضحايا من خلال انتحال صفة موقع أو عنوان بريد إلكتروني أو محتوى معيّن. ويراد منها خداع الضحايا.

تظهر الصورة رقم 1 كيفية تصميم رسالة التصيّد الإلكتروني بحيث تبدو وكأنها من رسالة إلكترونية من غوغل. منذ البداية، يمكننا أن نلاحظ ثلاث عناصر مشبوهة في هذه الحالة: العنصر الأوّل هو أن المستخدم لم يطلب إعادة ضبط كلمة السرّ؛ الثاني هو كون الرسالة مرسلة من عنوان بريدي إلكتروني غير رسمي لخدمات غوغل (ترسل شركة غوغل رسائل من عنوان مجالها google.com، عوضًا عن عنوان مجال gmail.com). أما العنصر الثالث فهو الأخطاء اللغوية الغريبة في النص.

الصورة ١ : رسالة بريدية إلكترونية مزيّفة تطلب إعادة ضبط كلمة السرّ

تستعين طريقة أخرى بأسلوب الهندسة الاجتماعية لممارسة الضغط على الضحايا. يرسل المهاجمون رسائل إلكترونية عدّة بمحتويات مختلفة تمارس ضغطًا على الضحية وتضايقها لزيادة فرص ارتكاب خطأ ما. وفي بعض الهجمات الأخرى المشابهة، وصل الأمر بالمهاجمين الأمر إلى حد إرسال رسائل نصية قصيرة على أرقام هواتف ضحاياهم فيها طلبات إعادة ضبط كلمات السرّ (متنكرة كموقع جي مايل Gmail أو تطبيق تليغرام Telegram) بغية إخافة الضحية وزيادة فرص ارتكاب مثل هذه الأخطاء.

الصورة ٢ : الهجوم على حسابات التليغرام

يرسل المخترقون الذين صمموا هذه الهجمات رسائل بريدية ثانية للضحايا بعد فترة قصيرة. تحتوي رسالة البريد الإلكتروني هذه نصًا يزعم أن شخصًا آخر تمكن من الدخول إلى حسابكم من مكان مجهولبالإضافة إلى معلومات مزيّفة بما في ذلك عنوان بروتوكول إنترنت واسم نظام تشغيل وموقع جغرافي لنظام آخرى نجح في الدخول إلى حسابهم. وبحسب تقارير أخرى تفيد بأن بعض المستخدمين وصلهم أكثر من 6 رسائل تحذير إلكترونية خلال خمس دقائق فقط. (الصورة رقم 3) تظهر نموذجًا عن رسائل التحذير هذه.

الصورة ٣ : رسالة تحذيرية مزيفة

في جميع الهجمات الثلاث، أعيد توجيه الضحايا إلى صفحة تعرض عنوانًا شبيهًا إلى حدٍ كبير بالعناوين المستخدمة من قبل غوغل وبتصميم مشابه لصفحة تسجيل الدخول من غوغل. وصممت كل صفحة خصيصًا لكل ضحية إذ تعرض صورتها واسمها (الصورة رقم 3). في بعض الحالات، الفترة الزمنية الفاصلة بين إنشاء عنوان المجال المزيّف واستخدامه لحيلة تصيّد تكون قصيرة جدًا، في ما يبدو أنه محاولة لتقليص خطر رصدها من شركة غوغل أو من خبراء أمنيين آخرين.

في بعض الحالات الأخرى، أرسلت رسالة إلكترونية أخرى بعد فترة وجيزة من رسالة التصيّد الأولى، لتأكيد تغيير كلمة السرّ من أجل ممارسة ضغط إضافي على الضحية وإلهائها عن التحقق كما يجب من رسالة التصيّد.

الصورة ٤ : صفحة مزيفة لإدخال البريد الإلكتروني مع صور الضحايا

( الصورة رقم 5) تظهر ماذا يحصل بعد أن تضغط الضحية زر التحقق، يعاد توجيهها إلى صفحة أخرى ليست صفحات مجالات غوغل. وأخيرًا تقوم هذه الصفحة بإعادة توجيه الضحية إلى صفحة تسجيل دخول مزيّفة (الصورة رقم 4) قبل أن تعيد توجيهها إلى صفحة غوغل الرئيسية.

في معظم الحالات التي حللتها إيران سك، كان لدى المخترقين معلومات كافية عن ضحاياهم وصلاتها بالإنترنت. أرسلت رسائل التصيّد إلى الضحايا خلال فترة ذروة ساعات العمل، أو أرسلت رسائل متزامنة إلى حسابات متعددة لضحايا (على شبكات التواصل الاجتماعي المختلفة) لبث شعور بهجوم شامل على الضحية، من أجل التقليل من مستوى حذرها. في بعض الحالات، وصل الأمر إلى إرسال رسائل تحذير أو تأكيد مزيّفة لعناوين بريد الاستعادة الخاصة بالضحايا (عناوين البريد الاحتياطية) تزعم تغييرًا ما في كلمة السرّ أو عملية تسجيل دخول فاشلة أو كلمة سرّ جديدة. ويمكن أن نستنتج أن المخترقين الذين صمموا هذه الهجمات لم يختاروا ضحاياهم بشكلٍ عشوائي، بل كان لديهم معلومات مفصّلة عن سلوكيات ونشاطات الضحايا.

الصورة ٥: النسخة النصيّة من الصورة رقم 1 لرسالة البريد الإلكتروني التي تعيد توجيه الضحية إلى صفحة مزيّفة بعد الضغط على زر التحقق

لا تنحصر هجمات التصيّد هذه بالأشهر الأولى من سنة 2016، إذ تكررت في فترات أخرى لاستهداف مجموعات أخرى من الناشطين الإيرانيين. وقد صحح المهاجمون بعضًا من أخطائهم السابقة ووضعوا طريقة معدّلة (عبر تغيير طريقة الاستهداف، واستخدام محتوى مختلف وتوقيت مختلف وأنواع أخرى من الرسائل الإكترونية المزيّفة). وعلى الرغم من التعديلات، لا شكّ في أن هذه الهجمات الثلاث مرتبطة ببعضها البعض.

نظرًا لنطاق هذه الهجمات، واستخدام خوادم ومجالات متعددة، وتغيير طرق الاختراق واستهداف الناشطين الاجتماعيين والسياسيين والصحافيين المنتقدين للحكومة الإيرانية، من المحتمل جدًا أن تكون هذه الهجمات مدعومة من الحكومة الإيرانية. إضافة إلى ذلك، رُصدت آثار لمجموعة مخترقي تشارمينغ كيتن، وهي المجموعة ذاتها المتورطة في نشر برمجية خبيثة تعرف باسم ماكداونلودر” MacDownloader. حُمّلت هذه البرمجية الخبيثة على صفحة موقع شبيه بصريًا بموقع شركة أميركية متخصصة في معدات مركبات السفر جوًا (تبيع محركات طائرات ومعدات صناعية أخرى). يعتقد الخبراء الأمنيون أن البرمجية الخبيثة هذه تستهدف المعارضة الإيرانية وناشطين آخرين. إذ تصيب جهاز الضحية من خلال عملية تنزيل مزيّفة لتثبيت برنامج فلاش Flash ومن ثمّ تنقل معلومات المستخدم إلى خوادم المخترقين بعد إدخال كلمة السرّ الخاصة بخاصية سلسلة المفاتيح (keychain) من آيكلاود” iCloud. تستند بنية البرمجية الخبيثة هذه إلى كون متصفح سفاري Safari وخدمات نظام تشغيل ماك الأخرى تحفّظ كلمات السرّ تلقائيًا في خاصية سلسلة المفاتيح من أجل عمليات تسجيل الدخول المستقبلية. والبرمجية الخبيثة هذه التي أنشأت في أواخر سنة 2016 من قبل مطوّرين هواة، تستعين بشفرة برمجيات خبيثة سابقة أخرى1.

الصورة ٦ : لمحة عامة عن صور المستخدمين المستعملة في الهجمات (الصور مغبشة لحماية خصوصية المستخدمين)

بعد تلك الهجمات رُصدت خوادم ومجالات متعددة لهذه المجموعة وأرسلت طلبات لإزالتها. تعرض الصورة أدناه الصلات بين خوادم المهاجمين والمجالات المزيّفة، مما يحدد البنى التحتية للبرمجيات والأجهزة المستخدمة في الهجمات السابقة (والمستقبلية الممكنة). تجدر الإشارة إلى أن اسماء المجالات وعناوين بروتوكولات الإنترنت ومعلومات الخوادم قد أزيلت من الصورة.

تعرض الصورة 50 مجالاً مزيّفًا و7 عناوين بريد إلكتروني و19 عنوان بروتوكول إنترنت وتفاصيل أخرى متعلقة بهجمات التصيّد الثلاث الأخيرة التي رُصدت حتى الآن. توزيع النقاط في الرسم البياني يظهر الصلات فيما بينها. قام المخترقون بتغيير عناوين البريد الإلكتروني وأسماء المجالات والخوادم والتفاصيل الأخرى في مواعيد مختلفة لإزالة أي آثار متبقية. ومن بعد عمليات تحليل إضافية، قد يتمكن خبراؤنا من استعادة بعض تلك المعلومات وإنشاء صلات مع المجالات وعنواين البريد الإلكتروني تلك.

تكشف بحوث أخرى أجرتها إيران سكأن ما يقارب نصف العدد الإجمالي لضحايا هجمات التصيّد المتسلسلة الـ500 كانوا إيرانيين من الصحافيين والناشطين في مجال الدفاع عن حقوق الإنسان. ولسوء الحظ، لا نعرف العدد الصحيح لضحايا هذه الهجمات. وعلى الرغم من تحديد هؤلاء الضحايا وتحذيرهم بشأن الهجمات قدر المستطاع، لا يمكننا تقدير كمية المعلومات التي كُشفت للمهاجمين. ما يقارب نصف الضحايا كانوا من السياسيين والناشطين المدنيين ورجال الأعمال غير الإيرانيين، في أوروبا والولايات المتحدة والشرق الأوسط.

الصورة ٧ : انتشار المواقع الإكترونية وعناوين بروتوكول الإنترنت وعناوين البريد الإلكتروني وخوادم اسماء المجالات وخوادم تبادل البريد ومجالات

1 https://iranthreats.github.io/resources/macdownloader-macos-malware

 

التقرير ( PDF )

أبرز الأخبار

تقرير : هجمات التصيد ضد الناشطين الإيرانيين