كشفت وزارة الأمن الداخلي الكندية (CISA) بالتعاون مع مكتب التحقيقات الفيدرالي الأميركي (FBI) كيف تمكن القراصنة الإيرانيون الذين ترعاهم الدولة من جمع معلومات تسجيل الناخبين من المواقع الالكترونية الحكومية الأمريكية، بما في ذلك مواقع الانتخابات.
ثم تم استخدام البيانات المسروقة التي تم حصادها، في وقت لاحق، لإرسال رسائل بريد إلكتروني مزيفة من Proud Boys استهدفت الناخبين الديمقراطيين في محاولة لتخويفهم وتهديدهم وإقناعهم بالتصويت للرئيس الحالي دونالد ترامب.
وجاء في التقييم المشترك الذي أجرته CISA مع FBI أن محاولات تنزيل معلومات الناخبين من المواقع الالكترونية الحكومية والخاصة بالانتخابات في الولايات المتحدة الأمريكية جرت بين 29 سبتمبر و 17 أكتوبر 2020. وأن الاستهداف السيبراني كان جُهداً مقصوداً للتأثير والتدخل في الانتخابات الرئاسية الأمريكية لعام 2020.
كما تضمن الهجوم الالكتروني محاولة استغلال الثغرات الأمنية المعروفة، واجتياز الدليل، وإدخال لغة الاستعلام الهيكلية (SQL) ، وتحميلات قذيفة الويب، والاستفادة من العيوب الموجودة في مواقع الويب.
القراصنة الإيرانيون يبحثون عن نقاط الضعف
استخدم ممثلو APT الإيرانيون أولاً ماسح نقاط الضعف Acunetix للكشف عن الثغرات الأمنية التي تؤثر على المواقع المستهدفة والتي سمحت لهم لاحقاً باستغلال الخوادم غير الآمنة.
وبعد شن الهجمات، استطاع القراصنة تنزيل بيانات تسجيل الناخبين بنجاح، لولاية أمريكية واحدة على الأقل، من خلال استغلال التهيئة الخاطئة لمواقع الانتخابات ونقاط الضعف.
للقيام بذلك، استخدموا البرامج النصية المصممة لاستخدام “أداة cURL للتكرار خلال تسجيل الناخبين”، مما سمح لهم بالانتقال تلقائياً إلى قواعد البيانات وتنزيلها.
القراصنة يستخدمون NordVPN
في سياق متصل، قال مكتب التحقيقات الفيدرالي في تنبيه سريع إن العديد من عناوين IP التي يستخدمها المتسللون الإيرانيون في حملة البريد الإلكتروني المزيفة Proud Boys هي من خدمة NordVPN وقد تتوافق أيضاً مع موفري VPN الآخرين بما في ذلك CDN77 و HQSERV و M247.
كما أنه أثناء التحقيق، وجد مكتب FBI أيضاً أدلة تشير إلى أن مجموعة APT بحثت في المعلومات التالية أثناء جهودها للبحث عن مواقع انتخابات الولاية واستغلالها: تجاوز جدار حماية تطبيق الويب ModSecurity، الكشف عن جدران حماية تطبيقات الويب، أداة SQLmap، وغيره.
