فيسبوك يضبط جواسيس إيرانيين وهم يطاردون أهدافا عسكرية أمريكية

إذا كنت عضوًا في الجيش الأمريكي تلقيت رسائل ودية على فيسبوك من مجندين في القطاع الخاص لأشهر متتالية ، مما يشير إلى مستقبل مربح في صناعة الطيران أو صناعة المقاولات الدفاعية ، فقد يكون لدى فيسبوك بعض الأخبار السيئة

يوم الخميس ، كشف عملاق وسائل التواصل الإجتماعي عن تعقبه وتعطيله جزئيًا على الأقل لحملة قرصنة إيرانية طويلة الأمد استخدمت حسابات فيسبوك للظهور كجهات توظيف ، وتترنح في أهداف أمريكية بمخططات هندسية اجتماعية مقنعة قبل إرسال ملفات مصابة ببرامج ضارة أو خداعهم لإرسال بيانات اعتماد حساسة إلى مواقع التصيد الاحتيالي، يقول فيسبوك إن المتسللين تظاهروا أيضًا بالعمل في مجال الضيافة أو الصناعات الطبية أو الصحافة أو في المنظمات غير الحكومية أو شركات الطيران ، وأحيانًا يتفاعلون مع أهدافهم لعدة أشهر مع ملفات تعريف عبر العديد من منصات وسائل التواصل الإجتماعي المختلفة، وعلى عكس بعض الحالات السابقة للصيد الإيراني على وسائل التواصل الإجتماعي التي ترعاها الدولة والتي ركزت على جيران إيران ، يبدو أن هذه الحملة الأخيرة استهدفت إلى حد كبير الأمريكيين ، وبدرجة أقل ضحايا بريطانيين وأوروبيين

يقول فيسبوك إنه أزال “أقل من 200” ملف تعريف مزيف من منصاته نتيجة للتحقيق وأبلغ تقريبًا نفس عدد مستخدمي فيسبوك الذي استهدفهم المتسللون ، قال ديفيد أغرانوفيتش ، مدير موقع التهديدات لفيسبوك ، قال الخميس في اتصال مع الصحافة ، “توصل تحقيقنا إلى أن فيسبوك كان جزءًا من عملية تجسس أوسع بكثير استهدفت الأشخاص من خلال التصيد الإحتيالي والهندسة الإجتماعية ومواقع الويب المخادعة والنطاقات الضارة عبر العديد من منصات الوسائط الإجتماعية والبريد الإلكتروني ومواقع التعاون”

حدد موقع فيسبوك المتسللين وراء حملة الهندسة الإجتماعية باسم المجموعة المعروفة باسم Tortoiseshell ، والتي يُعتقد أنها تعمل نيابة عن الحكومة الإيرانية، المجموعة ، التي لديها بعض الروابط وأوجه التشابه مع مجموعات إيرانية أخرى معروفة معروفة بأسماء APT34 أو Helix Kitten و APT35 أو Charming Kitten ، ظهرت لأول مرة في عام 2019، في ذلك الوقت ، رصدت شركة الأمن Symantec المتسللين الذين يخترقون السعودية ومزودو تكنولوجيا المعلومات العرب في هجوم واضح لسلسلة التوريد مصمم لإصابة عملاء الشركة بقطعة من البرامج الضارة المعروفة باسم Syskit ، اكتشف فيسبوك نفس البرامج الضارة المستخدمة في حملة القرصنة الأخيرة هذه ، ولكن مع مجموعة أوسع بكثير من تقنيات العدوى وأهداف في الولايات المتحدة والدول الغربية الأخرى بدلاً من الشرق الأوسط

يبدو أيضًا أن Tortoiseshell قد اختارت منذ البداية الهندسة الإجتماعية على هجوم سلسلة التوريد ، حيث بدأت نشاطها على وسائل التواصل الإجتماعي في وقت مبكر من عام 2018 ، وفقًا لشركة الأمن مانديانت يقول جون هولتكويست ، نائب رئيس استخبارات التهديدات في مانديانت ، إن هذا يشمل أكثر بكثير من مجرد فيسبوك، يقول هولتكويست: “من بعض العمليات المبكرة للغاية ، فإنهم يعوضون عن الأساليب التقنية المبسطة حقًا مع مخططات وسائل التواصل الإجتماعي المعقدة حقًا ، وهي منطقة تكون فيها إيران بارعة حقًا”

في عام 2019 ، رصد قسم الأمن في Talos في Cisco موقع Tortoiseshell المزيف الذي يدير موقعًا وهميًا للمحاربين القدامى يسمى Hire Military Heroes ، وهو مصمم لخداع الضحايا لتثبيت تطبيق سطح مكتب على أجهزة الكمبيوتر الخاصة بهم يحتوي على برامج ضارة، يقول كريغ ويليامز ، مدير مجموعة تالوس الإستخباراتية ، إن الموقع المزيف والحملة الأكبر فيسبوك كلاهما يظهر كيف أن الأفراد العسكريين الذين يحاولون العثور على وظائف في القطاع الخاص يشكلون هدفًا ناضجًا للجواسيس، يقول ويليامز: “المشكلة التي نواجهها هي أن المحاربين القدامى الذين ينتقلون إلى عالم التجارة هو صناعة ضخمة”، “الأشرار يمكنهم العثور على الأشخاص الذين يرتكبون أخطاء ، والذين سينقرون على الأشياء التي لا ينبغي عليهم فعلها ، والذين ينجذبون إلى اقتراحات معينة”

فيسبوك يحذر من أن المجموعة انتحلت أيضًا موقعًا لوزارة العمل الأمريكية ؛ قدمت الشركة قائمة بالنطاقات المزيفة للمجموعة التي انتحلت هوية مواقع الوسائط الإخبارية وإصدارات YouTube و LiveLeak والعديد من الإختلافات على عناوين URL المتعلقة بعائلة ترامب

يقول فيسبوك إنه ربط عينات البرامج الضارة للمجموعة بمقاول تكنولوجيا معلومات محدد مقره طهران يُدعى مهاك ريان أفراز ، والذي سبق أن قدم برامج ضارة إلى الحرس الثوري الإيراني – أول رابط ضعيف بين مجموعة Tortoiseshell والحكومة، أشارت شركة Symantec في عام 2019 إلى أن المجموعة استخدمت أيضًا بعض الأدوات البرمجية التي تم رصدها أيضًا من قبل مجموعة اختراق APT34 الإيرانية ، والتي استخدمت إغراءات وسائل التواصل الإجتماعي عبر مواقع مثل فيسبوك و LinkedIn لسنوات، تقول هالتكويست من مانديانت إنها تشترك تقريبًا في بعض الخصائص مع المجموعة الإيرانية المعروفة باسم APT35 أيضًا ، والتي يُعتقد أنها تعمل في خدمة الحرس الثوري الإيراني، يتضمن تاريخ APT35 استخدام المنشقة الأمريكية ، مونيكا ويت ، متعاقدة في دفاع المخابرات العسكرية ، للحصول على معلومات عن زملائها السابقين يمكن استخدامها لاستهدافهم بالهندسة الإجتماعية وحملات التصيد الإحتيالي

ربما يبدو أن تهديد عمليات القرصنة التي تتخذ من إيران مقراً لها – وخاصة تهديد الهجمات الإلكترونية التخريبية من البلاد – قد تلاشى لأن إدارة بايدن عكست مسارها عن نهج المواجهة الذي تتبعه إدارة ترامب، أدى اغتيال القائد العسكري الإيراني قاسم سليماني في عام 2020 على وجه الخصوص إلى تصعيد التدخلات الإيرانية التي يخشى الكثيرون أن تكون مقدمة لهجمات إلكترونية انتقامية لم تتحقق أبدًا، على النقيض من ذلك ، أشار الرئيس بايدن إلى أنه يأمل في إحياء اتفاق عهد أوباما الذي علق طموحات إيران النووية وخفف من حدة التوترات مع البلاد – وهو تقارب أثار قلقه بسبب أنباء عن تآمر عملاء المخابرات الإيرانية على اختطاف صحفي إيراني أمريكي

لكن حملة فيسبوك تظهر أن التجسس الإيراني سيستمر في استهداف الولايات المتحدة وحلفائها ، حتى مع تحسن العلاقات السياسية الأوسع، يقول هولتكويست من مانديانت: “من الواضح أن الحرس الثوري الإيراني يجري تجسسه في الولايات المتحدة”، “إنهم لا يزالون غير صالحين ، ويحتاجون إلى المراقبة بعناية”