إيران تخفي برامج تجسس في تطبيقات مختلفة

تدير إيران عمليتي مراقبة في الفضاء الإلكتروني ، تستهدفان أكثر من 1000 معارض ، وفقًا لشركة رائدة في مجال الأمن السيبراني

وقالت تشيك بوينت إن الجهود كانت موجهة ضد أفراد في إيران و 12 دولة أخرى ، بما في ذلك المملكة المتحدة والولايات المتحدة

Iran 'hides spyware in wallpaper, restaurant and games apps' https://t.co/nE1zBbuihz

— NCSC (@NCSCgov) February 8, 2021

قالت إن المجموعتين المعنيتين تستخدمان تقنيات جديدة لتثبيت برامج التجسس على أجهزة الكمبيوتر والأجهزة المحمولة الخاصة بالأهداف

ثم تم استخدام هذا لسرقة تسجيلات المكالمات وملفات الوسائط

إحدى المجموعات ، المعروفة باسم الدوميني كيتن أو APT-50 ، متهمة بخداع الأشخاص لتنزيل برامج ضارة على الهواتف المحمولة من خلال مجموعة متنوعة من الوسائل بما في ذلك:

إعادة تجميع إصدار موجود من لعبة فيديو أصلية موجودة في متجر Google Play

محاكاة تطبيق لمطعم في طهران

تقدم تطبيقًا مزيفًا لأمن الأجهزة المحمولة

توفير تطبيق مخترق ينشر مقالات من وكالة أنباء محلية

توفير تطبيق خلفية مصاب يحتوي على صور مؤيدة للدولة الإسلامية

يتنكر في شكل متجر تطبيقات أندرويد لتنزيل المزيد من البرامج

ووثق باحثو الشركة الأمريكية الإسرائيلية استهداف 1200 ضحية في سبع دول

وأضافت أن هناك أكثر من 600 إصابة ناجحة

يُقال إن المجموعة الثانية ، المعروفة باسم Infy أو Prince Of Persia ، تتجسس على أجهزة الكمبيوتر المنزلية والعمل للمعارضين في 12 دولة ، وتستخرج بيانات حساسة بعد خداع الأشخاص لفتح مرفقات بريد إلكتروني ضارة

ولم تعلق الحكومة الإيرانية على التقرير

تم تحديد عملية Local Kitten لأول مرة في عام 2018

وقالت تشيك بوينت إن هناك أدلة على أنها نفذت 10 حملات على الأقل منذ عام 2017

كانت أربعة من هؤلاء لا تزال نشطة ، وكان آخرها في نوفمبر 2020

وكانت تستخدم موقع مدونة إيرانيًا وقنوات تليغرام ورسائل نصية لجذب الناس لتثبيت برامجه المصابة ، والتي أطلق عليها الباحثون اسم Furball ، والتي يمكنها:

تسجيل المكالمات والأصوات الأخرى

تتبع موقع الجهاز

جمع معرفات الجهاز

انتزاع الرسائل النصية وسجلات المكالمات

سرقة ملفات الوسائط ، بما في ذلك مقاطع الفيديو والصور

الحصول على قائمة بالتطبيقات المثبتة الأخرى

سرقة الملفات من وحدة التخزين الخارجية

ويقال إن الإصابات الناجحة البالغ عددها 600 تشمل المنشقين وقوى المعارضة وأفراد من الأقلية العرقية الكردية في:

إيران

الولايات المتحدة

بريطانيا العظمى

باكستان

أفغانستان

تركيا

أوزبكستان

ويقال إن المجموعة الأخرى ، Infy ، كانت تعمل منذ عام 2007

وقالت Check Point إن أحدث نشاط لها كان يستهدف أجهزة الكمبيوتر ، مع رسائل بريد إلكتروني مزيفة ذات محتوى جذاب ، وعادة ما تكون مرفقة بوثيقة

ومن الأمثلة المقدمة وثيقة تتعلق على ما يبدو بالقروض المقدمة للمحاربين القدامى المعاقين

وقالت الشركة إنه بمجرد فتح المستند ، تم تثبيت أداة تجسس وسرقة بيانات حساسة

ويقال إن وثيقتين تم استخدامهما مؤخرًا تضمنتا صورة لحاكم إيراني ، مع تفاصيل اتصال مزعومة

وقال الباحثون إن قدرات إنفينيتي كانت “أفضل بكثير” من معظم الحملات الإيرانية المعروفة ، وذلك بفضل قدرتها على أن تكون انتقائية للغاية بشأن أهدافها وأنها لم تُكتشف بشكل عام

وقال يانيف بالماس رئيس أبحاث الإنترنت في Check Point ، “من الواضح أن الحكومة الإيرانية تستثمر موارد كبيرة في العمليات الإلكترونية”

“يبدو أن مشغلي حملات التجسس السيبراني الإيرانية هذه لم يتأثروا تمامًا بأي أنشطة مضادة يقوم بها الآخرون ، على الرغم من الكشف عن كلتا الحملتين بل وتوقفا في الماضي

“لقد عادوا ببساطة”