قدم بحث جديد من شركة الأمن السيبراني تشيك بوينت (Check Point) نظرة ثاقبة حول حملة التجسس الإلكتروني المستمرة منذ ست سنوات التي تستهدف معارضين إيرانيين بقصد سرقة معلومات حساسة.
ويُقال: إن المهاجم، الذي يُشتبه في أنه من أصل إيراني، قام بتنظيم الحملة التي تستهدف نظامي ويندوز وأندرويد باستخدام مجموعة واسعة من أدوات التسلل في شكل أدوات سرقة المعلومات والأبواب الخلفية المصممة لسرقة المستندات الشخصية وكلمات المرور ورسائل تيليجرام وأكواد المصادقة الثنائية من رسائل (SMS).
وتحمل العملية اسم “Rampant Kitten”، وقد استخدمت مجموعة أدوات البرمجيات الخبيثة ضد الأقليات الإيرانية والمنظمات المناهضة للنظام وحركات المقاومة، مثل منظمة (AFALR)، ومنظمة المقاومة الوطنية الأذربيجانية، ومواطني بلوشستان.
وبحسب شركة الأمن السيبراني، فقد جرى تتبع سلسلة العدوى لأول مرة من خلال مستند (Microsoft Word) بعنوان “النظام يخشى انتشار المدافع الثورية” يتضمن برامج ضارة يحاول إصابة معارضين إيرانيين.
ويتحقق المستند عند فتحه من وجود تطبيق تيليجرام على نظام ويندوز، وفي حال وجود تطبيق تيليجرام، فإن المستند يعمد إلى تنزيل ثلاثة ملفات تنفيذية ضارة إضافية للوصول إلى الوحدات المساعدة واستخراج ملفات تيليجرام و (KeePass) ذات الصلة من حاسب الضحية.
وعند القيام بذلك، يمكن للمهاجم اختطاف حساب تيليجرام الخاص بالفرد وسرقة الرسائل، وكذلك تجميع جميع الملفات ذات الامتدادات المحددة ونقلها إلى خادم تحت سيطرته.
ويؤكد البحث أيضًا على استشارة من وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) في وقت سابق من هذا الأسبوع.
وشرحت هذه الاستشارة استخدام مهاجمين إيرانيين لملفات (PowerShell) من أجل الوصول إلى بيانات كلمات المرور المشفرة المخزنة بواسطة برنامج إدارة كلمات المرور (KeePass).
وعلاوة على ذلك، تمت سرقة المعلومات من حسابات تيليجرام باستخدام تقنية منفصلة تتضمن صفحات تصيد مستضافة تنتحل شخصية تيليجرام تستخدم رسائل تحديث مزيفة للميزات للحصول على وصول غير مصرح به إلى الحسابات.
ومن ناحية أخرى، يتم تثبيت الباب الخلفي لنظام أندرويد من خلال تطبيق يتنكر كخدمة لمساعدة المتحدثين باللغة الفارسية في السويد في الحصول على رخصة القيادة الخاصة بهم.
وجرى تصميم التطبيق لاعتراض جميع رسائل (SMS) ونقلها إلى رقم هاتف يتلقاه من خادم الأوامر والتحكم (C2)، مما يسمح للمهاجم بالحصول على بيانات حساب الضحية.
وقالت (Check Point): إنها كشفت عن العديد من أنواع البرامج الضارة التي يعود تاريخها إلى عام 2014، مع استخدام بعض الإصدارات في وقت واحد، لكنها تُظهر اختلافات كبرى بينها.
وبالنظر إلى طبيعة الأهداف المختارة بعناية بالنسبة لعملية “Rampant Kitten”، مثل مجاهدي خلق ومنظمة المقاومة الوطنية الأذربيجانية (ANRO)، فمن المحتمل أن يعمل المتسللون بناءً على طلب الحكومة الإيرانية.