أخرى
#اختراق
#واتساب
اختراق يستهدف مستخدمي جيميل وواتساب في الشرق الأوسط
في يوم الثلاثاء، قام الناشط الإيراني المقيم في المملكة المتحدة، ناريمان غريب، بنشر لقطات شاشة معدلة لرابط تصيد أُرسل إليه عبر رسالة على واتساب. وحذر غريب قائلاً: "لا تضغط على الروابط المشبوهة". الناشط، الذي يتابع الجانب الرقمي للاحتجاجات الإيرانية من بعيد، أشار إلى أن الحملة استهدفت الأشخاص المشاركين في الأنشطة المتعلقة بإيران، مثله.
تأتي هذه الحملة للاختراق في وقت تعاني فيه إيران من أطول انقطاع للإنترنت في تاريخها، حيث تشتعل الاحتجاجات المناهضة للحكومة والعمليات القمعية العنيفة في جميع أنحاء البلاد. ونظراً لأن إيران وأعداءها الأقرب نشطون جداً في الفضاء السيبراني الهجومي، أردنا معرفة المزيد.
شارك غريب الرابط الكامل للتصيد مع TechCrunch بعد فترة وجيزة من نشره، مما أتاح لنا التقاط نسخة من الشيفرة المصدرية لصفحة الويب المستخدمة في الهجوم. كما شارك أيضاً تقريراً عن اكتشافاته. حللت TechCrunch الشيفرة المصدرية لصفحة التصيد، ومع إضافة مدخلات من باحثين في مجال الأمن، نعتقد أن الحملة كانت تهدف إلى سرقة بيانات اعتماد Gmail وغيرها من البيانات عبر الإنترنت، واختراق حسابات واتساب، وإجراء مراقبة من خلال سرقة بيانات الموقع، والصور، والتسجيلات الصوتية.
ومع ذلك، لا يزال غير واضح ما إذا كان القراصنة مرتبطين بالحكومة، أو جواسيس، أو مجرمين إلكترونيين - أو جميعهم معاً. كما حددت TechCrunch طريقة لمشاهدة نسخة في الوقت الحقيقي من جميع ردود الضحايا المحفوظة على خادم المهاجم، الذي تُرك مكشوفاً وقابلاً للوصول دون كلمة مرور. كشفت هذه البيانات عن عشرات الضحايا الذين أدخلوا بيانات اعتمادهم دون وعي في موقع التصيد، ومن المحتمل أنهم تعرضوا للاختراق لاحقاً.
تشمل القائمة أكاديمياً من الشرق الأوسط يعمل في دراسات الأمن القومي؛ ورئيس شركة تصنيع طائرات مسيرة إسرائيلية؛ ووزير لبناني كبير؛ وصحفي واحد على الأقل؛ وأشخاص في الولايات المتحدة أو لديهم أرقام هواتف أمريكية. تنشر TechCrunch نتائجنا بعد التحقق من صحة الكثير من تقرير غريب. الموقع الخاص بالتصيد معطل الآن.
داخل سلسلة الهجوم
وفقاً لغريب، احتوت الرسالة على واتساب التي تلقاها على رابط مشبوه، والذي فتح موقع تصيد في متصفح الضحية. يظهر الرابط أن المهاجمين اعتمدوا على مزود DNS ديناميكي يُدعى DuckDNS لحملتهم التصيدية. تسمح مزودات DNS الديناميكية للناس بربط عناوين ويب سهلة التذكر - في هذه الحالة، نطاق فرعي duckdns.org - بخادم قد يتغير عنوان IP الخاص به بشكل متكرر.
ليس من الواضح ما إذا كان المهاجمون قد أغلقوا موقع التصيد بمحض إرادتهم، أو تم القبض عليهم وقطع الاتصال بهم من قبل DuckDNS. تواصلنا مع DuckDNS للاستفسار، لكن مالكها ريتشارد هاربر طلب منا بدلاً من ذلك إرسال تقرير عن إساءة الاستخدام. من ما نفهمه، استخدم المهاجمون DuckDNS لإخفاء الموقع الحقيقي لصفحة التصيد، على الأرجح لجعلها تبدو كأنها رابط واتساب حقيقي.
كانت صفحة التصيد مستضافة فعلياً على alex-fabow.online، وهو نطاق تم تسجيله لأول مرة في أوائل نوفمبر 2025. يحتوي هذا النطاق على العديد من النطاقات الأخرى ذات الصلة المستضافة على نفس الخادم المخصص، وتتابع أسماء هذه النطاقات نمطاً يشير إلى أن الحملة استهدفت أيضاً مزودين آخرين لغرف الاجتماعات الافتراضية، مثل meet-safe.online وwhats-login.online.
لسنا متأكدين مما يحدث أثناء تحميل رابط DuckDNS في متصفح الضحية، أو كيف يحدد الرابط أي صفحة تصيد معينة يجب تحميلها. قد يكون الرابط من DuckDNS يقوم بإعادة توجيه الهدف إلى صفحة تصيد معينة بناءً على المعلومات التي يستخلصها من جهاز المستخدم. لم يكن من الممكن تحميل صفحة التصيد في متصفحنا، مما منعنا من التفاعل معها مباشرة. ومع ذلك، سمح لنا قراءة الشيفرة المصدرية للصفحة بفهم أفضل لكيفية عمل الهجوم.
تصيد بيانات اعتماد Gmail ورقم الهاتف
اعتماداً على الهدف، قد يؤدي النقر على رابط التصيد إلى فتح صفحة تسجيل دخول مزيفة لـ Gmail، أو يطلب رقم هاتفهم، ويبدأ تدفق هجوم يهدف إلى سرقة كلمة المرور ورمز المصادقة الثنائية. لكن الشيفرة المصدرية لصفحة التصيد كانت تحتوي على عيب واحد على الأقل: وجدت TechCrunch أنه من خلال تعديل عنوان URL لصفحة التصيد في متصفحنا، يمكننا عرض ملف على خوادم المهاجمين كان يخزن سجلات كل ضحية أدخلت بيانات اعتمادها.
احتوى الملف على أكثر من 850 سجلاً من المعلومات المقدمة من الضحايا خلال تدفق الهجوم. كانت هذه السجلات تفصيلية لكل جزء من تدفق التصيد الذي كانت الضحية فيه. وشملت نسخاً من أسماء المستخدمين وكلمات المرور التي أدخلها الضحايا على صفحة التصيد، بالإضافة إلى الإدخالات غير الصحيحة ورموز المصادقة الثنائية الخاصة بهم، مما جعلها تعمل كمسجل مفاتيح. كما احتوت السجلات على وكيل المستخدم لكل ضحية، وهو سلسلة نصية تحدد نظام التشغيل وإصدارات المتصفح المستخدمة لعرض المواقع. تُظهر هذه البيانات أن الحملة كانت مصممة لاستهداف مستخدمي Windows وmacOS وiPhone وAndroid.
سمح لنا الملف المكشوف بمتابعة تدفق الهجوم خطوة بخطوة لكل ضحية. في إحدى الحالات، تُظهر السجلات ضحية تضغط على رابط خبيث، مما فتح صفحة تبدو كنافذة تسجيل دخول Gmail. تُظهر السجلات أن الضحية أدخلت بيانات اعتماد بريدها الإلكتروني عدة مرات حتى أدخلت كلمة المرور الصحيحة. تظهر السجلات نفس الضحية وهي تدخل رمز المصادقة الثنائية المرسل إليها عبر رسالة نصية. يمكننا أن نعرف ذلك لأن Google ترسل رموز المصادقة الثنائية بتنسيق معين.
اختراق واتساب واستخراج بيانات المتصفح
بعيداً عن سرقة البيانات، يبدو أن هذه الحملة أيضاً مكنت من المراقبة من خلال خداع الضحايا لمشاركة موقعهم، والصوت، والصور من أجهزتهم. في حالة غريب، أدى النقر على الرابط في رسالة التصيد إلى فتح صفحة مزيفة تحمل طابع واتساب في متصفحه، والتي عرضت رمز QR. يهدف هذا الفخ إلى خداع الهدف لمسح الرمز على جهازه، على أنه للوصول إلى غرفة اجتماعات افتراضية.
قال غريب إن رمز QR تم إنشاؤه بواسطة المهاجم، وأن مسحه أو النقر عليه سيربط على الفور حساب واتساب الخاص بالضحية بجهاز يتحكم فيه المهاجم، مما يمنحهم الوصول إلى بيانات الضحية. هذه تقنية هجوم معروفة تستغل ميزة ربط الأجهزة في واتساب، وقد تم استغلالها بشكل مشابه لاستهداف مستخدمي تطبيق المراسلة Signal.
طلبنا من رونا ساندفيك، مؤسسة Granitt وباحثة أمنية تعمل على تأمين الأفراد المعرضين للخطر، أن تفحص نسخة من شيفرة صفحة التصيد وترى كيف تعمل. وجدت ساندفيك أنه عند تحميل الصفحة، ستقوم الشيفرة بتفعيل إشعار متصفح يطلب من المستخدم إذناً للوصول إلى موقعه، وكذلك الصور والصوت. إذا تم القبول، سيرسل المتصفح على الفور إحداثيات الشخص إلى المهاجم، مما يمكنه من تحديد موقع الضحية. ستستمر الصفحة بعد ذلك في مشاركة بيانات موقع الضحية كل بضع ثوانٍ، طالما ظلت الصفحة مفتوحة. سمحت الشيفرة أيضاً للمهاجمين بتسجيل مقاطع صوتية والتقاط صور كل ثلاث إلى خمس ثوانٍ باستخدام كاميرا الجهاز. ومع ذلك، لم نر أي بيانات موقع، أو صوت، أو صور تم جمعها على الخادم.
أفكار حول الضحايا، التوقيت، ونسب الفضل
لا نعرف من يقف وراء هذه الحملة. ما هو واضح هو أن الحملة كانت ناجحة في سرقة بيانات الاعتماد من الضحايا، ومن الممكن أن تعود حملة التصيد للظهور مرة أخرى. على الرغم من معرفتنا بهويات بعض الأشخاص في هذه المجموعة من الضحايا المستهدفين، إلا أننا لا نملك معلومات كافية لفهم طبيعة الحملة. عدد الضحايا الذين تم اختراقهم في هذه الحملة منخفض نسبياً - أقل من 50 فرداً - ويؤثر على كل من الأشخاص العاديين في المجتمع الكردي، بالإضافة إلى الأكاديميين، والمسؤولين الحكوميين، وقادة الأعمال، وغيرهم من الشخصيات البارزة عبر الشتات الإيراني الأوسع والشرق الأوسط.
قد يكون هناك عدد أكبر من الضحايا مما نحن على علم به، مما قد يساعدنا في فهم من تم استهدافه ولماذا.
الحالة التي قد تشير إلى أن هذا قد يكون عملاً مدعوماً من الحكومة
ليس من الواضح ما الذي دفع القراصنة لسرقة بيانات اعتماد الأشخاص واختراق حسابات واتساب الخاصة بهم، مما قد يساعد أيضاً في تحديد من يقف وراء هذه الحملة للاختراق. قد ترغب مجموعة مدعومة من الحكومة، على سبيل المثال، في سرقة كلمة المرور الخاصة بالبريد الإلكتروني ورموز المصادقة الثنائية لهدف ذو قيمة عالية، مثل سياسي أو صحفي، حتى يتمكنوا من تنزيل معلومات خاصة وسرية. قد يكون هذا منطقياً، حيث أن إيران حالياً مقطوعة تقريباً تماماً عن العالم الخارجي، ويشكل الحصول على المعلومات من أو إلى البلاد تحدياً. قد ترغب الحكومة الإيرانية، أو حكومة أجنبية لها مصالح في شؤون إيران، في معرفة من يتواصل مع الأفراد المؤثرين المرتبطين بإيران، وماذا يتحدثون. وبالتالي، قد يشير توقيت هذه الحملة للتصيد والأشخاص الذين يبدو أنها تستهدفهم إلى حملة تجسس تهدف إلى جمع المعلومات حول قائمة ضيقة من الأشخاص.
طلبنا من غاري ميلر، باحث أمني في Citizen Lab وخبير في التجسس عبر الهاتف المحمول، أيضاً مراجعة شيفرة التصيد وبعض البيانات المكشوفة من خادم المهاجم. قال ميلر إن الهجوم "يمتلك بالتأكيد سمات حملة تصيد مدعومة من الحرس الثوري الإيراني"، في إشارة إلى عمليات اختراق البريد الإلكتروني المستهدفة التي تنفذها قوات الحرس الثوري الإيراني، وهي فصيل من الجيش الإيراني معروف بتنفيذ الهجمات الإلكترونية. أشار ميلر إلى مجموعة من المؤشرات، بما في ذلك نطاق استهداف الضحايا الدولي، وسرقة البيانات، واستغلال منصات المراسلة الشعبية مثل واتساب، وتقنيات الهندسة الاجتماعية المستخدمة في رابط التصيد.
الحالة التي قد تشير إلى أن هذا قد يكون عملاً مدفوعاً مالياً
من ناحية أخرى، قد يستخدم قراصنة مدفوعون مالياً نفس كلمة مرور Gmail المسروقة ورمز المصادقة الثنائية لهدف آخر ذو قيمة عالية، مثل مسؤول في شركة، لسرقة معلومات تجارية حساسة وخاصة من صندوق الوارد الخاص بهم. يمكن للقراصنة أيضاً إعادة تعيين كلمات مرور حسابات العملات المشفرة والبنوك الخاصة بالضحايا بشكل قسري لتفريغ محافظهم. ومع ذلك، فإن تركيز الحملة على الوصول إلى موقع الضحية ووسائط الجهاز غير عادي بالنسبة لقراصن مدفوعين مالياً، الذين قد يكون لديهم استخدام ضئيل للصور والتسجيلات الصوتية.
طلبنا من إيان كامبل، باحث في التهديدات في DomainTools، التي تساعد في تحليل السجلات العامة على الإنترنت، أن ينظر في أسماء النطاقات المستخدمة في الحملة لفهم متى تم إعدادها لأول مرة، وإذا كانت هذه النطاقات مرتبطة بأي بنية تحتية معروفة أو محددة سابقاً. وجد كامبل أنه بينما استهدفت الحملة الضحايا في وسط الاحتجاجات الوطنية المستمرة في إيران، كانت بنيتها التحتية قد أُعدت قبل أسابيع. وأضاف أن معظم النطاقات المرتبطة بهذه الحملة تم تسجيلها في أوائل نوفمبر 2025، وتم إنشاء نطاق مرتبط واحد قبل عدة أشهر في أغسطس 2025. وصف كامبل النطاقات بأنها ذات مخاطر متوسطة إلى عالية، وقال إنها تبدو مرتبطة بعملية جريمة إلكترونية مدفوعة بمصالح مالية.
هناك تعقيد إضافي وهو أن الحكومة الإيرانية معروفة بتفويض الهجمات الإلكترونية لمجموعات قرصنة إجرامية، على الأرجح لحماية تورطها في العمليات الإلكترونية ضد مواطنيها. وقد فرضت وزارة الخزانة الأمريكية عقوبات على شركات إيرانية في الماضي لتصرفها كواجهة لقوات الحرس الثوري الإيراني وتنفيذ هجمات إلكترونية، مثل إطلاق هجمات تصيد مستهدفة وهجمات الهندسة الاجتماعية.
كما يشير ميلر، "هذا يبرز النقطة أن الضغط على روابط واتساب غير المرغوب فيها، بغض النظر عن مدى إقناعها، هو ممارسة عالية المخاطر وغير آمنة."
للتواصل بشكل آمن مع هذا الصحفي، يمكنك الوصول إليه عبر Signal باستخدام اسم المستخدم: zackwhittaker.1337
ساهم لورنزو فرانسيسكي-بيكيري في التقرير.
المواضيع
الهجمات الإلكترونية, الأمن السيبراني, تعرض البيانات, جيميل, إيران, الشرق الأوسط, الأمن, واتساب
في الختام، تكشف هذه الحملة الإلكترونية عن المخاطر المتزايدة التي تواجه المستخدمين في منطقة الشرق الأوسط، خاصة أولئك الذين يمتلكون حسابات على منصات شهيرة مثل جيميل وواتساب. إن استهداف شخصيات بارزة يعكس مستوى التعقيد والتخطيط الذي تتطلبه مثل هذه العمليات. من المهم أن يكون المستخدمون على دراية بهذه التهديدات وأن يتخذوا الاحتياطات اللازمة لحماية بياناتهم الشخصية. من خلال تعزيز الأمن الرقمي، يمكن للأفراد تقليل فرص تعرضهم للاختراق. تظل هذه القضية تذكيرًا بأن عالم الإنترنت مليء بالتحديات، وأن الوعي والاحتياطات الأمنية هما المفتاح لحماية المعلومات الحساسة.
المصدر:
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!