تقف ورائها جهات متحالفة مع ايران.. انتشار برمجية تجسسية تستهدف العسكريين في 7 دول عربية بينها اليمن على وجه الخصوص
افاد الباحث التقني وعضو الجمعية اليمنية للانترنت المهندس فهمي الباحث، بانتشار برمجية تجسسة تستهدف العسكريين بشكل خاص في سبع دول عربية بينها اليمن على وجه الخصوص، تقف ورائها جهات متصلة بإيران.
واشار إلى ان، شركة “Lookout” كشفت مؤخرا عن انتشار برمجية تجسسة تم تسميتها GuardZoo”” تستهدف العسكريين بشكل خاص في “اليمن والسعودية ومصر وعمان والإمارات وقطر وتركيا”.
ايران وراء العملية
وافاد الباحث، ان المؤشرات تؤكد بأن الجهة التي تقف وراء هذه البرمجية “جهة متحالفة مع ايران وأذرعها في المنطقة من بينهم مليشيات الحوثي الارهابية”، وان معظم الضحايا من اليمن ابرز الدول المناهضة للمشروع الايراني الذي تنفذه جماعة الحوثي في اليمن.
وأوضح، بانه الجهة التي تقف وراء التجسس الالكتروني، تستخدم الهندسة الاجتماعية لإرسال البرمجية عبر تطبيق “الواتساب”، ومتصفحات الهاتف المحمول، حيث تقوم البرمجية بجمع بيانات من جهاز الضحية مثل “الصور والمستندات وبيانات الموقع الجغرافي ومسارات GPS المحفوظة، وتفاصيل الجهاز ومشغل شبكة الجوال واعدادات (الواي فاي) وغيرها، لكي تتمكن من تنفيذ مهامها التجسسية.
ووفقا للمهندس التقني الباحث، فإن ذلك ليس بالشيء المعقد، حيث يتم توظيف مبرمجين لتشغيل تطبيقات “أندرويد التجسسية”، الامر الذي لا يعد انتصارا للحوثيين واذرع الايران، الذين يستغلون جهل وضعف المعلومات التقنية لدى مستخدمين الهواتف المحمولة الحديثة، او ما يسمى بـ “اساليب الهندسة الاجتماعية”.
معلومات أوفى
ونشر باحثين معلومات حول البرمجية التجسسية التي تستخدمها اذرع ايران للتجسس على العسكريين في الدول العربية المذكورة خاصة اليمن، مشيرين إلى ان ” الأفراد العسكريون من دول الشرق الأوسط يعدون هدفًا لعملية مراقبة مستمرة توفر أداة لجمع البيانات تعمل بنظام Android تسمى GuardZoo.
ويتابعون، تُنسب الحملة، التي يُعتقد أنها بدأت في وقت مبكر من أكتوبر 2019، إلى جهة تهديد متحالفة مع الحوثيين استنادًا إلى إغراءات التطبيقات، وسجلات خادم القيادة والسيطرة (C2)، وبصمة الاستهداف، وموقع البنية التحتية للهجوم.
الأمن الإلكتروني
وقد تأثر أكثر من 450 ضحية بالنشاط الخبيث، مع وجود أهداف في مصر وعمان وقطر والمملكة العربية السعودية وتركيا والإمارات العربية المتحدة واليمن، حيث تشير بيانات القياس عن بعد إلى أن معظم الإصابات تم تسجيلها في اليمن.
وبرمجية GuardZoo هي نسخة معدلة من حصان طروادة للوصول عن بعد لنظام Android (RAT)، الذي تم اكتشافه لأول مرة بواسطة شركة Symantec المملوكة لشركة Broadcom في مارس 2014. وقد تم تسريب كود المصدر المرتبط بحل البرامج الإجرامية بالكامل في وقت لاحق من شهر أغسطس من ذلك العام.
تم تسويقه في الأصل كبرنامج ضار سلعي بسعر 300 دولار لمرة واحدة، وهو يأتي مزودًا بقدرات الاتصال برقم هاتف، وحذف سجلات المكالمات، وفتح صفحات الويب، وتسجيل الصوت والمكالمات، والوصول إلى الرسائل النصية القصيرة، والتقاط الصور ومقاطع الفيديو وتحميلها، حتى بدء هجوم فيضان HTTP.
وقال الباحثان في Lookout، أليمدار إسلام أوغلو وكايل شميتل، في تقرير تمت مشاركته مع The Hacker News: “ومع ذلك، تم إجراء العديد من التغييرات على قاعدة التعليمات البرمجية من أجل إضافة وظائف جديدة وإزالة الوظائف غير المستخدمة”. “لا يستخدم GuardZoo لوحة الويب PHP المسربة من Dendroid RAT للأوامر والتحكم (C2) ولكنه يستخدم بدلاً من ذلك واجهة خلفية C2 جديدة تم إنشاؤها باستخدام ASP.NET.”
سلاسل الهجوم
وتستفيد سلاسل الهجوم التي توزع GuardZoo من تطبيقي WhatsApp وWhatsApp Business كناقلات توزيع، مع حدوث الإصابات الأولية أيضًا عبر التنزيلات المباشرة للمتصفح. وتحمل تطبيقات أندرويد المفخخة موضوعات عسكرية ودينية لإغراء المستخدمين بتنزيلها.
ويدعم الإصدار المحدث من البرنامج الضار أكثر من 60 أمرًا يسمح له بجلب حمولات إضافية، وتنزيل الملفات وملفات APK، وتحميل الملفات (PDF، DOC، DOCX، XLX، XLSX، وPPT)، والصور، وتغيير عنوان C2، وإنهاء البرنامج. أو تحديث أو حذف نفسه من الجهاز المخترق.
وقال الباحثون: “يستخدم GuardZoo نفس نطاقات DNS الديناميكية لعمليات C2 منذ أكتوبر 2019”. “تتحول هذه النطاقات إلى عناوين IP المسجلة في يمن نت وتتغير بانتظام.”