إيران تشن هجوماً سيبرانياً جديداً على جامعات عالمية

كشفت شركة "سيكيور ووركز" (Secureworks) الأميركية للأمن الإلكتروني، أن مجموعة من قراصنة الإنترنت تدعى "كوبالت ديكنز" المرتبطة بإيران، أطلقت هجوما سيبرانيا جديدا يستهدف الجامعات في جميع أنحاء العالم، على غرار الهجمة التي أطلقت في أغسطس/آب 2018.

ورجحت الشركة ارتباط المجموعة بالحكومة الإيرانية وذكرت أنها استهدفت مواقع الويب وصفحات تسجيل الدخول لـ 76 جامعة في 14 دولة العام الماضي، وأن الحملة الجديدة تشبه السابقة، وفقا لتقرير نشره موقع " سيكيوريتي ويك".

يذكر أنه في يوليو وأغسطس 2019، استهدفت الهجمات التي أطلقتها "كوبالت ديكنز" أكثر من 60 جامعة في أستراليا والولايات المتحدة والمملكة المتحدة وكندا وهونغ كونغ وسويسرا.

وكجزء من الهجوم، أرسل القراصنة رسائل بريد إلكتروني ملغمة على شكل ملفات تحتوي على روابط لصفحات تسجيل دخول منتحلة للحصول على المعلومات المرتبطة بالجامعات المستهدفة. وتقول شركة "سيكيور وركرز" إنه على عكس الحملات السابقة، استخدمت الرسائل في الهجمات الجديدة عنوان URL مخادعًا بدلاً من الروابط المختصرة.

وبمجرد أن ينقر المستلم على الرابط، يتم نقله إلى صفحة ويب مماثلة وهمية، ثم عندما يقوم المستخدمون بإدخال بيانات الاعتماد الخاصة بهم، تتم إعادة توجيههم إلى ملف خاص، ثم إلى موقع الويب الأصلي الذي تم اختراقه، بينما يتم تخزين البيانات من قبل القراصنة.

20 نطاقا جديدا

ويؤكد التقرير أن القراصنة سجلوا ما لا يقل عن 20 نطاقا جديدًا للحملة، واستخدموا موفر نطاق Freenom لذلك.

وتستخدم المواقع الوهمية للقراصنة شهادات SSL صالحة، وقد تجعل الصفحات الوهمية على أنها أصلية.

ولتزوير صفحات تسجيل الدخول، يستخدم "كوبالت ديكنز " أدوات متاحة للجمهور تتيح لها نسخ صفحات كاملة من بيانات الجامعة المستهدفة. واكتشف باحثو الأمن في شركة Secureworks أن المهاجمين يستخدمون أحيانًا نسخًا أقدم من المواقع المستهدفة.

وتشير البيانات الوصفية الموجودة في صفحات الويب الأخرى المنتحلة إلى أن العناصر الفاعلة لشبكة القرصنة هم من أصول إيراني حيث تم رصد طابع زمني متعلق بإيران في صفحة تم نسخها في 3 أغسطس/آب الماضي، وفقا للشركة. وذكر التقرير أن التهديد السيبراني الإيراني استهدف لحد الآن ما لا يقل عن 380 جامعة في أكثر من 30 دولة، والعديد منها ضرب عدة مرات.

عقوبات أمريكية

وكانت وزارة الخزانة الأميركية فرضت عقوبات في فبراير 2018 على 9 من كبار القادة والشركات التابعة لمجموعة معهد "مبنا" التابع للحرس الثوري الإيراني بتهم شن هجمات سيبرانية على أميركا وأروبا واختراق أنظمة الكمبيوتر وسرقة بيانات الملكية.

وذكر مكتب التحقيقات الفيدرالي الأميركي أن ضحايا المجموعة شملوا حوالي 144 جامعة أميركية، و176 جامعة أجنبية في 21 دولة، واثنتان من المنظمات غير الحكومية الدولية وخمس وكالات فيدرالية وحكومية في الولايات المتحدة، و11 شركة أجنبية خاصة.

كما أصدرت محكمة أميركية أمرا بإلقاء القبض على ضابطة الاستخبارات السابق في سلاح الجو الأميركي، مونيكا ويت، المتهمة بالتجسس لصالح إيران ومنح معلومات عسكرية وأمنية حساسة لإيران تم استخدامها في الهجمات السايبرية.

وفرضت وزارة الخزانة الأميركية عقوبات على 9 إيرانيين وكيانيين مرتبطين بالهجمات السيبرانية والجاسوسة الأميركية، كما نشرت الشرطة الفيدرالية "اف بي آي" نشرة حمراء عن المطلوبين.

المتورطون التسعة

والأشخاص التسعة المتورطون في هجمات القرصنة هم كل من: غلام رضا رفعت نجاد وإحسان محمدي (مؤسسي معهد مبنا ) وسيد علي ميركريمي ، مصطفى صادقي ، سجاد طهماسبي ، عبد الله كريما ، أبوذر غوهري مقدم ، روزبه صباحي ومحمد رضا صباحي.

وكان مسؤولون بالاستخبارات الأميركية قد أكدوا أن القراصنة الإيرانيون شنوا موجة من الهجمات السيبرانية ضد دول الخليج خلال العام الماضي.

كما توسعت الهجمات إلى 80 هدفا بمن فيهم مقدمو خدمات الإنترنت وشركات الاتصالات السلكية واللاسلكية والوكالات الحكومية في 12 دولة أوروبية والولايات المتحدة.

وكان غلام رضا سليماني قائد ميليشيا الباسيج (التعبئة الشعبية) التي تخضع لإشراف الحرس الثوري في إيران أعلن عن تجنيد نصف مليون عنصر للجيش الإلكتروني الإيراني من خلال 1000 كتيبة سيبرانية للسيطرة على البيئة الاجتماعية والاحتجاجات الداخلية والتهديدات الخارجية الموجهة للنظام.

كما يمارس "المجلس الأعلى للفضاء الإلكتروني" الذي تأسس بأوامر المرشد الإيراني علي خامنئي، الرقابة المشددة وتقييد حرية المعلومات حيث صنفت أميركا هذه المجلس في قائمة العقوبات لقيامه بحجب آلاف المواقع والتطبيقات وحرمان الإيرانيين من التداول الحر للمعلومات.

ويعتبر المجلس الذي يقوم بالتخطيط والمراقبة للفضاء السيبراني، مسؤولا أيضًا عن حملة القمع ضد الصحفيين والمنتقدين ونشطاء مواقع التواصل في إيران.