قالت شركة فيسبوك، الخميس، إنها عطلت مجموعة من المتسللين الإيرانيين الذين أنشأوا ملفات تعريف وهمية على مواقع التواصل الاجتماعي وأرسلوا روابط خبيثة مستهدفة إلى الضحايا في محاولة للتجسس على مقاولي وزارات الدفاع الغربيين والعسكريين. يبدو أن الحملة لها صلات بالحكومة الإيرانية.
وأضاف فيسبوك أن المتسللين أجروا عملية معقدة لكسب ثقة ضحاياهم، متنكرين في كثير من الأحيان كممثلين لشركات الطيران والدفاع لبناء علاقات عميقة مع أهدافهم قبل توجيههم إلى مواقع ويب احتيالية.
على الرغم من أن المواقع تبدو وتتصرف مثل نظيراتها الحقيقية، بما في ذلك موقع عمل وزارة العمل الأمريكية، فقد تم تصميمها لسرقة البيانات وفحص أنظمة الكمبيوتر.
وأفاد فيسبوك أن المجموعة ركزت على الأفراد الذين يعملون في الجيش الأمريكي وصناعة الدفاع، كما استهدفت ضحايا مماثلين في المملكة المتحدة وأوروبا.
وقال مايك دفيليانسكي، رئيس تحقيقات التجسس الإلكتروني في فيسبوك ، إن الشركة قامت بتعطيل “أقل من 200 حساب نشط” على منصتها المرتبطة بالحملة الإيرانية، وأبلغت عددًا مشابهًا من مستخدمي فيسبوك بأنهم ربما استهدفوا من قبل المجموعة.
وأشارت الشركة إلى أن الحملة الإيرانية امتدت إلى ما وراء فيسبوك واستخدمت أيضًا منصات وتقنيات مراسلة أخرى، بما في ذلك البريد الإلكتروني. ومع ذلك، من الصعب معرفة مدى نجاح حملة التجسس.
وقال فيسبوك إنه حتى الآن، كانت جماعة القرصنة تركز على أهداف إقليمية في الشرق الأوسط، لكن التوسع ليشمل أهدافًا غربية يعكس تطورًا في سلوك المجموعة الذي بدأ العام الماضي.
وحسب منشور بمدونة الشركة “وجد تحقيقنا أن هذه المجموعة استثمرت وقتًا طويلاً في جهود الهندسة الاجتماعية عبر الإنترنت، وفي بعض الحالات انخرطت في أهدافها لعدة أشهر”.
وذكر فيسبوك أنه بمجرد دخول المتسللين إلى جهاز الهدف، قاموا بمشاركة المزيد من الملفات، مثل جداول بيانات مايكروسوفت اكسل الاحتيالية التي تحتوي على برامج ضارة مخفية يمكنها جمع المزيد من المعلومات.
وقال دفيليانسكي إن البرمجيات الخبيثة أظهرت علامات على أنها مخصصة بدرجة عالية – وليس منتجًا “جاهزًا”، مما يشير إلى أن المتسللين مدعومون جيدًا. وقال فيسبوك إن مزيدا من التحقيقات أظهرت أن البرنامج الخبيث صُمم من قبل شركة برمجيات مقرها طهران مرتبطة بالحرس الثوري الإيراني القوي.
في مؤتمر عبر الهاتف مع الصحفيين، قال دفيليانسكي إن مجموعة الأمن السيبراني في فيسبوك “واثقة” من العلاقة بين بعض البرامج الضارة المستخدمة في الحملة وشركة تكنولوجيا المعلومات “مهاك ريان أفراز” والرابط مع الحرس الثوري الإيراني. وفقًا لمدونة فيسبوك، يرتبط عدد من المديرين التنفيذيين الحاليين والسابقين في شركة تكنولوجيا المعلومات بشركات أخرى خاضعة لعقوبات الولايات المتحدة.
وتابع دفيليانسكي: “على حد علمي، هذا هو أول إسناد علني للبرامج الضارة للجماعات” إلى كيان مرتبط بالحكومة الإيرانية.
وقال أنه بالإضافة إلى إخطار المستخدمين الذين استهدفتهم الحملة وتعطيل حسابات المتسللين، قام فيسبوك أيضًا بحظر الروابط على منصته إلى مواقع الويب التي تسيطر عليها المجموعة.
وتم تكرار ما يسمى بأساليب “التصيد الاحتيالي” التي يستخدمها المتسللون الإيرانيون على نطاق واسع في الأشهر الأخيرة، مع تقارير عن حملة روسية ترسل رسائل بريد إلكتروني مزيفة تتظاهر بأنها الوكالة الأمريكية للتنمية الدولية.
وقالت جوجل يوم الأربعاء إن حملة منفصلة يحتمل أن تكون مدعومة من روسيا تضمنت إرسال رسائل مزيفة على لينكد إن إلى الضحايا في محاولة لاختراق أجهزة آي أوه اس. وقامت شركة آبل بإصلاح الخلل في مارس/ أذار الماضي