"إيه بي تي 42"... إيران متهمة بقرصنة صحافيين وباحثين

07 ديسمبر 2022
استغل القراصنة تطبيق واتساب (ياكوب بورجتسكي/Getty)
+ الخط -

 

ما بين منتصف سبتمبر/أيلول و25 نوفمبر/تشرين الثاني الماضيين، تسلّم ما لا يقلّ عن 18 شخصاً من العاملين في قضايا الشرق الأوسط، من باحثين وأكاديميين وناشطين في مجال حقوق الإنسان وصحافيين، رسالة عبر تطبيق واتساب، ادّعى مُرسلها أنه يعمل في مؤسسة بحثيّة مركزها لبنان، ودعاهم إلى حضور مؤتمر. أُرفقت هذه الرسالة "المشبوهة" برابط، بمجرّد النقر عليه يُحيل إلى صفحة تسجيل دخول مزيفة تلتقط كلمة مرور البريد الإلكتروني للمستخدم ورمز المصادقة.

ووفقاً لمنظمة هيومن رايتس ووتش، فإنّ هذه "حملة تصيد إلكتروني مستمرة وتهدد المجموعات المستقلة". هذه المعلومات كشفتها المنظمة في تقريرها الصادر الإثنين الماضي، وهو نشر لنتائج التحقيق الذي أجرته بعد تعرّض عدد من موظفيها إلى "هجوم تصيّد احتيالي من قراصنة تابعين للحكومة الإيرانية"، يعملون ضمن كيان يُعرف باسم "إيه بي تي 42".

بعد صدور تقرير "هيومن رايتس ووتش"، كشفت صحيفة ليبراسيون الفرنسية أن الصحافي العامل في قسم "الدوليات"، وتحديداً في تغطية الشؤون الإيرانية، بيار ألونسو، كان واحداً من الشخصيات الـ18 التي تلقّت هذه الرسالة. ولم تنجح المحاولة مع ألونسو، وكذلك الأمر مع الموظفين في "هيومن رايتس ووتش".

لكن، وبناءً على التحليل التقني الذي أجرته المنظمة بالاشتراك مع مختبر الأمن التابع لمنظمة العفو الدولية، فإنّ ثلاثة أشخاص على الأقلّ من ضمن المجموعة اختُرقت حساباتهم، وهم: مراسل/ة صحيفة أميركية معروفة، ومدافع/ة عن حقوق المرأة في منطقة الخليج، واستشاري المناصرة في منظمة اللاجئين الدولية في لبنان نيكولاس نوي.

وفي تفاصيل القضية، تلقى موظف (أو موظفة) يعمل لحساب منظمة هيومن رايتس ووتش في منطقة الشرق الأوسط وشمال أفريقيا تلك الرسالة "المشبوهة"، عبر تطبيق واتساب، خلال أكتوبر/تشرين الأول الماضي. وبعد البحث والتدقيق في الرابط المُرفق مع الرسالة، انتقل فريق البحث إلى التحقيق وقراءة البنية التحتية التي استضافت تلك الروابط "الخبيثة"، وهكذا اكتشف وجود "أهداف إضافية".

تواصلت المنظمة مع الأشخاص المستهدفين، وأكدوا جميعاً تلقيهم الرسالة نفسها خلال الشهرين الماضيين. في 23 نوفمبر، تلقى موظف ثانٍ في المنظمة، من الرقم نفسه، الرسالة "المشبوهة" نفسها. ووفقاً لما نقلته صحيفة ليبراسيون الفرنسية، فإنّ الرقم الذي استُخدم لإرسال هذه الرسائل صار خارج الخدمة في نهاية نوفمبر، أي قبل نشر تقرير منظمة هيومن رايتس ووتش حول الموضوع بأيام.

وأشار التقرير إلى وجود قصور في إجراءات الحماية الأمنية التي توفرها شركة غوغل لحماية بيانات مستخدميها، فأولئك الذين اخترقت حساباتهم، أكّدوا لـ"هيومن رايتس ووتش" عدم تلقّيهم أي إشعار بهذا الشأن على "جيميل"، أو بأنّ عملية "تيك آوت" بدأت. و"تيك آوت"، وفق ما شرحها التقرير، هي خدمة يُقدّمها "ويندوز"، وتُصدّر جميع أنشطة ومعلومات الحساب، بما يتضمّن كلمات البحث عبر الويب والموقع الجغرافي والإعلانات المنقور عليها ونشاطات "يوتيوب" وغيرها الكثير. لذلك، طالبت المنظمة شركة غوغل بتعزيز تحذيراتها الأمنية الخاصة بـ"جيميل" فوراً، وذلك "لتوفير حماية أفضل".

واعتبرت مديرة أمن المعلومات في "هيومن رايتس ووتش"، عبير غطاس، أن ما حصل يزيد بشكل كبير من المخاطر التي يواجهها الصحافيون والمدافعون عن حقوق الإنسان، سواء في إيران أو في أماكن أخرى من المنطقة. وقالت غطاس إنّ هؤلاء القراصنة "المدعومين من الدولة يستخدمون أساليب متطورة للهندسة الاجتماعية وسرقة المعلومات الشخصية، للوصول إلى البيانات الحساسة وجهات الاتصال التي يحتفظ بها باحثون ومنظمات للمجتمع المدني تركز على الشرق الأوسط".

كانت شركات أمنية عدة قد أبلغت عن حملات التصيد الاحتيالي التي تنفّذها "إي بي تي 42". وأشار التقرير إلى أن مشغلين إيرانيين يستهدفون منذ عام 2010 أعضاء حكومات وجيوشاً وشركات أجنبية، وكذلك معارضين سياسيين ومدافعين عن حقوق الإنسان. ومع الوقت، تصير هذه الهجمات أكثر تعقيداً من الناحية التقنيّة "وفي طرق تنفيذ ما يُعرف بالهندسة الاجتماعية".

المساهمون