كشفت منصة وسائل التواصل الاجتماعي فيسبوك (Facebook) عن تعقبها وتعطيلها لحملة قرصنة إيرانية طويلة الأمد استخدمت حسابات فيسبوك للظهور كجهات توظيف، وتستهدف مجموعات أميركية بمخططات تستخدم تقنيات الهندسة الاجتماعية لإرسال ملفات مصابة بالبرامج الضارة أو خداعهم لإرسال بيانات اعتماد حساسة إلى مواقع التصيد الاحتيالي.
وقالت فيسبوك إن المتسللين تظاهروا بالعمل في مجال الضيافة أو الصناعات الطبية أو الصحافة أو في المنظمات غير الحكومية أو شركات الطيران، وأحيانا يتفاعلون مع أهدافهم لعدة أشهر مع ملفات تعريف عبر العديد من منصات وسائل التواصل الاجتماعي المختلفة.
وعلى عكس بعض الحالات السابقة للتصيد الإيراني على وسائل التواصل الاجتماعي التي ترعاها الدولة والتي ركزت على جيران إيران، يبدو أن هذه الحملة الأخيرة استهدفت إلى حد كبير الأميركيين، وبدرجة أقل ضحايا من المملكة المتحدة وأوروبا.
وتقول فيسبوك إنها أزالت "أقل من 200" ملف تعريف مزيف من منصاتها نتيجة للتحقيق.
التصيد الاحتيالي
وقال ديفيد أغرانوفيتش، مدير قسم التهديدات الأمنية في فيسبوك، "توصل تحقيقنا إلى أن فيسبوك كانت جزءا من عملية تجسس أوسع بكثير استهدفت الأشخاص من خلال التصيد الاحتيالي والهندسة الاجتماعية ومواقع الويب المخادعة والنطاقات الضارة عبر العديد من منصات الوسائط الاجتماعية والبريد الإلكتروني ومواقع التعاون".
حددت فيسبوك المتسللين وراء حملة الهندسة الاجتماعية باسم المجموعة المعروفة باسم "تورتوسي شل" (Tortoiseshell)، والتي يُعتقد أنها تعمل نيابة عن الحكومة الإيرانية.
المجموعة، التي لديها بعض الروابط وأوجه التشابه مع مجموعات إيرانية أخرى معروفة ظهرت لأول مرة في عام 2019. في ذلك الوقت، رصدت شركة الأمن سيمانتك (Symantec) المتسللين الذين يخترقون مزودي تكنولوجيا المعلومات في السعودية في هجوم واضح لسلسلة التوريد مصمم لإصابة عملاء الشركة بقطعة من البرامج الضارة المعروفة باسم سيسكت (Syskit).
واكتشفت فيسبوك نفس البرامج الضارة المستخدمة في حملة القرصنة الأخيرة هذه، ولكن مع مجموعة أوسع بكثير من تقنيات العدوى وأهداف في الولايات المتحدة والدول الغربية الأخرى بدلا من الشرق الأوسط.
يبدو أيضا أن "تورتوسي شل" قد اختارت منذ البداية استخدام تقنيات الهندسة الاجتماعية لشن هجوم سلسلة التوريد، حيث بدأت نشاطها على وسائل التواصل الاجتماعي في وقت مبكر من عام 2018، وفقا لشركة الأمن "مانديانت" (Mandiant).
تحذير تقني
ويقول جون هولتكويست، نائب رئيس استخبارات التهديدات في مانديانت، "إن هذا يشمل أكثر بكثير من مجرد فيسبوك"، وأضاف "من بعض العمليات المبكرة للغاية، تبين أنهم يعوضون الأساليب التقنية المبسطة بمخططات وسائل التواصل الاجتماعي المعقدة حقا، وهذه منطقة تبرع فيها إيران".
ورصد تالوس (Talos)، وهو القسم الأمني في شركة سيسكو (Cisco)، في عام 2019، موقعا وهميا للمحاربين القدامى يسمى "هاير ميلتري هيروز" (Hire Military Heroes) تديره "تورتوسي شل"، وهو مصمم لخداع الضحايا عبر تثبيت تطبيق سطح مكتب على أجهزة الحاسوب الخاصة بهم يحتوي على برامج ضارة.
ويقول كريغ ويليامز، مدير مجموعة تالوس الاستخباراتية، إن الموقع المزيف والحملة الكبرى على فيسبوك قد حددا الأفراد العسكريين الذين يحاولون العثور على وظائف في القطاع الخاص ويشكلون هدفا مناسبا للجواسيس.
ويضيف ويليامز "المشكلة التي نواجهها هي أن المحاربين القدامى الذين ينتقلون إلى عالم التجارة هم فئة كبيرة". ويتابع "الأشرار يمكنهم العثور على الأشخاص الذين يرتكبون أخطاء، والذين سينقرون على أشياء لا ينبغي عليهم القيام بها، والذين ينجذبون إلى اقتراحات معينة".
وحذرت شركة فيسبوك من أن المجموعة انتحلت أيضا موقعا لوزارة العمل الأميركية، وقدمت الشركة قائمة بالنطاقات المزيفة للمجموعة التي انتحلت هوية مواقع الوسائط الإخبارية وإصدارات "يوتيوب" (YouTube) و"لايف ليك" (LiveLeak) والعديد من المواقع المشهورة الأخرى.
وتقول فيسبوك إنها ربطت عينات البرامج الضارة للمجموعة بمقاول تكنولوجيا معلومات محدد مقره طهران يُدعى مهاك ريان أفراز، والذي سبق أن قدم برامج ضارة إلى الحرس الثوري الإيراني.