كشفت شركة “كاسبرسكي” الرائدة على المستوى العالمي في مجال محاربة الفيروسات عن حملة تجسس إلكترونية تم إطلاقها قبل سنوات طويلة استهدفت الأفراد الناطقين بالفارسية في إيران.
القراصنة الذين يطلقون على أنفسهم لقب “FerociousKitten” يتواجدون منذ سنة 2015 على الأقل، ونجحوا على امتداد هذه السنوات بتطوير برمجية خبيثة تدعى”MarkiRAT”، تستطيع سرقة البيانات وتنفيذ الأوامر على أجهزة الضحايا، كما تعمل هذه البرمجية الخبيثة على اختراق متصفح “الكروم” وتطبيق رسائل “تلغرام” أيضا.
خلال شهر مارس من السنة الجارية، جرى تحميل وثيقة غير موثوقة على موقع “VirusTotal”وتم تداولها بشكل كبير بين الناس على موقع “تويتر” للتغريدات القصيرة.
بعد تداولها على نطاق واسع، اختار الباحثون داخل شركة “كاسبركسي” الرائدة دوليا، خلال تحليل التغريدة تعميق البحث بشكل أكبر للوصول إلى معلومات أوفى، وبناء على ذلك، تم اكتشاف حملة تجسس دامت 6 سنوات، وكانت تستهدف على وجه الخصوص الأشخاص الذين يتحدثون بالفارسية في إيران، وتبين أن المجموعة المسؤولة خلف هذه الحملة قد اختارت لها اسم”FerousciotKiten”.
المجموعة النشيطة منذ سنة 2015 تستهدف ضحاياها انطلاقا من الوثائق التي تحتوي على وحدات خبيثة صغيرة جدا، والتي غالبا ما تكون على شكل صور أو فيديوهات، ويتم إخفائها في أعمال ضد النظام الإيراني (التظاهرات أو صور معسكرات المقاومة).
الرسائل التي يختفي خلفها المجرمون تحفز الضحية على فتح الصور أو الفيديوهات المرفقة، بمجرد الضغط على الوثائق، يتم بشكل تلقائي انتشار البرمجيات الخبيثة، مع عرض المحتويات على الشاشة.
بمجرد فتح وتحميل الملفات، تسقط البرمجيات المكيفة المعروفة باسم “MarkiRAT”في جهاز الضحية وتبدأ في عملية نسخ جميع المحتويات وتسجيل عملية الرقن على لوحة المفاتيح، كما أن البرمجية تُعطي للقراصنة إمكانية تحميل الملفات والسماح لهم بتنفيذ أوامر جزافية على الجهاز المصاب.
وفي هذا الصدد، قام الباحثون في كاسبرسكي بالكشف عن أنواع مختلفة من البرمجية الخبيثة، واتضح لهم أن إحداها تعمل على اعتراض تشغيل تطبيق “تلغرام” للتواصل، كما يُطلق برمجية خبيثة بالتزامن مع البحث الداخلي في الجهاز المصاب.
وفي حالة ما إذا اكتشفMarkiRATIهذا المستودع، تعمل البرمجية الخبيثة على الانتشار، وتغيير الاختصار الذي يُدير تطبيق “تلغرام” بهدف إطلاق النسخة المُخترقة من المستودع عن طريق التطبيق المحمول.
وعلى غرار البرمجية الخبيثة الأولى التي تستهدف “تلغرام”، تعمل النسخة الثانية من البرمجية على اختصار متصفح البحث كروم. وكلما بدأ المستخدم عملية التصفح، يتم تنفيذ التطبيق الفعلي في نفس الوقت الذي يتم فيه تنفيذ خبيثMarkiRAT. وأخيرا، فإن البديل الثالث هو نسخة خلفية منPsiphon، وهي أداة مفتوحة المصدر VPN تستخدم غالبا لتجاوز الرقابة على الإنترنت.
كما رصدت شركة “كاسبرسكي” في دراستها المعمقة أدلة على أن المجموعة طورت فيروسات خبيثة تستهدف أجهزة أندرويد، ومع ذلك لم يتمكن الباحثون من الحصول على عينات محددة لتحليلها.
وتبين من خلال التحليل أن الضحايا المستهدفون من هذه الحملة يقيمون في إيران ويتكلمون الفارسية، ويستهدف المخترقون بشكل خاص مؤيدي حركات الاحتجاج داخل البلاد.
وفي هذا الصدد، قال مارك ليشتيك، كبير الباحثين في فريق البحث والتحليل العالمي لدى كاسبرسكي :”في حين أن البرمجية الخبيثةMarkiRATوجميع الأدوات المصاحبة لها ليست متطورة بالشكل مطلوب، غير أنه من المثير للاهتمام أن المجموعة قد أنشأت مثل هذه البدائل المتخصصة التي تستهدف متصفح الكروم وتطبيق تلغرام. هذا الأمر يدل بشكل واضح على أن المهاجمين يركزون أكثر على تكييف أدواتهم القائمة مع البيئات المستهدفة بدلا من تطوير سمات وخصائص وظيفية جديدة”.
من جهته، قال بول راسكاجنيريس، كبير الباحثين في فريق البحث والتحليل العالمي لدى كاسبرسكي :”رصدنا متغيرًا بسيطًا أكثر حداثة يستخدم أداة التنزيل بدلاً من الحمولة. هذا يشير إلى أن المجموعة لا تزال نشطة للغاية وقد تكون في طور تعديل تكتيكاتها وتقنياتها وإجراءاتها أيضا”.
وفي نفس الاتجاه، أوضحت آسيل كيال، الباحثة في فريق البحث والتحليل العالمي لدى كاسبرسكي :”تعد طريقة اختيار الضحايا من لدن “FerociousKitten” وأساليبهم المعتمدة والإجراءات المتبعة مماثلة لبعض المهاجمين اللآخرين في الجهة على غرارDomesticKittenوRampant Kitten.
وأضافت المتحدثة :”هذه المجموعات تمثل في إيران نظاما بيئيا واسعا لحملات المراقبة. وناذرا ما يتم الكشف عنها أو التعرف عليها، مما يسمح لها بالمرور تحت الرادارات لفترات طويلة من الزمن وإعادة استخدام هياكلها الأساسية وأدواتها بسهولة أكبر”.