أخبار تقنية

حملة تجسس تستهدف الكرد عبر تطبيقات خبيثة

تهدف هذه الهجمات السيبرانية إلى سرقة معلومات حساسة عن الكرد، مما يمثل تهديدًا خطيرًا لأمنهم وخصوصيتهم

كشف تحقيق استقصائي عن تعرض ما يصل إلى 25 موقعًا إلكترونيًا مرتبطًا بالأقلية الكردية لحملة اختراق واسعة النطاق استمرت لأكثر من عام ونصف.

تهدف هذه الهجمات السيبرانية إلى سرقة معلومات حساسة عن الكرد، مما يمثل تهديدًا خطيرًا لأمنهم وخصوصيتهم

ووصفت شركة الأمن السيبراني الفرنسية Sekoia، التي كشفت عن تفاصيل الحملة التي أطلق عليها اسم SilentSelfie، مجموعة الاختراق بأنها طويلة الأمد، مع اكتشاف العلامات الأولى للعدوى يعود تاريخها إلى ديسمبر 2022.

وأضافت أن تسويات الويب الإستراتيجية مصممة لتقديم أربعة أنواع مختلفة من إطار عمل سرقة المعلومات.

“تراوحت هذه بين أبسطها، والتي تسرق موقع المستخدم فقط، إلى تلك الأكثر تعقيدًا التي تسجل صورًا من كاميرا الصور الشخصية وتدفع مستخدمين محددين إلى تثبيت ملف APK ضار، أي تطبيق يستخدم على Android،” هذا ما قاله باحثا الأمن فيليكس إيمي وماكسيم أ. قال في تقرير الاربعاء

وتشمل المواقع المستهدفة الصحافة ووسائل الإعلام الكردية، وإدارة روج آفا وقواتها المسلحة، وتلك المرتبطة بالأحزاب السياسية اليسارية المتطرفة الثورية، والمنظمات في تركيا والمناطق الكردية. أخبر سيكويا The Hacker News أن الطريقة الدقيقة التي تم من خلالها اختراق هذه المواقع في المقام الأول لا تزال غير مؤكدة.

لم تُنسب الهجمات إلى أي جهة تهديد أو كيان معروف، مما يشير إلى ظهور مجموعة تهديد جديدة تستهدف المجتمع الكردي، والتي تم استهدافها سابقًا من قبل مجموعات مثل StrongPity وBladeHawk.

وفي وقت سابق من هذا العام، كشفت شركة الأمن الهولندية Hunt & Hackett أيضًا أن المواقع الكردية في هولندا قد تم استهدافها من قبل جهة فاعلة للتهديد التركي تُعرف باسم Sea Turtle.

تتميز هجمات Watering Hole بنشر جافا سكريبت ضار مسؤول عن جمع أنواع مختلفة من المعلومات من زوار الموقع، بما في ذلك موقعهم وبيانات الجهاز (على سبيل المثال، عدد وحدات المعالجة المركزية (CPU) وحالة البطارية ولغة المتصفح وما إلى ذلك) والبيانات العامة. عنوان IP، من بين أمور أخرى.

تم أيضًا ملاحظة أحد أشكال نص الاستطلاع الموجود على ثلاثة مواقع ويب (rojnews(.)news وhawarnews(.)com وtargetplatform(.)net.) وهو يعيد توجيه المستخدمين إلى ملفات Android APK المارقة، بينما يتضمن البعض الآخر القدرة على تتبع المستخدم عبر ملف تعريف الارتباط المسمى “sessionIdVal”.

يقوم تطبيق Android، وفقًا لتحليل Sekoia، بتضمين موقع الويب نفسه باعتباره WebView، بينما يقوم أيضًا بالتحريك سرًا لمعلومات النظام وقوائم جهات الاتصال والموقع والملفات الموجودة في وحدة التخزين الخارجية بناءً على الأذونات الممنوحة له.

وأشار الباحثون إلى أن “من الجدير بالذكر أن هذا الكود الخبيث ليس لديه أي آلية للاستمرارية ولكن يتم تنفيذه فقط عندما يفتح المستخدم تطبيق RojNews”.

“بمجرد أن يفتح المستخدم التطبيق، وبعد 10 ثوانٍ، تبدأ خدمة LocationHelper في إرسال إشارة الخلفية إلى عنوان URL rojnews(.)news/wp-includes/sitemaps/ عبر طلبات HTTP POST، ومشاركة الموقع الحالي للمستخدم وانتظار الأوامر للتنفيذ.”

لا يُعرف الكثير عن الجهة التي تقف وراء SilentSelfie، لكن سيكويا قدّرت أنه قد يكون من صنع الشركة. حكومة إقليم كردستان العراق بناءً على اعتقال الصحفي في وكالة روج نيوز سليمان أحمد من قبل قوات الحزب الديمقراطي الكردستاني في أكتوبر 2023. محكوم عليه بالسجن ثلاث سنوات في يوليو/تموز 2024.

وقال الباحثون: “على الرغم من أن حملة حفر الري هذه منخفضة التعقيد، إلا أنها ملحوظة من حيث عدد المواقع الكردية المتضررة ومدتها”. “يشير المستوى المنخفض من التطور للحملة إلى أنها قد تكون من عمل جهة فاعلة تهديدية غير مكشوفة ذات قدرات محدودة وحديثة نسبيًا في هذا المجال.”

إدارة ميكسي نيوز

ميكسي نيوز منصة إخبارية عربية تقدم تغطية شاملة لأهم الأحداث حول العالم، مع التركيز على الاخبار التقنية، والرياضية، والفنية، بتحديث مستمر ومصداقية عالية

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى