• الرئيسة
    منظمة سام
    عودة للرئيسة
    استهدفت العسكرين بشكل خاص في دول شرق أوسطية من بينها اليمن..
  •  09/07/2024
    •  https://dg.samrl.org/l?a5312
    تقرير: جهة تهديد مرتبطة بالحوثيين استخدمت برمجية تجسس ذات طابع عسكري وديني
    الحقوق الرقمية |

    أظهرت دراسة بحثية جديدة نشرتها شركة أمن الأجهزة المحمولة لوك آوت  Lookout في تقرير يوم الثلاثاء أن جهة تهديد مرتبطة بالحوثيين استخدمت برمجية خبيثة تسمى جاردزو GuardZoo منذ عام 2019، لجمع الصور والمستندات والملفات الأخرى المخزنة على الأجهزة المصابة. تستغل هذه الحملة تطبيقات ضارة ذات طابع عسكري وديني لجذب الضحايا عبر الهندسة الاجتماعية على الأجهزة المحمولة.
    وبحسب سجلات خوادم القيادة والتحكم غير المؤمنة، فإن معظم الضحايا البالغ عددهم 450 تقريبا كانوا موجودين في اليمن والمملكة العربية السعودية ومصر وسلطنة عمان، مع وجود عدد أقل في الإمارات العربية المتحدة وتركيا وقطر.

    وجاء في التقرير أن عملية نسب التهديد إلى الجهة المرتبطة بالحوثيين تمت من خلال "إغراءات التطبيقات، وبيانات الطرد، والاستهداف، وموقع البنية التحتية للقيادة والسيطرة".

    وقالت شركة لوك أوت إن أداة المراقبة سميت على اسم جزء من شفرة المصدر التي تلتصق باستمرار بجهاز مصاب. وبالإضافة إلى سرقة الصور والوثائق، يمكنها أيضًا "تنسيق ملفات البيانات المتعلقة بالمواقع المحددة والطرق والمسارات"، كما أنها قادرة على تحديد موقع الجهاز المصاب وطرازه ومزود الخدمة الخلوية وتكوين شبكة Wi-Fi.


    وقالت شركة لوك أوت إن برامج التجسس تم العثور عليها بشكل رئيسي في التطبيقات ذات الطابع العسكري، كما أن التوزيع والإصابة بدأ بشكل كبير من خلال واتساب وواتساب بيزنس ومن خلال التنزيلات من المتصفحات. وفي أقلية من الحالات الأخرى، تم إغراء الضحايا بمحتوى يحتوي على تطبيق صلاة ذي طابع ديني أو موضوع كتاب إلكتروني.

    على الرغم من أن الطعوم الخاصة بـ GuardZoo كانت عامة في الأصل، إلا أنها تطورت لتشمل موضوعات عسكرية بعناوين مثل "دستور القوات المسلحة" و"إعادة هيكلة القوات المسلحة الجديدة". وظهرت شعارات الجيوش في مختلف دول الشرق الأوسط، بما في ذلك اليمن والمملكة العربية السعودية، على التطبيقات العسكرية المستخدمة كطُعم. كما استخدم التطبيق شعارات عسكرية من دول مختلفة مثل القوات المسلحة اليمنية وكلية القيادة والأركان للقوات المسلحة السعودية.

    وعند مراقبة إدخالات السجلات في عينات GuardZoo الحديثة، تم تعزيز استهداف الأفراد العسكريين باكتشاف وثائق مسربة تخص القيادة العسكرية. على سبيل المثال، تم ترجمة عنوان أحد المستندات إلى "سري للغاية، جمهورية اليمن، وزارة الدفاع، رئيس هيئة الأركان العامة، إدارة عمليات الحرب، قسم التأمين".

    تم اكتشاف GuardZoo لأول مرة من قبل الباحثين في أكتوبر 2022. وتقول شركة Lookout إن الأداة تعتمد على "برنامج تجسس سلعي" يسمى Dendroid RAT، والذي تم استخدامه منذ عقد من الزمان على الأقل.

    يعتمد GuardZoo على برنامج تجسس تجاري يسمى Dendroid RAT. وكما هي الحال في كثير من الأحيان، أخذ المطورون وراء GuardZoo عائلة برامج ضارة موجودة وأنشأوا تنوعًا جديدًا بإمكانيات محدثة. في هذه الحالة، إحدى القدرات المثيرة للاهتمام هي أن GuardZoo يمكن أن يعمل كقناة بين الفاعل المهدد وجهاز الضحية، مما يسمح للفاعل المهدد بتنزيل برامج ضارة إضافية على الجهاز المصاب. يمكن أن يؤدي هذا إلى تقديم قدرات إضافية هجومية من شأنها أن تفيد الفاعل المهدد.

    تم تسويق Guardzoo في الأصل باعتباره برنامجًا ضارًا مقابل سعر لمرة واحدة يبلغ 300 دولار، ويأتي مع إمكانيات الاتصال برقم هاتف، وحذف سجلات المكالمات، وفتح صفحات الويب، وتسجيل الصوت والمكالمات، والوصول إلى رسائل SMS، والتقاط الصور ومقاطع الفيديو وتحميلها، وحتى بدء هجوم HTTP، ومع ذلك، تم إجراء العديد من التغييرات على قاعدة التعليمات البرمجية من أجل إضافة وظائف جديدة وإزالة الوظائف غير المستخدمة.

    عند إصابة جهاز، يتصل GuardZoo بالأوامر والتحكم ويضبط افتراضيًا على إرسال أربعة أوامر لكل ضحية جديدة، بما في ذلك إلغاء تنشيط التسجيل المحلي وتحميل البيانات الوصفية لجميع الملفات. وجاء في تقرير لوك أوت أن "هذه الامتدادات مرتبطة بالخرائط ونظام تحديد المواقع العالمي (GPS) والعلامات التي توضح نقاط الطريق والطرق والمسارات"

    وبينما لا يزال الباحثون يحللون البيانات بنشاط، فقد لاحظوا حتى الآن أكثر من 450 عنوان IP ينتمي إلى ضحايا يقعون في المقام الأول في اليمن والمملكة العربية السعودية ومصر وعمان والإمارات العربية المتحدة وقطر وتركيا. واستنادًا إلى إغراءات التطبيقات والاستهداف ومواقع الخوادم التي يتحكم فيها الجهات الفاعلة في التهديد، تنسب Lookout GuardZoo إلى جهة تهديد يمنية متحالفة مع الحوثيين. 

    قال آرون كوكريل ، نائب الرئيس التنفيذي للمنتجات والأمن في شركة Lookout: " إن اكتشاف GuardZoo يذكرنا بالتهديد المتزايد الذي تشكله برامج المراقبة المتقدمة. يمكن استخدام حزم برامج التجسس هذه لجمع مجموعة واسعة من البيانات من الأجهزة المصابة، وهو ما قد يعرض الأفراد والعمليات العسكرية للخطر في حالة GuardZoo. نحث المتخصصين في مجال الأمن على إدراك هذا التهديد واتخاذ خطوات لحماية مستخدميهم وبياناتهم الشخصية والعملية".

    كيفية حماية نفسك من GuardZoo
    لحماية الأجهزة التي تعمل بنظام Android سواء كانت تجارية أو شخصية من GuardZoo وبرامج المراقبة الأخرى، يوصي الباحثون بالخطوات الأساسية التالية التي يمكن لأي شخص اتخاذها.

    • احرص على تحديث نظام التشغيل والتطبيقات لديك، حيث أن معظم التحديثات مرتبطة بتصحيحات الأمان.
    • ‏قم بتثبيت التطبيقات من Google Play فقط، وليس من مصادر خارجية. إذا تلقيت رسالة تطلب منك تثبيت تطبيق من موقع ويب، فقم على الفور بحظر الرقم والإبلاغ عن الحادثة لفريق تكنولوجيا المعلومات أو الأمان لديك.
    • كن على دراية بالأذونات التي تطلبها تطبيقات الأجهزة المحمولة. فالأذونات المفرطة في التدخل، حتى من التطبيقات المشروعة، قد تشكل خطرًا على بيانات مؤسستك.
    قم بتنفيذ حل أمان الهاتف المحمول للكشف عن البرامج الضارة والحماية منها والحفاظ على أمان مؤسستك.

    المصدر: The Hacker News, Recorded Future, HelpNetSecurity

    .

  •

  •  
    من نحن
    الحقوق الرقمية في اليمن، أحد مشاريع منظمة سام بدعم منظمة إنترنيوز، ويهدف المشروع للتعريف بالحقوق الرقمية، ورصد الانتهاكات بحق النشطاء والفاعلين والمستخدمين للفضاء الرقمي.
    أتصل بنا
    +9672276293
    +96702276294
    violations@samrl.org
    Yemen, Aden, Sanaʿā ,Mareb, Taiz
    جميع الحقوق محفوظة لمنظمة سام © 2023، تصميم وتطوير