2023-05-17 الساعة 04:16م (يمن سكاي - )
كشفت شركة مختصة في الأمن السيبراني، أن مجموعة قرصنة مرتبطة بجماعة الحوثي المدعومة من إيران، تتجسس على منظمات دولية وشركات إعلام وسياسيين في شبه الجزيرة العربية.
وقالت شركة "ريكوردد فيوتشر"(Recorded Future)، إن "مجموعة القرصنة المعروفة باسم أويل ألفا (OilAlpha)، استهدفت المنظمات العاملة في المنطقة بتطبيقات خبيثة قائمة على نظام أندرويد".
وأكدت الشركة في تقرير مطول، ترجم "المصدر أونلاين" ملخصه أن هذه المجموعة "لها صلات محتملة بحركة الحوثي في (اليمن)، وأنها استهدفت المنظمات الإنسانية ووسائل الإعلام والمنظمات غير الربحية في شبه الجزيرة العربية عبر تطبيق واتساب كجزء من حملة تجسس رقمية".
ووفق ما نشره التقرير فإن "مجموعة القرصنة (المرتبطة بالحوثيين) تفضل استخدام أدوات الوصول عن بعد لتثبيت برامج التجسس المحمولة مثل سباي نوت ( SpyNote) وسباي ماكس (SpyMax)".
وأشار التقرير الى أنه "خلال مفاوضات أجرتها المملكة العربية السعودية في 2022 من (أبريل الى مايو)، بين قادة يمنيين (مؤتمر الرياض2)، أرسلت هذه المجموعة (أويل ألفا) ملفات أندرويد ضارة عبر تطبيق الواتساب إلى ممثلين سياسيين وصحفيين".
وقالت شركة الأمن السيبراني العالمية في تقريريها إن مجموعة القرصنة "أويل ألفا" ستستمر على الأرجح في استخدام التطبيقات الخبيثة المستندة إلى نظام الاندرويد "لاستهداف الكيانات التي تشترك في الاهتمام بالتطورات السياسية والأمنية في اليمن والقطاعات الإنسانية والمنظمات غير الحكومية التي تعمل في اليمن".
وأضافت أنكل من "سباي نوت" و "سباي ماكس" تستطيعان الوصول إلى "سجلات المكالمات، وبيانات الرسائل القصيرة، ومعلومات الاتصال، ومعلومات الشبكة، والوصول إلى كاميرا الجهاز والصوت، بالإضافة إلى بيانات الموقع الجغرافي الجي بي اس ( GPS )، وأمور أخرى"، لافتة الى أن هذه المجموعة تستهدف هواتف الاندرويد المتوفرة على نطاق واسع في المنطقة.
وحسب ما ذكرته الشركة فإنه "لا يوجد أي مؤشر على مدى نجاح عمليات اويل ألفا منذ أن بدأت في تتبع نشاط المجموعة".
وتعتقد الشركة أن "مجموعة القرصنة (الحوثية) انتحلت أيضًا صفة منظمات سعودية مثل مؤسسة الملك خالد ومركز الملك سلمان للإغاثة والأعمال الإنسانية ومشروع مسام لنزع الألغام، حسبما أشار ت في تقريرها "بعد العثور على رموز مع تلك المنظمات في البرامج الضارة".
ولفت التقرير الى أن "المجموعة انتحلت أيضا صفة منظمات غير حكومية مثل صندوق الطوارئ التابع للأمم المتحدة للأطفال والمجلس النرويجي للاجئين وجمعية الهلال الأحمر. حيث تقوم كل هذه المنظمات إما بإدارة أو تنسيق الاستجابة للكوارث والعمل الإنساني في اليمن".
وذكر التقرير أنه "باستثناء اكتشاف معلومات جديدة أو تحولات جيواستراتيجية أوسع، من المرجح أن تستمر اويل ألفا في استخدام التطبيقات الخبيثة المستندة إلى الاندرويد لاستهداف الكيانات التي تشترك في الاهتمام بالتطورات السياسية والأمنية في اليمن والقطاعات الإنسانية والمنظمات غير الحكومية التي تعمل في اليمن"، لافتا الى أن "الجماعة لم تفعل الكثير لإخفاء بنيتها التحتية".
وقالت شركة "ريكورديد فيوتشر" إن "مجموعة القرصنة تستخدم في الغالب شركة الاتصالات العامة اليمنية التي من المحتمل أن تكون تحت سيطرة سلطات الحوثيين".
وأضافت أن "المجموعة استخدمت بشكل شبه حصري نظام اسم المجال DNS الديناميكي، والذي كان بمثابة مؤشر آخر لارتباط المجموعة بالحوثيين".
ونوهت الى "أنها لا تستطيع التأكد من سبب اعتماد المجموعة على البنية التحتية التي تبدو ضعيفة في الأمن التشغيلي، لكنها لم تتمكن من العثور على أي دليل مماثل يشير إلى ان البنية التحتية للاتصالات تم اختراقها".
وأشارت ريكورديد فيوتشر إلى أنه "لا توجد أدلة كافية لتحديد ما إذا كان مشغلون يمنيون مسؤولين عن حملة "اويل الفا" أو ما إذا كانت مجموعات التهديد الأخرى في المنطقة قد تكون وراء الحملة المستمرة".
وقالت إن "جهات التهديد الخارجية مثل حزب الله اللبناني أو العراقي، أو حتى المشغلين الإيرانيين الذين يدعمون (الحرس الثوري)، ربما قادوا نشاط التهديد هذا"، استنادًا إلى حقيقة أن هذه الجماعات لها مصلحة راسخة في نتيجة الحرب الاهلية في اليمن.
الى ذلك قال جون كوندرا ، مدير التهديدات الإستراتيجية والمستمرة في انسكت جروب، بشركة ريكوردد فيوتشر: "لا يمكننا التأكد من أنه لم يكن هناك شكل من أشكال التنازل عن تلك الأصول (بنية الاتصالات اليمنية) وبالتالي يستخدمها الفاعلون الأجانب".
وأضاف: "لا يمكننا التأكد مما إذا كانوا يبيعون بنيتهم التحتية بالفعل، لذلك يمكن أن يكون شخص آخر يستخدمها عن قصد للمساعدة، من المحتمل أن يكون بمعرفتهم أو حتى بمساعدتهم، لاستهداف أشخاص معينين بما يخدم مصالحهم".
لقراءة تحليل شركة "ريكورديد فيوتشر" كاملاً باللغة الإنجليزية(PDF):
مجموعة موالية للحوثيين تستهدف كيانات في أنحاء شبه الجزيرة العربية
و"ريكورديد فيوتشر" هي شركة خاصة للأمن السيبراني، تأسست في عام 2009، ومقرها في سومرفيل، ماساتشوستس (أمريكا)، وهي متخصصة في جمع ومعالجة وتحليل ونشر الاستخبارات المهددة"، حسب ما هو منشور على ويكيبيديا.