تفاصيل اختراق البريد الإلكتروني لمسؤولين إسرائيليين سابقين

كشفت شركة "تشيك بوينت" الإسرائيلية المتخصصة في تطوير برامج إلكترونية لحماية المعلومات تفاصيل استهداف قراصنة إيرانيين البريد الإلكتروني لمسؤولين إسرائيليين سابقين وعسكريين رفيعي المستوى وباحثين في مراكز أبحاث.

وبحسب الشركة، استخدمت الهجمات بنية تحتية مخصصة للتصيد الاحتيالي، بالإضافة إلى مجموعة واسعة من حسابات البريد الإلكتروني المزيفة لانتحال شخصيات أطراف موثوقة. 

ولتأسيس ثقة أعمق مع الأطراف المستهدفة، أجرى مجموعة من القراصنة الإيرانيين المعروفين باسم Phosphorus عملية استيلاء على حسابات بريد بعض الضحايا، ثم اختطفوا محادثات البريد الإلكتروني لبدء هجمات من محادثة بريد إلكتروني موجودة بالفعل بين هدف وطرف موثوق به واستمروا في تلك المحادثة.

ومن أجل تسهيل عملية القرصنة، قام المهاجمون بتشغيل أداة تقصير عناوين URL وهمية عبر خدمة Litby، لإخفاء روابط التصيد الاحتيالي، وكذلك استخدام خدمة التحقق من الهوية المشروعة validation.com، لسرقة وثائق الهوية.

وقامت شركة "تشيك بوينت" بنشر تقرير من أجل تحليل البنية التحتية التي استخدمها القراصنة الإيرانيون، ومنهجياتهم، من أجل الكشف عن الدوافع الكامنة وراءه. 

وبحسب التقرير، الذي ترجمته "عربي21"، يبدو أن الغرض المرئي من هذه العملية يهدف إلى الوصول إلى صناديق الوارد الخاصة بالضحايا، ومعلومات التعريف الشخصية الخاصة بهم، ووثائق هوياتهم. 

وقالت الشركة إن التوترات المتصاعدة مؤخرا بين إسرائيل وإيران، متبوعة بالنشر الرسمي الإسرائيلي الذي يكشف عن أدلة على العمليات السيبرانية الإيرانية التي تؤدي إلى أعمال خارج المجال السيبراني، يمكن أن تلقي مزيدًا من الضوء على الهدف الحقيقي لهذا الهجوم.

واستهدف الهجوم كلا من وزيرة خارجية الاحتلال السابقة ونائبة رئيس الوزراء تسيبي ليفني، وسفير أمريكي سابق لدى الاحتلال، ولواء سابق خدم في منصب شديد الحساسية في جيش الاحتلال، ورئيس إحدى المؤسسات البحثية الأمنية الرائدة في دولة الاحتلال، ورئيس سابق لمركز أبحاث مشهور في الشرق الأوسط، ومدير تنفيذي أول في صناعة الدفاع الإسرائيلية.

واختار القراصنة التواصل عبر البريد الإلكتروني كأداة رئيسية للاتصال الأولي بالهدف. وغالبا ما يستخدمون تقنية اختطاف محادثة موجودة على البريد الإلكتروني ويواصلون إرسال الرسائل عبر تلك المحادثات.

ويتم الاستمرار في سلسلة المحادثات إما من الحساب المخترق نفسه، أو من عنوان بريد إلكتروني تم إنشاؤه حديثًا - حيث يقوم القراصنة بنسخ ولصق سلسلة رسائل قديمة إلى بريد إلكتروني جديد.

لغرض انتحال الهوية، إذا أراد المهاجمون انتحال شخصية John Doe أثناء العمل في corp.org، فغالبًا ما يقومون بإنشاء صندوق بريد جديد مع موفر بريد إلكتروني عبر الإنترنت، بالتنسيق التالي: [email protected]

وتشير المحادثات في كثير من الحالات إلى قضايا أمنية لإيران والاحتلال الإسرائيلي.

الحالة 1: تسيبي ليفني

تسيبي ليفني هي سياسية ودبلوماسية ومحامية إسرائيلية، وهي أيضًا وزيرة خارجية الاحتلال السابقة ونائبة رئيس الوزراء ووزيرة العدل وزعيمة المعارضة.

تم التواصل مع ليفني عبر البريد الإلكتروني من قبل شخص ينتحل شخصية لواء سابق معروف في الجيش الإسرائيلي خدم في منصب حساس للغاية. تم إرسال البريد الإلكتروني من عنوان بريده الإلكتروني الحقيقي الذي كانت له مراسلات سابقة معها في الماضي. احتوى البريد الإلكتروني على رابط لملف طلب منها المهاجم فتحه وقراءته. 

وعندما تأخرت في القيام بذلك، تواصل معها المهاجم عدة مرات وطلب منها فتح الملف باستخدام كلمة مرور البريد الإلكتروني الخاصة بها ما أدى إلى شكوكها. 

وعندما قابلت اللواء السابق وسألته عن البريد الإلكتروني، تم التأكيد على أنه لم يرسل لها مثل هذا البريد الإلكتروني، قبل أن تتصل بـ"تشيك بوينت" من أجل التحقق من ذلك.

الحالة 2: سفير أمريكي سابق 

في هذه الحالة، انتحل المهاجمون شخصية دبلوماسي أمريكي، عمل سابقا كسفير للولايات المتحدة لدى تل أبيب لاستهداف رئيس إحدى المؤسسات البحثية الأمنية الرائدة في دولة الاحتلال.

تمت مراسلات البريد الإلكتروني التالية بعد سلسلة رسائل أصلية تم لصقها بين الكيانين، قبل أسبوعين، تمت سرقتها من البريد الوارد لأحد الضحايا (تقنية اختطاف سلسلة رسائل البريد الإلكتروني).