في عالم متزايد التعقيد من التهديدات السيبرانية، تم الكشف عن مجموعة هاكرز مؤجرة تستهدف الصحفيين والنشطاء في منطقة الشرق الأوسط. تستعرض هذه المقالة تفاصيل الحملة وأبعادها.
مجموعة هاكرز مؤجرة تستهدف أجهزة أندرويد ونسخ iCloud الاحتياطية
كشف الباحثون الأمنيون عن مجموعة هاكرز مؤجرة تستهدف الصحفيين والنشطاء والمسؤولين الحكوميين في منطقة الشرق الأوسط وشمال أفريقيا. استخدم الهاكرز هجمات تصيد للوصول إلى نسخ iCloud الاحتياطية وحسابات الرسائل على تطبيق Signal، ونشروا برامج تجسس لأجهزة أندرويد قادرة على السيطرة على أجهزة الضحايا.
توجه متزايد في استخدام شركات الهاكرز المؤجرة
تسلط هذه الحملة الضوء على الاتجاه المتزايد في اعتماد الوكالات الحكومية على شركات الهاكرز المؤجرة لأداء عمليات الاختراق. تعتمد بعض الحكومات بالفعل على شركات تجارية تطور برامج التجسس والثغرات التي تستخدمها الشرطة ووكالات الاستخبارات للوصول إلى بيانات الهواتف المحمولة.
توثيق الهجمات ضد الصحفيين
وثقت منظمة Access Now لحقوق الرقمية ثلاث حالات من الهجمات بين عامي 2023 و2025 ضد صحفيين مصريين، وصحفي في لبنان، حيث تم توثيق الحالة الأخيرة أيضًا من قبل منظمة SMEX.
تحقيقات إضافية من Lookout
قامت شركة Lookout للأمن السيبراني أيضًا بالتحقيق في هذه الهجمات. تعاونت المنظمات الثلاث مع بعضها البعض ونشرت تقارير منفصلة يوم الأربعاء.
استهداف أوسع من مجرد المجتمع المدني
وفقًا لشركة Lookout، تتجاوز الهجمات أعضاء المجتمع المدني المصري واللبناني، لتشمل أهدافًا في حكومات البحرين ومصر، بالإضافة إلى أهداف في الإمارات العربية المتحدة والسعودية والمملكة المتحدة، وربما الولايات المتحدة أو خريجي الجامعات الأمريكية.
صلة مع مجموعة BITTER APT
استنتجت Lookout أن الهاكرز وراء هذه الحملة التجسسية يعملون لصالح بائع هاكرز مؤجر له صلات بمجموعة BITTER APT، وهي مجموعة هاكرز يشتبه في أن لها روابط مع الحكومة الهندية.
استنتاجات حول الشركات الهندية
قال جاستن ألبريشت، الباحث الرئيسي في Lookout، لموقع TechCrunch أن الشركة وراء الحملة قد تكون فرعًا من شركة Appin الهندية للهاكرز المؤجرين، وأشار إلى شركة RebSec كمرشح محتمل. في عامي 2022 و2023، نشرت رويترز تحقيقات موسعة حول Appin وشركات هندية مماثلة، كشفت كيف يتم استئجار هذه الشركات لاختراق التنفيذيين والسياسيين والمسؤولين العسكريين وغيرهم.
استمرار النشاط رغم الإغلاق
يبدو أن شركة Appin قد أغلقت لاحقًا، لكن ألبريشت أشار إلى أن اكتشاف هذه الحملة الجديدة يظهر أن النشاط “لم يختفِ، بل انتقل إلى شركات أصغر”.
توفير إنكار محتمل للعملاء
تحصل هذه المجموعات وعملاؤها على “إنكار محتمل لأنهم يديرون جميع العمليات والبنية التحتية”. ولعملائهم، من المحتمل أن تكون هذه المجموعات مؤجرة أرخص من شراء برامج تجسس تجارية، حسبما قال ألبريشت.
عدم القدرة على التواصل مع RebSec
لم يكن بالإمكان الوصول إلى Rebsec للتعليق، حيث قامت الشركة بحذف حساباتها على وسائل التواصل الاجتماعي وموقعها الإلكتروني.
تزايد تكاليف العمليات
قال محمد المسكاتي، محقق ومدير في مركز الأمن الرقمي في Access Now، الذي عمل على هذه الحالات، إن “هذه العمليات أصبحت أرخص ومن الممكن التهرب من المسؤولية، خاصة أننا لن نعرف من هو العميل النهائي، ولن تكشف البنية التحتية عن الكيان وراءها”.
تكتيكات فعالة رغم عدم التعقيد
بينما قد لا تمتلك مجموعات مثل BITTER أكثر أدوات الاختراق والتجسس تقدمًا، إلا أن تكتيكاتهم لا تزال فعالة للغاية.
استراتيجيات الهجوم
في الهجمات التي تشكل جزءًا من هذه الحملة، استخدم الهاكرز عدة تقنيات مختلفة. عند استهداف مستخدمي iPhone، حاول الهاكرز خداع الضحايا للحصول على بيانات اعتماد Apple ID الخاصة بهم للوصول إلى نسخ iCloud الاحتياطية، مما يمنحهم فعليًا الوصول إلى المحتوى الكامل لأجهزة iPhone الخاصة بالضحايا.
هذا “قد يكون بديلاً أرخص لاستخدام برامج تجسس iOS الأكثر تعقيدًا وغلاءً”، وفقًا لـ Access Now.
عند استهداف مستخدمي أندرويد، استخدم الهاكرز برنامج تجسس يسمى ProSpy، متخفيًا كأحد تطبيقات الرسائل والتواصل الشهيرة مثل Signal وWhatsApp وZoom، بالإضافة إلى ToTok وBotim، وهما تطبيقان شائعان في الشرق الأوسط.
في بعض الحالات، حاول الهاكرز خداع الضحايا لتسجيل وإضافة جهاز جديد – يتحكم فيه الهاكرز – إلى حساب Signal الخاص بهم، وهي تقنية شائعة بين مجموعات الاختراق المختلفة، بما في ذلك الجواسيس الروس.
لم يرد متحدث باسم السفارة الهندية في واشنطن العاصمة على طلب التعليق على الفور.
تتطلب التهديدات المتزايدة من هاكرز مؤجرة وعيًا أكبر وحماية فعالة للبيانات. يجب على الأفراد والمنظمات أن يكونوا على دراية بالمخاطر وأن يتخذوا خطوات لحماية أنفسهم.
