اعلنت شركة مايكروسوفت Microsoft يوم الأربعاء أنها سيطرت على 99 نطاقاً رقمياً domains تستخدمها مجموعة تجسس عبر الإنترنت مرتبطة بإيران كانت تتعقبها الشركة ويعرفو بأسم “الفسفور Phosphorus “.
يُعرف “الفسفور” أيضًا في مجتمع الأمن السيبراني بـ APT35 ، و Charming Kitten ، و NewsBeef ، و Newscaster و Ajax Security Team . وتقوم مايكروسوفت بتتبع مجاميع ممثلي التهديدات هذه منذ عام 2013 ، ولكن يعتقد أن المجموعة نشطة منذ عام 2011 على الأقل .
سيطرت مايكروسوفت على العديد من المجالات التي يستخدمها “الفسفور” بعد تقديم شكوى قانونية في محكمة المقاطعة الأمريكية لواشنطن العاصمة ضد شخصين مجهولين يُزعم أنهما وراء عمليات المجموعة. ساعد هذا التكتيك مايكروسوفت في الحصول على أمر قضائي يمكّنها من الاستيلاء على النطاقات وإعادة توجيه حركة مرور البيانات من الأجهزة المتعرضة للخطر والمخترقة إلى مجرى اخر يعرف بـ “بالوعة بيانات sinkhole “.
تم إعداد العديد من النطاقات المسيطر عليها لتظهر كما لو أنها تنتمي إلى مايكروسوفت أو مقدمي خدمات أخرى مشهورة عبر الإنترنت ، مثل ياهو Yahoo , وتتضمن النطاقات التي تم الاستيلاء عليها : verification-live.com و outlook-verify.net و myaccount-services.net و yahoo-verify.net .
من المعروف أن المجموعة هذه كانت تستهدف النشطاء والصحفيين الذين يركزون على الشرق الأوسط ، والمنظمات الأمريكية (بما في ذلك المسؤولون الحكوميون) ، وبعض الكيانات الموجودة في إسرائيل والمملكة المتحدة والسعودية والعراق.
غالبًا ما تستخدم مجاميع ممثلي التهديدات هذه التصيد الاحتياليPhishing و الهندسة الاجتماعية Social Engineering لجذب الأفراد المستهدفين إلى مواقع الويب التي تحوي البرمجيات الخبيثة Malware. .من المعروف أيضًا أن مجاميع القرصنة هذه ترسل رسائل بريد إلكتروني لتنبيه المستلمين بمخاطر أمنية من أجل خداعهم لتسليم بيانات الدخول لحساباتهم الخاصة.
وقال توم بيرت Tom Burt ، نائب الرئيس لأمن وثقة الزبائن في شركة مايكروسوفت: “بينما استخدمنا تتبع اللتحليلات الأمنية اليومية لإيقاف هجمات “الفسفور” الفردية وإبلاغ الزبائن المتأثرين ، فإن الإجراء الذي نفّذناه الأسبوع الماضي مكّننا من السيطرة على مواقع الويب التي تعد أساسية لعمليات هذه المجموعة”. واضاف: “عملنا على تتبع الفسفور على مدى عدة سنوات ومراقبة نشاطه مكّننا من بناء قضية قانونية حاسمة وتنفيذ إجراءات الأسبوع الماضي بثقة مما قد يكون له تأثير كبير على البنية التحتية للمجموعة”.
استخدمت مايكروسوفت نفس الأسلوب لتعطيل عمليات مجموعة مرتبطة بروسيا تتبعها ايضاً معروفة بـ : APT28 و Pawn Storm و Sednit و Fancy Bear و Strontium. وتقول الشركة إنها استخدمت هذا النهج 15 مرة للاستيلاء على ما مجموعه 91 نطاقًا تستخدمها مجاميع ممثلي التهديد هذه ، بما في ذلك المجالات التي استخدمت على ما يبدو في الحملات المتعلقة بانتخابات التجديد النصفي لعام 2018 في الولايات المتحدة.
حذرت مايكروسوفت الشهر الماضي من أن مجموعة APT28 قد استهدفت 104 حساباً تابعاً لموظفي منظمات ديمقراطية في مختلف البلدان الأوروبية.
المصدر:
https://www.securityweek.com/microsoft-takes-control-99-domains-used-iranian-cyberspies
