صورة مقتطعة من محادثات التجسس التي أرسلتها مجموعة القرصنة لبعض ضحاياها كما نشرتها
18-05-2023 الساعة 11 صباحاً بتوقيت عدن
سوث24 | عدن
قالت شركة "ريكورد فيوتشير" المتخصصة بالأمن السيبراني أنّ مجموعة قرصنة معروفة باسم (OilAlpha) لها صلات محتملة بجماعة الحوثيين في اليمن، استهدفت أشخاص يمنيين ووسائل إعلام ومنظمات إنسانية غير ربحية في شبه الجزيرة العربية عبر تطبيق "واتس اب" كجزء من حملة تجسس رقمية.
ووفقا لتقرير موسّع نشرته الشركة قبل أمس الثلاثاء، تضمنت عمليات المجموعة استهداف الأشخاص الذين كانوا يشاركون في المشاورات التي رعتها السعودية في أبريل 2022. واستخدم القراصنة تطبيقات "أندرويد" مخادعة تحاكي الكيانات المرتبطة بالحكومة السعودية، ومنظمة إنسانية إماراتية.
كما انتحلت مجموعة القرصنة وثائق "مزورة" منسوبة لقوات الحزام الأمني، التابعة للمجلس الانتقالي الجنوبي في عدن. ولاحظ مركز سوث24 أنّ هذه الوثائق، التي تضمنت قرارات منسوبة لقائد القوة، محسن الوالي، كان هدفها، كما يبدو، التحريض ضد المجلس الرئاسي المشكّل حديثا. وتم إرفاق هذه الخطابات إلى جانب تطبيق أندرويد (تجسسي)، ينتحل اسم منظمة.
وتعتقد الشركة "ريكورد فيوتشر" أنّ مجموعة القرصنة "OilAlpha" تدعم أجندة الحوثيين. وقالت أنّها استخدمت البنية التحتية المرتبطة بالمؤسسة العامة للاتصالات في اليمن، الخاضعة مباشرة لسيطرة سلطات الحوثيين. وقالت إنّ تم تحديد جميع نطاقات "DNS" الدينماكية إلى عنواين "IP" تتبع الشركة اليمنية العام للاتصالات.
النطاقات التي استخدمتها مجموعة القرصنة لاستهداف ضحاياها، تشير إلى المؤسسة العامة للاتصالات التي يحتلها الحوثيون (مقتطع من تقرير ريكورد فيوتشر SOUTH24".
وأعادت الشركة المتخصصة برصد التهديدات السيبرانية، صورا لبعض تلك المحادثات على تطبيق واتس اب، كانت قد نشرتها في أبريل 2022 المنصة الجنوبية المعروفة على فيسبوك "عدن حرة".
وبحسب الشركة المتخصصة بالأمن السيبراني "استخدمت OilAlpha برامج مراسلة مشفرة مثل واتس اب لشن هجمات هندسة اجتماعية ضد أهدافها. كما استخدمت أيضًا مختصرات روابط "يو آر ال". ووفقًا لتقييم الضحايا، يبدو أنّ غالبية الكيانات المستهدفة كانت من المتحدثين باللغة العربية، الذين يستخدمون هواتف مشغلة بنظام "اندرويد".
ووفقا للشركة استهدفت مجموعة القرصنة، أجهزة بعض الممثلين السياسين والصحفيين في مشاورات الرياض، بأدوات الوصول عن بُعد (RATs) لتثبيت برامج تجسس مثل SpyNote و SpyMax.
من ناحيته، قال موقع "سيبرسكوب" المتخصص بالأمن السيبراني، أنه لم يكن هناك أي مؤشر على مدى نجاح عمليات مجموعة القرصنة " OilAlpha". وتعتقد الشركة أن المجموعة انتحلت أيضًا أسماء منظمات سعودية مثل مؤسسة الملك خالد ومركز الملك سلمان للإغاثة والأعمال الإنسانية ومشروع مسام لنزع الألغام. ولاحظ مركز سوث24 أنّ المجموعة انتحلت أسماء جهات رسمية في مجلس التعاون الخليجي.
ولاحظ مركز سوث24 أنّ من بين المستهدفين شخصيات حضرمية. وتضمنت إحدى المحادثات معلومات عن مبلغ مالي "200 مليون دولار" زعمت أنه من أجل إعادة إعمار اليمن. وتم تعريف الرسالة باسم "هدى القحطاني" كممثلة لما وصفتها "لجنة الدعم للجمهورية اليمنية في للأمانة العام لمجلس التعاون الخليجي".
وقالت ريكورد فيوتشر إنّ المجموعة انتحلت أيضًا طلبات منظمات غير حكومية مثل صندوق الطوارئ التابع للأمم المتحدة للأطفال والمجلس النرويجي للاجئين وجمعية الهلال الأحمر. وهذه المنظمات تقوم إمّا بإدارة أو تنسيق الاستجابة للكوارث والعمل الإنساني في اليمن.
وأشارت ريكورديد فيوتشر إلى أنه لا توجد أدلة كافية لتحديد ما إذا كان قراصنة يمنيون هم من قاموا بالهجوم، أو كانت مجموعات تهديد أخرى في المنطقة.
وأشارت إلى أنّ "جهات التهديد الخارجية مثل حزب الله اللبناني أو العراقي، أو حتى المشغلين الإيرانيين الذين يدعمون [الحرس الثوري الإسلامي]، ربما قادوا نشاط التهديد هذا" ، استنادًا إلى حقيقة أن هذه الجماعات لها مصلحة راسخة في نتيجة الحرب في اليمن.
- مركز سوث24 للأخبار والدراسات، سيبرسكوب
قبل 3 أشهر