اليمن

تصيد احتيالي وبرمجيات خبيثة.. الكشف عن تجسس حوثي عابر لحدود اليمن

تهامة 24 – العين الاخبارية

ضاعفت مليشيات الحوثي من حملاتها التجسسية في اليمن وخارجه بشن هجمات إلكترونية تتضمن عمليات تصيد احتيالي وبرمجيات خبيثة لسرقة المعلومات.

واستهدف الحوثيون بهجمات جديدة منها هجوم “سي 2″، أحد أخطر أشكال الهجمات السيبرانية، وكالات إغاثية وإنسانية ورجال عسكريين في اليمن و6 دول أخرى غالبيتهم من المناهضين لمشروعها، بحسب تقارير دولية متخصصة في الأمن السيبراني صادرة اليوم الثلاثاء.

يأتي ذلك بعد نحو أكثر من عام من الكشف عن تشييد مليشيات الحوثي فريقا تجسسيا تحت اسم “أويل ألفا” تحت إدارة جهاز ما يسمى الأمن والمخابرات، الخاص بالانقلابيين، مهمته الرئيسية “التجسس على المناهضين مستغلا بنية مؤسسة الاتصالات والإنترنت في صنعاء والحديدة”.

وفي مايو/أيار 2023، نفذ الحوثيون هجمات على صحفيين وسياسيين من المناهضين لهم عبر إرسال روابط و«إيميلات» التصيد الاحتيالي، وكذلك تطبيقات تحتوي على برمجيات خبيثة للمستهدفين تتخفى تحت أسماء جهات إغاثية وإنسانية، وهو ما أكده لاحقا خبراء يمنيون في الأمن السيبراني لـ”العين الإخبارية”.

خطر «أويل ألفا» يتضاعف

أظهر تقرير صادر عن شركة الأمن السيبراني ريكورد فيوتشر الدولية أن فريق “أويل ألفا” التابع لمليشيات الحوثي لا يزال نشطا وبكثافة في أعمال التجسس على وكالات الإغاثة والمستفيدين منها.

التقرير الصادر اليوم الثلاثاء، وطالعته “العين الإخبارية”، أكد استمرار نشاط مليشيات الحوثي من خلال فريقها المسمى “أويل ألفا” باستهداف “المنظمات الإغاثية والعاملين فيها والمستفيدين منها في اليمن من خلال روابط وتطبيقات تنتحل صفة هذه الوكالات الإنسانية بهدف سرقة البيانات والمعلومات السرية”.

وتزامنا مع حملة اعتقالات واسعة شنها الانقلابيون على موظفي الإغاثة بينهم 18 في منظمات أممية، أكد التقرير أن “فريق أويل ألفا التابع للحوثيين لا يزال يركز بشكل كبير على استهداف هو الأوسع على المنظمات الإنسانية العاملة في اليمن وكذا في الشرق الأوسط”.

وقال التقرير إنه “حدد 3 جهات إنسانية معترف بها عالميا من المحتمل أن يكون موظفوها قد استهدفوا من قبل أويل ألفا التابع للحوثيين وهي منظمة كير الدولية، والمجلس النرويجي للاجئين، ومركز الملك سلمان للمساعدات الإنسانية والإغاثة”.

وأشار إلى أن “الهجمات الحوثية عملت في العادة على إنشاء بوابة إنترنت مزيفة تنتحل إمكانية تسجيل الدخول العامة بأسماء هذه المنظمات الإنسانية فيما كان الأهداف متحدثين باللغة العربية”.

كما استهدف فريق القرصنة التابع للحوثيين الضحايا عبر برامج الدردشة المشفرة مثل واتس آب وتعامل بشكل مباشر مع الأهداف لتثبيت ملفات ضارة على نظام تشغيل الهواتف أندرويد واستخدم كالعادة أدوات الوصول عن بعد لتثبيت برامج التجسس المحملة مثل (SpyNote وSpyMax).

وفي عينة أخرى، تم تحليلها، استخدم قراصنة الحوثي هجوم «سي 2» للوصول إلى حاسوب الضحية، كما انتحلوا بوابة تسجيل دخول باسم “المجلس النرويجي للاجئين للحصول على معلومات سرية للعاملين والمستفيدين من الوكالة الذي تنشط باليمن”.

وأكد أن “التطبيقات التي استخدمها الفريق الحوثي أعاد توجيه متصفح الإنترنت الخاص بالهدف على الجهاز المحمول المصاب إلى صفحة سرقة بيانات الاعتماد، وهو ما يقود إلى أن الهدف كان التجسس على الهدف والوصول إلى حسابات مرتبطة بالمنظمات المتضررة”.

 وكانت ذات الشركة المتخصصة في الأمن السيبراني كشفت في مايو/ أيار 2023، عن قيام فريق أويل ألفا التابع للحوثيين بالتجسس على صحفيين وسياسيين مناهضين للمليشيات لتمتد مؤخرا للمنظمات الإنسانية العاملة في اليمن وخارجه.

استهداف العسكريين

في السياق، كشفت شركة “لوك أوت” الدولية عن جهة متحالفة مع مليشيات الحوثي برمجية تجسسية تم تسميتها “جارد زوو” تستهدف العسكريين بشكل خاص في اليمن و6 دول أخرى من بينهم خليجية ومصر والسعودية وتركيا، حيث تقيم كبرى الجاليات اليمنية.

وأكد تقرير حديث صادر عن الشركة المختصة بالكشف عن التهديدات الضارة والهجمات السيبرانية أن “المؤشرات تؤكد أن جهة متحالفة مع الحوثيين تقف وراء هذه البرمجية وأن معظم الضحايا في اليمن كانوا من القوى والمكونات المناهضة للمليشيات المدعومة إيرانيا”.

وأشار إلى أن شخصيات عسكرية كانت هدفًا لعملية لتجسس مستمرة عبر أداة جمع بيانات تعمل بنظام أندرويد وتسمى جارد زوو، ويعتقد أنها بدأت نشاطها في أكتوبر/تشرين الأول 2019، من قبل جهة متحالفة مع الحوثيين “استنادًا إلى إجراءات التطبيقات، وسجلات خادم القيادة والسيطرة (C2)، وبصمة الاستهداف، وموقع البنية التحتية للهجوم”.

ولفت إلى أن فريق القراصنة “استخدام الهندسة الاجتماعية لإرسال البرمجية عبر الواتساب ومتصفحات الهاتف المحمول، فيما تقوم البرمجية بجمع بيانات من جهاز الضحية مثل الصور والمستندات وبيانات الموقع الجغرافي ومسارات جي بي إس المحفوظة وتفاصيل الجهاز ومشغل شبكة الجوال واعدادات واي فاي وغيره”.

في حديث لـ”العين الإخبارية”، قال المختص اليمني في الأمن الرقمي فهمي الباحث إن “مليشيات الحوثي تشن هجماتها بشكل مركز عبر جمع معلومات مسبقة عن المستهدفين لتبدو البرمجيات الخبيثة وكأنها حقيقة مما يرفع احتمالية فتحها أو تنزيلها من الضحايا”.

وشدد الخبير اليمني على ضرورة “رفع مستوى الحذر أثناء استخدام الإنترنت، وعدم فتح الروابط المشبوهة أو الاستجابة لأي طلبات من أي جهات مشبوهة أو مجهولة”، داعيا إلى “تحديث التطبيقات والبرامج وأنظمة التشغيل المختلفة مع التأكيد على أهمية تفعيل خاصية التحقق الثنائي، ومتابعة كل مستجدات السلامة الرقمية”.

من جهته، قال المختص اليمني في الأمن الرقمي هائل القاضي لـ”العين الإخبارية”، إن “مليشيات الحوثي لجأت مؤخرا لاستخدام الهندسة الاجتماعية في عمليات التجسس عبر دراسة ما يمكن أن يجعل المستهدف يقوم بفتح الرابط الاحتيالي أو ثبيت تطبيقات ضارة (تجسسية) وفي الغالب تتم من أرقام دولية”.

وأشار إلى أن قراصنة الحوثي يعملون في تقييم المستهدف، فيما كانت جميع الروابط الخاصة بتنزيل التطبيقات الخبيثة للمتحدثين باللغة العربية، لافتا إلى أن “استهداف الوكالات الإغاثية يأتي في إطار مساعي المليشيات للصق تهمة التجسس بكل العاملين في هذه المنظمات تزامنا مع حملة قمع واسعة النطاق”.

وبعرض تهديد الهجمات الإلكترونية من قبل فريق أويل ألفا التابع للحوثيين العاملين في المنظمات الإنسانية ومنظمات حقوق الإنسان والصحفيين والسياسيين والمناهضين للانقلابيين للخطر في ظل بيئات أمنية معقدة وصعبة تعيشها هذه البلاد، وفقا لذات المصدر.