> «الأيام» غرفة الأخبار:
ضاعفت جماعة الحوثي نشاطها التجسسي في اليمن وخارجه بشن هجمات إلكترونية تتضمن عمليات تصيد احتيالي وبرمجيات خبيثة لسرقة المعلومات.
واستهدف الحوثيون بهجمات جديدة منها هجوم "سي 2"، أحد أخطر أشكال الهجمات السيبرانية، وكالات إغاثية وإنسانية ورجال عسكريين في اليمن و6 دول أخرى غالبيتهم من المناهضين لمشروعها، بحسب تقارير دولية متخصصة في الأمن السيبراني صادرة أمس.
يأتي ذلك بعد نحو أكثر من عام من الكشف عن تشييد جماعة الحوثي فريقًا تجسسيًّا تحت اسم "أويل ألفا" تحت إدارة جهاز ما يسمى الأمن والمخابرات، الخاص بالانقلابيين، مهمته الرئيسية "التجسس على المناهضين مستغلًا بنية مؤسسة الاتصالات والإنترنت في صنعاء والحديدة".
وفي مايو 2023، نفذ الحوثيون هجمات على صحفيين وسياسيين من المناهضين لهم عبر إرسال روابط و«إيميلات» التصيد الاحتيالي، وكذلك تطبيقات تحتوي على برمجيات خبيثة للمستهدفين تتخفى تحت أسماء جهات إغاثية وإنسانية، وهو ما أكده لاحقًا خبراء يمنيون في الأمن السيبراني لـ"العين الإخبارية".
وأظهر تقرير صادر عن شركة الأمن السيبراني ريكورد فيوتشر الدولية أن فريق "أويل ألفا" التابع لمليشيات الحوثي لا يزال نشطًا وبكثافة في أعمال التجسس على وكالات الإغاثة والمستفيدين منها.
التقرير أكد استمرار نشاط مليشيات الحوثي من خلال فريقها المسمى "أويل ألفا" باستهداف "المنظمات الإغاثية والعاملين فيها والمستفيدين منها في اليمن من خلال روابط وتطبيقات تنتحل صفة هذه الوكالات الإنسانية بهدف سرقة البيانات والمعلومات السرية".
وتزامنا مع حملة اعتقالات واسعة شنها الانقلابيون على موظفي الإغاثة بينهم 18 في منظمات أممية، أكد التقرير أن "فريق أويل ألفا التابع للحوثيين لا يزال يركز بشكل كبير على استهداف هو الأوسع على المنظمات الإنسانية العاملة في اليمن وكذا في الشرق الأوسط".
وقال التقرير إنه "حدد 3 جهات إنسانية معترف بها عالميا من المحتمل أن يكون موظفوها قد استهدفوا من قبل أويل ألفا التابع للحوثيين وهي منظمة كير الدولية، والمجلس النرويجي للاجئين، ومركز الملك سلمان للمساعدات الإنسانية والإغاثة".
وأشار إلى أن "الهجمات الحوثية عملت في العادة على إنشاء بوابة إنترنت مزيفة تنتحل إمكانية تسجيل الدخول العامة بأسماء هذه المنظمات الإنسانية فيما كان الأهداف متحدثين باللغة العربية".
كما استهدف فريق القرصنة التابع للحوثيين الضحايا عبر برامج الدردشة المشفرة مثل واتس آب وتعامل بشكل مباشر مع الأهداف لتثبيت ملفات ضارة على نظام تشغيل الهواتف أندرويد واستخدم كالعادة أدوات الوصول عن بعد لتثبيت برامج التجسس المحملة مثل (SpyNote وSpyMax).
وكشفت شركة Lookout المتخصصة في أمن الهواتف المحمولة عن اكتشاف برمجية تجسس تُعرف باسم GuardZoo، تستهدف العسكريين في اليمن ودول في الشرق الأوسط.
وفق الشركة فقد رصدت نشاط هذه البرمجية التي تتميز بقدرتها على البقاء مخفية على أجهزة الهواتف النقالة المستهدفة.
وتستخدم البرمجية أسماء فئات مستوحاة من الحيوانات مثل AnimalCoop وMainZoo. وقد نسب باحثو Lookout هذا النشاط إلى جهة تهديد متحالفة مع الحوثيين في اليمن، بناءً على البيانات المستهدفة والبنية التحتية للقيادة والسيطرة.
يستخدم GuardZoo موضوعات عسكرية لجذب الضحايا.
وتُوزع GuardZoo عبر تطبيقات واتساب وواتساب للأعمال والتنزيل المباشر عبر المتصفح، مما يتيح للجهة المهاجمة نشر برمجيات خبيثة إضافية على الأجهزة المصابة. في أكتوبر 2022، تم اكتشاف هذه البرمجية بناءً على برمجية تجسس تجارية تُعرف باسم Dendroid RAT، وقد قامت Lookout بحماية مستخدميها منها منذ ما قبل 2022، حس الشركة المختصة.
وتعتمد GuardZoo على موضوعات عسكرية لجذب الضحايا، وتستهدف دولًا مثل اليمن والسعودية ومصر وعمان. وقد أبلغت Lookout عن هذه الاكتشافات إلى جوجل، التي أكدت عدم وجود تطبيقات تحتوي على هذه البرمجية على Google Play.
تقنيًا، تعتمد GuardZoo على Dendroid RAT، مع إضافة وظائف جديدة وإزالة وظائف غير مستخدمة. تستخدم البرمجية عنواني قيادة وسيطرة (C2)، أحدهما أساسي والآخر احتياطي، ويمكنها تلقي أكثر من 60 أمرًا خاصًا بـ GuardZoo.
وتستطيع GuardZoo أيضًا تنزيل ملفات DEX خارجية وتحميلها ديناميكيًا بدلًا من تحديث APK كامل، مع الاحتفاظ بالشيفرة في التطبيق الأساسي كإجراء احترازي. تستخدم البرمجية نفس مجالات DNS الديناميكية منذ أكتوبر 2019، والتي تحل إلى عناوين IP مسجلة لدى YemenNet.
وينسب باحثو Lookout هذه الحملة إلى جهة تهديد متحالفة مع الحوثيين في اليمن بناءً على وسائل الإغراء والسجلات المستهدفة والبنية التحتية للقيادة والسيطرة.
