اليمن الجمهوري
كشف تقرير جديد صادر عن شركة الأمن السيبراني Recorded ، عن امتلاك الحوثيين شبكة تجسس تمارس القرصنة على مؤسسات ومنظمات إعلامية وأخرى غير ربحية في شبه الجزيرة العربية.
وبحسب ما نقلته وكالة “سكوب نيوز الأمريكية”، فإن التقرير أشار إلى أن المجموعة تعرف باسم OilAlpha، المرتبطة بالحوثيين استهدفت مجموعات إنسانية ووسائل إعلامية ومنظمات غير ربحية في شبه الجزيرة العربية عبر واتساب كجزء من حملة تجسس رقمية.
وأشارت الشركة إلى أنه في الفترة من أبريل إلى مايو 2022، في الوقت الذي استضافت فيه المملكة العربية السعودية مفاوضات بين القادة اليمنيين المشاركين في الحرب الأهلية المستمرة منذ ما يقرب من عقد من الزمان ، أرسلت شركة OilAlpha ملفات Android ضارة عبر WhatsApp إلى الممثلين السياسيين والصحفيين. يبدو أن مجموعة القرصنة تفضل استخدام أدوات الوصول عن بعد لتثبيت برامج التجسس المحمولة مثل SpyNote و SpyMax.
وقالت الشركة إن شركة OilAlpha ستستمر على الأرجح في استخدام التطبيقات الخبيثة المستندة إلى Android “لاستهداف الكيانات التي تشترك في الاهتمام بالتطورات السياسية والأمنية في اليمن والقطاعات الإنسانية والمنظمات غير الحكومية التي تعمل في اليمن.”
يتضمن كل من SpyNote و SpyMax القدرة على الوصول إلى “سجلات المكالمات ، وبيانات الرسائل القصيرة ، ومعلومات الاتصال ، ومعلومات الشبكة ، والوصول إلى كاميرا الجهاز والصوت ، بالإضافة إلى بيانات موقع GPS ، من بين أمور أخرى” ، كما أشار التقرير. وبالمثل ، تركز OilAlpha’s على هواتف Android المتوفرة على نطاق واسع في المنطقة.
لم تنسب شركة Recorded Future شركة النفط ألفا إلى جماعة الحوثيين.
ليس لدى Recorded Future أي مؤشر على مدى نجاح عمليات OilAlpha منذ أن بدأت في تتبع الزي. وتعتقد الشركة أن المجموعة انتحلت أيضًا منظمات سعودية مثل مؤسسة الملك خالد ومركز الملك سلمان للإغاثة والأعمال الإنسانية ومشروع ماسام الذي يزيل الألغام الأرضية في المنطقة ، حسبما أشار التقرير بعد العثور على رموز مع تلك المنظمات في البرامج الضارة.
قالت ريكورديد فيوتشر أيضًا إن المجموعة انتحلت أيضًا في طلبات منظمات غير حكومية مثل صندوق الطوارئ التابع للأمم المتحدة والمجلس النرويجي للاجئين وجمعية الهلال الأحمر. تقوم كل هذه المنظمات إما بإدارة أو تنسيق الاستجابة للكوارث والعمل الإنساني في اليمن.
“باستثناء اكتشاف معلومات جديدة أو تحولات جيواستراتيجية أوسع ، من المرجح أن تستمر OilAlpha في استخدام التطبيقات الخبيثة المستندة إلى Android لاستهداف الكيانات التي تشترك في الاهتمام بالتطورات السياسية والأمنية في اليمن والقطاعات الإنسانية والمنظمات غير الحكومية التي تعمل في اليمن ،” قال المستقبل.
يبدو أن الجماعة لم تفعل الكثير لإخفاء بنيتها التحتية. قالت شركة ريكورديد فيوتشر إن شركة OilAlpha تستخدم في الغالب شركة الاتصالات العامة اليمنية التي من المحتمل أن تكون تحت سيطرة سلطات الحوثيين. بالإضافة إلى ذلك ، استخدمت المجموعة بشكل شبه حصري DNS الديناميكي ، والذي كان بمثابة مؤشر آخر للإسناد ، لاحظ Recorded Future.
قالت الشركة إنها لا تستطيع التأكد من سبب اعتماد المجموعة على البنية التحتية ذات الأمن التشغيلي الضعيف على ما يبدو ، لكنها لم تتمكن من العثور على أي دليل مماثل يشير إلى بنية تحتية مخترقة أو علامة زائفة.
قال جون كوندرا ، مدير التهديدات الإستراتيجية والمستمرة في Insikt Group في Recorded Future: “لا يمكننا التأكد من أنه لم يكن هناك شكل من أشكال التنازل عن تلك الأصول وبالتالي يستخدمها الفاعلون الأجانب.” “لا يمكننا التأكد مما إذا كانوا قد يبيعون بنيتهم التحتية بالفعل ، لذلك يمكن أن يكون شخص آخر يستخدمها عن قصد للمساعدة ، من المحتمل أن يكون واضحًا ، بمعرفتهم ضد أهداف مصالحهم.”
أشارت ريكورديد فيوتشر إلى عدم وجود أدلة كافية لتحديد ما إذا كان العملاء اليمنيون مسؤولين عن حملة OilAlpha أو ما إذا كانت مجموعات التهديد الأخرى في المنطقة قد تكون وراء الحملة المستمرة.
ويشير ريكورديد فيوتشر إلى أن “جهات التهديد الخارجية مثل حزب الله اللبناني أو العراقي ، أو حتى المشغلين الإيرانيين الذين يدعمون [الحرس الثوري الإسلامي] ، ربما قادوا نشاط التهديد هذا” ، استنادًا إلى حقيقة أن هذه الجماعات لها مصلحة راسخة في نتيجة الحرب الاهلية.
