استهدفت مجموعة القرصنة المعروفة باسم (OilAlpha) التي لها صلات محتملة بحركة الحوثي اليمنية، جماعات انسانية ووسائل اعلام ومنظمات غير ربحية في شبه الجزيرة العربية عبر (WhatsApp) كجزء من حملة تجسس رقمية، وفقًا لتقرير جديد صادر عن شركة الأمن السيبراني (Recorded Future.)
وأشارت الشركة إلى أنه في الفترة من أبريل/ نيسان إلى مايو/ آيار 2022 ، في الوقت الذي استضافت فيه المملكة العربية السعودية مفاوضات بين القادة اليمنيين المشاركين في الحرب الأهلية المستمرة منذ ما يقرب من عقد من الزمان، أرسلت شركة (OilAlpha) ملفات Android ضارة عبر WhatsApp إلى الممثلين السياسيين والصحفيين.
و يبدو أن مجموعة القرصنة تفضل استخدام أدوات الوصول عن بعد لتثبيت برامج التجسس المحملة مثل(SpyNote و SpyMax).
وقالت شركة الأمن السيبراني (Recorded Future) : إن شركة (OilAlpha) ستستمر على الأرجح في استخدام التطبيقات الخبيثة المستندة إلى Android "لاستهداف الكيانات التي تشترك في الاهتمام بالتطورات السياسية والأمنية في اليمن والقطاعات الإنسانية والمنظمات غير الحكومية التي تعمل في اليمن."
و يتضمن كل من SpyNote و SpyMax القدرة على الوصول إلى "سجلات المكالمات ، وبيانات الرسائل القصيرة ، ومعلومات الاتصال ، ومعلومات الشبكة ، والوصول إلى كاميرا الجهاز والصوت ، بالإضافة إلى بيانات موقع GPS من بين أمور أخرى كما أشار التقرير.
وبالمثل تركز "OilAlpha's" على هواتف Android المتوفرة على نطاق واسع في المنطقة.
و لم تنسب شركة (Recorded Future) شركة (OliAlpha)إلى جماعة الحوثيين.
و ليس لدى (Recorded Future) أي مؤشر على مدى نجاح عمليات (OilAlpha) منذ أن بدأت في تتبع الاثر والمراقبة.
وتعتقد الشركة أن المجموعة انتحلت أيضًا منظمات سعودية مثل مؤسسة الملك خالد ومركز الملك سلمان للإغاثة والأعمال الإنسانية ومشروع مسام الذي يزيل الألغام الأرضية في المنطقة، حسبما أشار التقرير بعد العثور على رموز مع تلك المنظمات في البرامج الضارة.
وقالت أيضًا إن المجموعة انتحلت في طلبات منظمات غير حكومية مثل صندوق الطوارئ التابع للأمم المتحدة للأطفال والمجلس النرويجي للاجئين وجمعية الهلال الأحمر، و تقوم كل هذه المنظمات إما بإدارة أو تنسيق الاستجابة للكوارث والعمل الإنساني في اليمن.
وأضافت: "باستثناء اكتشاف معلومات جديدة أو تحولات جيواستراتيجية أوسع من المرجح أن تستمر (OilAlpha) في استخدام التطبيقات الخبيثة المستندة إلى Android لاستهداف الكيانات التي تشترك في الاهتمام بالتطورات السياسية والأمنية في اليمن والقطاعات الإنسانية والمنظمات غير الحكومية التي تعمل في اليمن."
كما لاحظت (Recorded Future) أن الجماعة ربما لم تفعل الكثير لإخفاء بنيتها التحتية، حيث قالت شركة ريكورديد فيوتشر إن شركة (OilAlpha) تستخدم في الغالب شركة الاتصالات العامة اليمنية التي من المحتمل أن تكون تحت سيطرة سلطات الحوثيين. بالإضافة إلى ذلك استخدمت المجموعة بشكل شبه حصري DNS الديناميكي ، والذي كان بمثابة مؤشر آخر للإسناد.
وقالت الشركة: "إنها لا تستطيع التأكد من سبب اعتماد المجموعة على البنية التحتية التي تبدو ضعيفة في الأمن التشغيلي، لكنها لم تتمكن من العثور على أي دليل مماثل يشير إلى بنية تحتية مخترقة أو علامة زائفة.
و قال (جون كوندرا) -مدير التهديدات الإستراتيجية والمستمرة في Insikt Group في Recorded Future- : "لا يمكننا التأكد من أنه لم يكن هناك شكل من أشكال التنازل عن تلك الأصول وبالتالي يستخدمها الفاعلون الأجانب، و لا يمكننا التأكد مما إذا كانوا يبيعون أصول شركتهم بالفعل، لذلك يمكن أن يكون شخص آخر يستخدمها عن قصد للمساعدة.
و أشارت (Recorded Future) إلى أنه لا توجد أدلة كافية لتحديد ما إذا كان العملاء اليمنيون مسؤولين عن حملة (OilAlpha) أو ما إذا كانت مجموعات التهديد الأخرى في المنطقة قد تكون وراء الحملة المستمرة.
وتشير (Recorded Future) إلى أن "جهات التهديد الخارجية مثل حزب الله اللبناني أو العراقي ، أو حتى الإيرانيين الذين يدعمون [الحرس الثوري الإسلامي] ، ربما يكونوا قادوا نشاط التهديد هذا" وذلك استنادًا إلى حقيقة أن هذه الجماعات لها مصلحة راسخة في استمرار الحرب الاهلية في اليمن.