تقرير استخباراتي أمريكي يكشف كيف تساعد إيران الحوثيين في غسل الأموال والتجسس على اليمنيين من خلال "يمن نت" و"MTN"

أكد تقرير صادر عن مؤسسة "ريكيورديد فيوتشر" الأمريكية المتخصصة في أمن شبكات المعلومات، إن المخابرات الإيرانية ساعدت المتمردين الحوثيين في السيطرة على الفضاء الالكتروني في الحرب الأهلية الوحشية في اليمن، مما يسمح للميليشيا بقيادة مزود خدمة الانترنت الرئيس في البلاد، وفرض الرقابة على على الانترنت، وتغيير المواقع الحكومية، وجني الأموال من الحسابات السرية.

ويوضح محللو الاستخبارات، في هذا التقرير، تفاصيل جهود الحوثيين وداعميهم الإيرانيين للسيطرة على شبكة "يمن نت" -وهي خدمة الانترنت الرئيسة في البلاد. والسيطرة على يمن نت، سمحت للحوثيين بإغلاق شبكة الانترنت بالكامل عبر أجزاء من البلاد.

اقرأ أيضاً: باحثون في استخبارات التهديد الالكتروني يكشفون لجوء مليشيا الحوثي لشركة كندية لمساعدتهم في الانترنت

ووجد خبراء مؤسسة "ريكيورديد فيوتشر" نشاطاً إيرانياً بعد أن هاجمت وحدة تابعة لمليشيا الحوثيين اسمها "الجيش اليمني الالكتروني" الأجهزة الحكومية في المملكة العربية السعودية.

وأشار التقرير إلى أن "الجيش الإلكتروني اليمني" مرتبط منذ ذلك الحين بإيران.

وتفيد نتائج التحقيق التي توصل إليها التقرير، أن جماعة الحوثي تفرض رقابة على المحتوى الخاص بالمواطنين اليمنيين الذين يستخدمون المزود الخاضع للسيطرة الحوثية "يمن نت"، وذلك من خلال خادمين للتخزين المؤقت، هما (cache0.yemen.net[.]ye)، وكذلك (cache1.yemen.net[.]ye)، ما يسمح للمجموعة بمراقبة أو اعتراض حركة المرور عبر الإنترنت بشكل كامل.

وبالإضافة إلى السيطرة على "يمن نت" و”تليمن" وجميع المزودات الأخرى القائمة في صنعاء في سبتمبر 2014، فرضت جماعة الحوثي سيطرتها على مزود خدمة الهاتف المحمول "إم تي إن يمن" (MTN Yemen)، وذلك في يونيو 2018. وهكذا، أصبح لدى الحوثيين إمكانية الوصول إلى جميع أدوات التحكم الخاصة بالدخول والرقابة من أجل عرقلة أو رصد نشاطات الإنترنت الخاصة بالسكان القاطنين في المناطق الخاضعة لسيطرة المجموعة. لكن المقلق أكثر هو قدرة الحوثيين على المراقبة والتجسس على حسابات المواطنين سواء كانوا في وضع الاتصال أو عدم الاتصال.

وتفيد المعلومات أن الحوثيين استخدموا المزودات لمراقبة أو حظر تطبيقات مثل "واتس اب" و"فيس بوك" و"تويتر" و"تلغرام". علاوة على ذلك، اتخذ الحوثيون خطوات لقطع الإنترنت بالكامل عبر مزودات الإنترنت الخاضعة لسيطرتها في الكثير من المناطق.

في ديسمبر 2017، شرعت وزارة الاتصالات وتكنولوجيا المعلومات الخاضعة للسيطرة الحوثية بقطع الإنترنت بشكل كامل لمدة 30 دقيقة في أوقات متباينة. وبحسب التحقيق، قام الحوثيون كذلك بتعطيل الوصول إلى الإنترنت في مدينة عدن. ووجدت تقارير عديدة أن الحوثيين قاموا بقطع أكثر من 80% من خطوط الألياف الضوئية عن "يمن نت"، واتبعوا نهجا أكثر وحشية للسيطرة على المعلومات في جميع أنحاء البلاد. ومن الجدير ذكره أن بعض المواطنين استخدموا متصفحات مثل VPN وTor من أجل الهروب من رقابة الحوثيين، إلا أن ذلك لم يضمن لهم الأمن والسلامة.

المزيد: رويترز تكشف عن أكثر من 70 موقعاً إلكترونياً تديرها المخابرات الإيرانية في 15 دولة منها اليمن

وقد استطاعت "ريكورديد فيوتشر" تتبع نشاطات مشبوهة داخل البنية التحتية للإنترنت في اليمن، ووجدت أن مزود "يمن نت" الخاضع للسيطرة الحوثية يزرع في الخادم (ns1.yemen.net[.]ye) نموذج "تندا باكدور" (Tenda-Backdoor) من أجل إجراء أوامر عن بعد في أجهزة الراوتر المستخدمة من قبل المواطنين، وذلك باستخدام ثغرة متعارف عليها بالرمز "CVE-2017-16923".

علاوة على ذلك، فإن الخوادم التي يسيطر عليها الحوثيون (82.114.162.66) و(82.114.162.10)، استضافت أكثر من 500 موقع حكومي يمني حتى يونيو 2018، وزرعت بها ثغرات مثل (CVE-2003-1582) ،(CVE-2009-2521) ،(CVE-2008-1446)، من أجل التجسس على المستخدمين عبر الأنظمة المذكورة.

وفي هذا السياق، استغلت المليشيا استيلاءها على "يمن نت" وكذلك "نطاق .ye" من أجل السيطرة على المواقع الإلكترونية الحكومية، بغرض تمثيل ما تسميه "حكومة الحوثي" عبر محتويات تلك المواقع. على سبيل المثال، يحتوي موقع وزارة الخارجية اليمنية على قائمة محدثة حول الوزارة الحالية التي يقودها الحوثي.

كما استطاع التقرير أن يحدد عددا من خوادم التحكم الأساسية (command and control servers) المستخدمة من قبل الحوثيين من أجل الوصول إلى معلومات المستخدمين عن بعد، باستخدام برامج خبيثة تشمل "تروجان" و"حصان طراودة"، وكذلك برمجيات مثل (Bozok) و(DarkComet) و(NetBus).

كما لاحظ التقرير زيادة كبيرة في انتشار برامج ضارة في المزودات العاملة في المناطق الحوثية، شملت تطبيقات "أندرويد" مزيفة، تستطيع التجسس بشكل كامل على الأجهزة الإلكترونية. وقد تم التعرف على برمجيات خبيثة كثيرة كذلك، شملت (AhMyth) و(DroidJack) و(Hiddad) و(Dianjin)، وكذلك العديد من التطبيقات المزيفة التي تستطيع التجسس على المستخدمين بشكل مباشر، تشمل الاطلاع على جميع الرسائل القصيرة والمكالمات وسجلات التصفح وغيرها من النشاطات. كما تستطيع بعض البرامج الخبيثة المرصودة أن تتحكم بالتطبيقات المثبتة على الأجهزة المحمولة، وأن تشغل خدمات التصوير وتسجيل الصوت حتى لو كانت شاشات الهواتف مغلقة.

كما ظهرت مخاوف لدى محللي الاستخبارات، تتعلق بغسل الأموال خلال ما يقرب من 1000 محاولة لإنشاء عملة "التعدين" مثل بيتكوين.

وبالإضافة إلى استخدام الإنترنت لجمع معلومات استخبارية، وجد التقرير أن المزودات الحوثية تستخدم 973 خادما لتعدين العملات الرقمية داخل هواتف بعض المستخدمين، عبر استهداف وحدات المعالجة المركزية داخل تلك الأجهزة، باستخدام برمجيات "جافا سكربت".

وبحسب التقرير، جرت هكذا عمليات عبر مزود "يمن نت" باستخدام الثغرة (AS30873) عبر النطاق (dynamic.yemennet[.]ye). وما يثير الانتباه هو أن جميع نطاقات الاستضافة التي جرت بها عمليات القرصنة تمت عبر أجهزة راوتر من طراز (Mikro Tik)، من خلال المزود "يمن نت" في صنعاء.

وقد استخدم القراصنة الإيرانيون والروس والكوريون الشماليون بشكل متزايد الحسابات السرية الغامضة وغير المنظمة إلى حد كبير لتمويل مجموعة من الأنشطة على الإنترنت، بالإضافة إلى التحايل على العقوبات الدولية.

وفي اليمن، وفقاً للتقرير، حاولت مليشيا الحوثيون استخدام العملات التجريدية لغسل الأموال وجني الأموال من الحسابات السرية.