تحقيقنا في تسريب بيانات ANCFCC [تقرير سريع]

في 2 يونيو 2025، قام الجهة الفاعلة في التهديد المعروفة باسم جبروت أعلن المسؤولية عن تسرب بيانات من الوكالة الوطنية للمحافظة العقارية في المغرب (ANCFCC). يبدو أن هذا الحادث، الذي تم الإعلان عنه في منتدى الويب المظلم DarkForums، ذو دوافع سياسية، وينبع من توترات إقليمية. ويأتي هذا الهجوم في إطار موجة أوسع من الهجمات السيبرانية المستهدفة ضد كيانات مغربية لوحظت مؤخرًا.

هل أنت مهتم بهذا الخبر المتطور؟ تفضل بالاطلاع على تقريرنا السابق في أبريل عن التسريب المتعلق بالصندوق الوطني للضمان الاجتماعي في المغرب.

ماذا حدث؟

جبروت, ، وهو جهة فاعلة خبيثة معروفة بتاريخ في استهداف الكيانات المغربية، قام بإنشاء سلسلة تغريدات على DarkForums بعنوان “المغرب – الوكالة الوطنية للمحافظة العقارية والمسح العقاري والخرائط (ANCFCC) – قواعد البيانات الكاملة.”أكد الممثل أن هذا الإجراء كان ردًا مباشرًا على “الدعاية المعادية للجزائر” التي نظرت إليها وسائل الإعلام المغربية. جاء هذا الحدث وسط فترة من التوترات الجيوسياسية المتزايدة وتصاعد الهجمات السيبرانية ضد المنظمات المغربية.

ما هي البيانات التي سربها جابر-روت؟

وفقاً ل جبروت’يدعي المنشور الذي نشره مستخدم في DarkForums أن البيانات المسربة من ANCFCC تحتوي على:

• مجلد يحتوي على عينات لأكثر من 10,000 شهادة عقارية بصيغة PDF، يُزعم أنها من قاعدة بيانات تضم أكثر من 10 ملايين.
• مجلد يحتوي على عينات من 20 ألف وثيقة متنوعة، بما في ذلك عقود البيع/الشراء، ووثائق الأحوال المدنية، وبطاقات الهوية/جوازات السفر، والوثائق المصرفية. يدعي الجهة الفاعلة أن قاعدة البيانات الكاملة تحتوي على أكثر من 4 ملايين وثيقة وتتجاوز 4 تيرابايت من البيانات.
• مجلد يحتوي على وثائق حساسة للغاية لمسؤولين مغاربة رفيعي المستوى وشخصيات هامة، مع ذكر اسم محمد ياسين المنصوري، رئيس جهاز الاستخبارات الخارجية.

مبدئيا،, جبروت وقدمت روابط لعينتين، “كبار الشخصيات” و“الوثائق”، على موقع لمشاركة المستندات. تم حذف هذه الملفات لاحقًا بواسطة خدمة الاستضافة. عقب تعليقات المستخدمين،, جبروت شارك رابطًا جديدًا لعينات “كبار الشخصيات” فقط. احتوت هذه العينة على أربعة مجلدات تحمل أسماء “فوزي لقجع”، “محمد ياسين المنصوري”، “ناصر بوريطة”، و“راغب أمين”، وتضمنت نسخًا من وثائق الهوية والشهادات وسجلات المعاملات العقارية.

وينشط الممثل أيضًا على قناة تيليجرام جديدة (t[.]me/jabarootdz2)، تم إنشاؤها بعد حذف قناته الأصلية. حتى وقت كتابة هذا التقرير، تم مشاركة 24 مستندًا على هذه القناة، والتي تم التأكيد عليها كرد فعل على “الدعاية الانتهازية” المتصورة ضد الجزائر.

محاولات من جبروت لمشاركة الـ “ANCFCC – شهادات ملكية.zip” و “قوات الدفاع الكتالوني الوطنية_المستندات” تم أيضاً مواجهة إزالة أو تنزيلات غير مكتملة لملفات في مجلدات عبر مواقع أخرى لمشاركة الملفات. تمكنا من الحصول على ملف مضغوط غير مكتمل بحجم 4.8 غيغابايت من مجلد “المستندات”، والذي يبدو أنه يحتوي على ما يقرب من 20,000 ملف PDF. التحليل الإضافي لمحتوياته مستمر.

ما هو مدى شرعية تسريب جباروت؟

شرعية التسريب الكامل، كما يدعي جبروت, ، تم استجوابه من قبل المستخدمين على DarkForums. بدأ الفاعل في البداية بعنوان “قاعدة بيانات كاملة” لكنه فشل في مشاركة مجموعة البيانات الكاملة. وقد دفع هذا بعض المستخدمين إلى اقتراح أن جبروت قد يقتصر الوصول على عدد محدود من المستندات بدلاً من قاعدة بيانات كاملة. علق أحد المستخدمين أيضًا بأن التسريب قد لا يكون مباشرًا من ANCFCC. لم تجد تحليلاتنا أي ملفات خبيثة ذات تنبيه عالٍ ضمن عينة “VIPs”، على الرغم من أن لقطة شاشة من VirusTotal شاركها مستخدم منتدى أشارت إلى وجود حصان طروادة في ملف من العينة الثانية، والذي لم نتمكن من الوصول إليه. تم في النهاية إزالة موضوع DarkForums نفسه من قسم “قواعد البيانات” من قبل مشرف بسبب الروابط المعطلة. يتطلب الأمر مزيدًا من التحقيق لتقييم هذه الادعاءات بالكامل ومدى الاختراق المنسوب إلى جبروت.

تحليل السياق: هجمات سيبرانية حديثة على المغرب

الحادثة التي تتعلق بـ جبروت ليس معزولاً. بين 1 يونيو و 3 يونيو 2025، اكتشفت خدماتنا 21 منشورًا وهجومًا استهدف المغرب من قبل جهات فاعلة مختلفة، بما في ذلك مجموعة Keymous+. وكان معظمها هجمات حجب الخدمة (DDoS) ومحاولات وصول أولية، نفذتها Keymous+ بشكل أساسي، ضد كيانات حكومية مغربية.

تحدث هذه الهجمات في مشهد جيوسياسي معقد، حيث تتزامن أنشطة ’كيموس+" المناهضة للصهيونية مع تقارب العلاقات بين المغرب وإسرائيل. في الوقت نفسه، جهات فاعلة مثل جبروت استغلال التوترات بين المغرب والجزائر حول قضية الصحراء الغربية كأساس لهجماتهم.

تشمل الكيانات المغربية الرئيسية المستهدفة خلال هذه الفترة:

ملفات الجهات الفاعلة الخبيثة

ما هي المعلومات الاستخباراتية الأخرى التي تحتاج إلى معرفتها؟ إليك ملخص للملفات المرتبطة التي استحوذت على الاهتمام فيما يتعلق بهذا الهجوم.

• كيموس+مجموعة قراصنة متخصصة في هجمات الحرمان من الخدمة الموزعة (DDoS)، تستهدف الدول المؤيدة لأوكرانيا والمؤيدة للصهيونية. وهم معروفون بتجنيد المواهب البرمجية واستغلال الثغرات الأمنية.
• ر3يممثل جديد، تم إنشاء الحساب في يونيو 2025، متخصص في تسريبات البيانات.
• جبروت: يُعرف أيضًا باسم جابر الروت - دي زد، ويركز هذا الجهادي بشكل أساسي على تسريبات البيانات ولديه سجل في استهداف المغرب، بما في ذلك CNSS في أبريل 2025، مما أثر على حوالي 2 مليون فرد. قد يكون أصلهم من الجزائر.
• بابا ييجىممثل جديد، تم إنشاء الحساب في مايو 2025، متخصص في تسريبات البيانات.

بينما توجد ارتباطات مباشرة بين Keymous+ وجهات فاعلة أخرى مثل جبروت لا يمكن تأكيد، تشارك جبروت‘هجوم ‘s المنسوب لـ Ghost الجزائر، والذي أعادت Keymous+ نشره أيضًا، يشير إلى تنسيق محتمل، وإن كان بدوافع مختلفة.

إنهاء

النشاط الأخير جبروت تكشف الهجمات ضد ANCFCC عن مشهد مستمر وذو دوافع سياسية للتهديدات السيبرانية التي تستهدف المغرب. تتطلب الطبيعة الدورية لهذه الهجمات، عقب حادثة CNSS، مراقبة مستمرة ومواقف دفاعية قوية للمنظمات العاملة في هذه المنطقة. سنواصل تتبع هذه التهديدات المتطورة لتزويد عملائنا بأحدث استخبارات التهديدات.

عن المؤلف

سايبل أنجل رياكت

أورليث هي خبيرة استراتيجية في تسويق المحتوى بين الشركات ومقرها باريس، وهي متخصصة في الأمن السيبراني والتكنولوجيا، وتتمتع بخبرة عميقة في تحسين محركات البحث، وتحسين محركات البحث، والتخطيط التحريري، وإدارة نظام إدارة المحتوى. بعد أن قادت المحتوى في شركات مثل CybelAngel و PhantomBuster، تساعد أورليث العلامات التجارية التكنولوجية على إنشاء استراتيجيات محتوى تعزز الظهور العضوي وثقة المشتري في الأسواق التنافسية.

اقرأ كل المقالات