احمد باطبی
کمتر از دو هفته پیش، پلیس فدرال آمریکا اعلام کرد منشاء ایمیلهای جعلی تهدیدآمیزی که دست کم در چهار ایالت به حامیان نماینده «حزب دموکرات» در انتخابات ریاستجمهوری آمریکا ارسال شده، ایران است.
در این ایمیلهای جعلی که به نام یک گروه دستراستی در آمریکا به نام «پسران سربلند» ارسال شده است، حامیان حزب دمکرات تهدید شدهاند که اگر به «ترامپ» رای ندهند، سر و کارشان با گروه اعضای این گروه خواهد بود.
تصویری از ایمیلهای جعلی ارسال شده تحت عنوان گروه «پسران سربلند»
این که چهطور اطلاعات رایدهنگان حامیان نامزد ریاستجمهوری حزب دموکرات به دست ارسالکنندگان این ایمیلها افتاده، پرسشی است که «جان رتکلیف»، مدیر امنیت ملی آمریکا (DNI)، در کنفرانس روز چهارشنبه ۳۰مهر۱۳۹۹ به آن پاسخ داد. رتکلیف گفت که ایران و روسیه به صورت جداگانه توانستهاند به بخشی از اطلاعات مربوط به رایدهندگان آمریکا، از جمله حزب مورد علاقهشان، تلفن، ایمیل و آدرس منزل آنها دسترسی پیدا کنند.
بیستودوم اکتبر آژانس امنیت ملی و زیرساختهای امنیتی ایالات متحده «CISA» به همراه اداره تحقیقات فدرال آمریکا «FBI» نتیجه تعامل امنیتی خود را تحت عنوان هشدار «AA20-296B» منتشر کردند که در آن گفته شد هکرهای وابسته به جمهوری اسلامی، موسوم به «بازیگران تهدید پیشرفته مدام (APT)»، در تلاشند که با حمله به وبسایتها، نشر اخبار جعلی ضد ایالات متحده و پخش فیلمهای تبلیغاتی با موضوع تقلب در انتخابات، اعتماد رایدهندگان آمریکایی را سلب و آنها را از مشارکت سیاسی مایوس کنند.
در این هشدار گفته شد که هکرهای حکومتی از ماه آگوست سال ۲۰۱۹ تا کنون با استفاده از شیوه (DDoS) به معنای ارسال درخواست فراوان به سرور هدف و ناتوان کردن آن از پاسخگویی و در نهایت از سرویس خارج شدن سرور، شیوه (SQL injection) به معنای تزریق دستی کدهای مخرب به دیتابیس وبسایتهای حاوی اطلاعات رایدهندگان و استخراج اطلاعات موجود در آن، شیوه (Spear-phishing messages) یا سرقت اطلاعات شخصی افراد از طریق جلب اعتماد و فریب آنها، و همچنین شیوه (deface) یا جایگزینی صفحه اول وبسایت با صفحه هکرها، اهداف متعددی را در خاک ایالات متحده مورد هدف قرار دادهاند. همچنین آسیبپذیری (CVE-2020-5902) مربوط به شبکههای ویپیان و (CVE-2017-9248) ضعف امنیتی موجود در سیستم مدیریت محتوا زمینهساز حملات نوع (XSS) به وبسایتها، از جمله ضعفهای امنیتی بود که هکرها در این حملات از آن بهره بردهاند.
آخرین روز ماه اکتبر آژانس امنیت ملی و زیرساختهای امنیتی ایالات متحده و اداره تحقیقات فدرال آمریکا هشدار تازهای منتشر کردند با عنوان (AA20-304A) که به تکنیکهای مورد استفاده هکرهای وابسته به جمهوری اسلامی برای سرقت اطلاعات رایدهندگان آمریکایی پرداخته است.
تحقیقات این دو نهاد نشان میدهد که هکرهای حکومتی در بازه زمانی بیستم تا بیستوهشتم سپتامبر سال جاری میلادی وبسایتهای هدف را در ایالات متحده، از جمله وبسایتهای مربوط به انتخابات در ایالتها را با اسکنر کاشف آسیبپذیریها «Acunetix» مورد بررسی قرار دادهاند. این اسکنر از جمله اسکنرهای نوع «Web Vulnerability Scanner» یا به اختصار «WVS» است که توسط شرکتی با همین نام تولید شده و هدف از آن برسی وبسایتها برای کشف آسیب پذیریها و ضعفهای امنیتی موجود در پیکربندی امنیتی آنها است. اگر چه استفاده از این اسکنر منع قانونی ندارد، اما مجرمان اینترنتی از ظرفیتهای آن برای اهداف مجرمانه بهره میگیرند.
بنابراین هشدار، هکرهای وابسته به حکومت ایران از ۲۹ سپتامبر تا هفدهم اکتبر عملیات «exploit» یا بهرهبرداری از آسیبپذیریهای کشفشده را آغاز و از طریق «Exploit Public-Facing Application» یا بهرهبرداری پوشش برنامههای عمومی اقدام به پیمایش دایرکتوری، تزریق به دیتابیس و استفاده از ضعفهای پیکربندی وبسایتهای هدف کردهاند.
«CISA» و «FBI» تایید میکنند که اگر چه نمیتوان به طور قطع حملههای موسوم به « Compromise Infrastructure» را به هکرهای وابسته به جمهوری اسلامی نسبت داد، اما واکاوی آنها نشان میدهد که آیپیها و ویپیانهای مورد استفاده هکرها در عملیات «Gather Victim Host Information» یا گردآوری اطلاعات قربانی با سوابق هکرهای تحت حمایت حکومت ایران مطابقت داشتهاند و هکرها دستکم در یک ایالت موفق به سرقت اطلاعات رایدهندگان آمریکایی شدهاند و این موفقیت به دلیل ضعف در پیکربندی امنیتی وبسایت هدف بوده که به مهاجمان فرصت داده است تا با استفاده از ابزار «cURL» سوابق اطلاعات رایدهندگان را واکاوی کنند و به سرقت ببرند. هکرها از این اطلاعات سرقتشده استفاده کردهاند و یک فیلم تبلیغاتی نیز از عملکرد خود تهیه کردهاند.
هکرها با استفاده از تکنیک جستجوی وبسایتها و دامنههای باز «Search Open Websites and Domains» و کلمات کلیدی مانند «رای»، «رایدهنده» و یا «ثبتنام» تلاش کردند تا از مسیر آدرس وبسایتها به فایلهای پیدیاف حاوی اطلاعات رایدهندگان دست پیدا کنند. آنها برای این حملات از ابزارهایی مانند « YOURLS exploit» جهت بهرهبرداری از آسیبپذیریها، «Bypassing ModSecurity Web Application Firewall» برای دور زدن دیواره آتشین وبسایت، «Detecting Web Application Firewalls» برای شناسایی نوع دیواره آتشین وبسایت و «SQLmap tool» برای کشف نقشه دیتابیس وبسایتها نیز استفاده کردهاند.
کد زیر بخشی از اثر بهجامانده از تلاش بیستوهشتم سپتامبر هکرهای وابسته به حکومت ایران است که نشان میدهد هکرها چهطور با استفاده از اسکنر «Acunetix» اقدام به تزریق دیتابیس وبسایت هدف بر پایه کدهای ۴۰۴ و ۵۰۰ کردهاند.
اطلاعات زیر بخشی از درخواستی است که هکرها با استفاده از اسکنر «Acunetix» ارسال کردهاند.
اطلاعات زیر رد پای بهجامانده از هکرها است که اطلاعاتی نظیر سیستم عامل مورد استفاده آنها، مشخصات مرورگر و جزئیاتی از این دست را آشکار میکند.
بررسیهای آژانس امنیت ملی و زیرساختهای امنیتی ایالات متحده و اداره تحقیقات فدرال آمریکا بر روی هدفهای آسیبدیده نشان داده است که در بازه زمانی بیستونهم سپتامبر تا ۱۷ اکتبر، هکرها با استفاده از ابزارهایی نظیر «cURL» و «FDM» صدها هزار کوئری مربوط به مقادیر مرتبط با هویت رایدهندگان آمریکایی را بازیابی و بازخوانی کردهاند که نمونههای زیر بخشی از این اطلاعات سرقت شدهاند. پلیس فدرال آمریکا گفته است این اطلاعات با اطلاعاتی که هکرها در فیلم تبلیغاتی منتشرشده نمایش میدهند، مطابقت دارند. و این خود نشانگر آن است که هکرها دست کم به این اطلاعات دسترسی کامل پیدا کردهاند.
بخش تحقیقات پلیس فدرال آمریکا در هشدار خود، فهرستی از آیپیهای مورد استفاده هکرها در ارسال ایمیلهای جعلی تهدیدآمیز به هواداران حزب دموکرات آمریکا را منتشر کرده و گفته است که در اکثر موارد هکرها از سرویس ویپیان شرکت «NordVPN» برای ناشناس ماندن و حذف رد پای خود از مقصد حمله استفاده کردهاند. آنها در مواردی نیز از سرویسهای شرکتهایی همچون «CDN77» ،«HQSERV» و «M247» بهره برده اند. افبیآی گفته است با توجه به این که بسیاری از مردم از سراسر جهان از این سرویسها استفاده میکنند، اظهار نظر قطعی در خصوص آیپیها نیازمند زمان و بررسیهای دقیقتر است. اما آنچه در حال حاضر از عملکرد مهاجمان به جا مانده است، با اطلاعات موجود از آیپیها مطابقت دارد.
تصویر زیر، نمودار فعالیتهای مخرب هکرهای وابسته به جمهوری اسلامی است که فرایند عملکرد آنها را از شانزدهم سپتامبر، تا ۲۱ اکتبر نشان میدهد و مشخص میکند که در این بازه زمانی مهاجمان با استفاده از اسکنر «Acunetix» و حمله به دیتابیس وبسایتهای هدف، تا چه مقدار اطلاعات محرمانه رای دهندگان آمریکایی را به سرقت بردهاند.
مطالب مرتبط:
کشف ردپای هکرهای تازهکار ایرانی پشت حملات یک باجافزار معروف
هشدار افبیآی درباره حمله هکرهای ایرانی
درباره هکرهای مظنون به حمله سایبری حساب کاربران سرشناس توییتر چه میدانیم؟
رژه سپاه سایبری ادامه دارد؛ کاویان میلانی، سوژه جدید هکرهای حکومتی
کارکنان دولت آمریکا، اهداف حملات فیشینگ هکرهای وابسته به حکومت ایران
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر