گزارش مراکز رصد امنیت سایبری نشان از آن دارد که گروه هکری وابسته به جمهوری اسلامی، موسوم به «بچه گربههای جذاب» در دو ماه اخیر و به ویژه در تعطیلات آخر سال میلادی اقدام به حملات گستردهای برای نفوذ به رایانهها و ایمیلهای شمار زیادی از اندیشکدهها و همچنین اساتید دانشگاهها و فعالان مختلف در جهان کردند. شیوه اصلی این گروه هکری نیز استفاده از فیشینگ بوده است.
***
یک گروه از هکرهای وابسته به جمهوری اسلامی، موسوم به «بچه گربههای جذاب» (Charming Kitten) همزمان با تعطیلات سال نو میلادی دهها فرد و نهاد را در سراسر جهان از طریق حملات «فیشینگ» هدف قرار دادند.
مرکز «سرتفا» که موضوع امنیت سایبری و تهدیدهای مرتبط با هکرهای وابسته به جمهوری اسلامی را رصد میکند، در گزارشی فاش کرد که گروه هکری «بچه گربههای جذاب» از تعطیلات کریسمس و روزهای آخر سال میلادی استفاده کرد و حملات خود را به بالاترین سطح گسترش داد.
در این گزارش گفته شده که مهاجمان با اطلاع از اینکه بسیاری از شرکتها و سازمانها به دلیل تعطیلات پایان سال در حال تعطیلی یا نیمهتعطیلی هستند و دسترسی کاملی به بخشهای پشتیبانی ندارند، اقدام به حمله کردند.
بنابر این گزارش، بسیاری از اندیشکدهها، مراکز تحقیقات سیاسی، اساتید دانشگاهها، روزنامهنگاران و فعالان محیط زیست در کشورهای مختلف، از آمریکا گرفته تا اروپا و کشورهای حاشیه خلیج فارس را هدف قرار دادند.
این حملات که از پاییز ۲۰۲۰ آغاز شده بود عملا در زمستان ۲۰۲۰ به اوج رسید و شیوه هک کردنها عمدتا بر اساس «فیشینگ» بود.
فیشینگ (phishing) به نوعی از حملات سایبری گفته میشود که مهاجم از طریق فریب قربانی و تشویق او به دریافت فایل آلوده یا اجرای لینک آلوده، به سیستم کامپیوتر، موبایل، ایمیل و دیگر دستگاهها و مخازن اطلاعات قربانی دسترسی مییابد و آن را سرقت میکند. در مرسومترین شکل این حمله، «فیشر» یا مهاجم با ایجاد یک صفحه جعلی، مشابه صفحات سرویسهای ایمیل (مانند جیمیل و یاهو) یا شبکههای اجتماعی یا وبسایتهای خرید مجازی قربانی را تشویق میکند که نام کاربری، رمز عبور یا اطلاعات بانکی خود را وارد کند. به این ترتیب، مهاجم به این اطلاعات دسترسی مییابد و آن را سرقت میکند.
در نوع دیگر فیشینگ نیز مهاجم با فریب دادن قربانی، او را به کلیک روی پیوندی آلوده سوق میدهد و پس از آن، گزینه دسترسی از راه دور فعال میشود و مهاجم میتواند کدهای مخرب را در کامپیوتر قربانی اجرا کند.
گروه «بچه گربههای جذاب» که در صنعت امنیت سایبری با عنوانهای APT35 و Phosphorus نیز شناخته میشود، حملات اخیر خود را از طریق اشکال مختلف فیشینگ سامان میداد.
یکی از این اشکال فرستادن پیامکهای جعلی به تلفن همراه قربانی بود. به این ترتیب که هکرها با ارسال یک پیامک جعلی که به ظاهر از طرف گوگل فرستاده شده بود، از قربانی میخواستند برای بازیابی حساب کاربریاش روی یک لینک کلیک کند تا در آنجا هویت او احراز شود. لینک ارسالی برای قربانی در واقع با استفاده از یکی از سرویسهای گوگل ساخته شده بود و در ظاهر بدون ایراد به نظر میآید. اما قربانی با یک بار کلیک بر روی این پیوند، به صورت زنجیرهای به چند آدرس دیگر منتقل میشد تا در نهایت به پیوند اصلی مربوط به صفحه فیشینگ برسد. تصویر یکی از این پیامکها را در زیر میبینید:
نمونهای از حملات با استفاده از آدرس گوگل را نیز میتوانید اینجا ببینید.
در مورد ایمیلهای جعلی نیز روشی مشابه به کار رفته بود. مهاجمان با ارسال ایمیلهایی حاوی لینکهای آلوده، با عباراتی فریبنده مانند «سال نو مبارک»، «امسال تصمیم گرفتم دوستانم را با آخرین کتابم خوشحال کنم» یا «این هم از هدیه کریسمس من برای شما» میفرستادند. نمونهای از این ایمیلهای فیشینگ را در زیر میبینید:
مهاجمان برای دوری از جلب توجه و به جا نگذاشتن رد پا، حتی پس از هک کردن ایمیل قربانی نیز دسترسی او به ایمیلها را قطع نمیکردند.
کارشناسان مرکز سرتفا در رصدهای خود دریافتهاند که هکرها به شکل ویژهای تحرکات قربانیان خود را زیر نظر داشته و در مواقع مناسب و طبق برنامه برای آنها ایمیلهای دوم یا سوم را ارسال میکردند.
استفاده از سرویسهای مجاز و قانونی برای پنهان سازی خلافکاریهای سایبری یکی از شیوههای مرسومی است که هکرها، به طور مشخص در حملات نوع فیشینگ، از آنها بهره میگیرند.
گروه هکری «بچهگربههای جذاب» از سال ۲۰۱۹ تاکنون بارها از سرویسهای قانونی برای پنهان کردن صفحات فیشینگ استفاده کردهاند. دو سرویس گوگل، شامل site.google.com و script.google.com، از جمله این سرویسهاست.
اما این گروه هکری در حملات اخیر خود از ترکیب script.google.com و iplogger.org استفاده کرده است. تصویر زیر مجموعهای از پیوندهای زنجیرهای را که در این حمله از آنها استفاده میشد را نشان میدهد.
این گروه هکری وابسته به جمهوری اسلامی پیشتر برای جلب اعتماد قربانیان از نامها و نشانهای معتبری مانند نشریه والاستریت جورنال، سیانان و دویچهوله استفاده کرده بود. این گروه در حملات اخیر نیز از اسامی و نشانیهای مشابه، نظیر «نیوز ۱۲»، «نیویورکر»، و recover-session-service.site استفاده کرد.
بررسیهای سرتفا همچنین نشان میدهد که گروه «بچه گربههای جذاب» علاوه بر حمله به کاربران سرویسهایی همچون گوگل، یاهو یا اوتلوک، به سرویسهای دیگری همچون «پلنت» نیز حمله کردهاند؛ سرویسهایی که کارشان ارائه خدمات ماهوارهای آنلاین به دولتها، ارتشها و شرکتها است. این موضوع نشانگر دامنه گسترده اهدافی است که در دستور کار این گروه از هکرهای حکومتی قرار گرفته است.
مرکز سرتفا میگوید بررسی «Reverse IP/DNS lookup» و انطباق آن با تاریخچه موجود، بررسی اطلاعات ثبتی دامنههای عادی و محافظت شده، به کارگیری موازی «DNS» پویا و تطبیق آن با سوابق نشان میدهد که گروه هکری «بچه گربههای جذاب» در ماههای اخیر به شکل دائم فعال بوده و دامنه فعالیتهای آنها از کارزار قبلیشان در سال ۲۰۱۹ نیز گستردهتر شده است.
«سرتفا» نتیجه گرفته است که این گروه هکری وابسته به حکومت ایران، علاوه بر گسترش فعالیتها و به کارگیری شیوههای جدید و پیچیده، در مسیری حرکت می کند که نیازها و علاقههای نهادهای اطلاعاتی جمهوری اسلامی برآورده شود. «سرتفا» به کاربران توصیه کرده از شیوههای احراز هویت ایمنتر استفاده کنند از ابزارهای احراز هویت دومرحلهای برای حسابهای آنلاین خود کمک بگیرند. پرهیز از باز کردن لینکهای مشکوک و همچنین اجتناب از دانلود فایلهای ناشناخته نیز از دیگر توصیههای مورد تاکید این مرکز است.
سرتفا همچنین در انتهای گزارش خود گوشزد کرده که حملات گروه هکری «بچه گربههای جذاب» همچنان ادامه دارد و حتی در روزهای اخیر نیز شدت یافته است.
از همین بلاگ بخوانید
بزرگترین فروشگاه غیرقانونی در وب تاریک شناسایی و حذف ش
عوامل سایبری جمهوری اسلامی، مقامهای انتخاباتی آمریکا را تهدید میکنند
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر