احمد باطبی
گروه امنیت سایبری پروفپوینت خبر داده است در ماههای اخیر هکرهایی که احتمالا وابسته به حکومت ایران هستند با حملات سایبری علیه برخی محققان آمریکایی و اسرائیلی تلاش کردند اطلاعات آنها را سرقت کنند. حوزه فعالیت این محققان عمدتا امور پزشکی و درمانی است.
***
هکرهای وابسته به جمهوری اسلامی دستکم ۲۵ تن از محققان آمریکایی و اسرائیلی را که در حوزه امور پزشکی و درمانی تحقیق میکنند مورد حمله سایبری قرار دادهاند.
گروه امنیت سایبری «پروف پوینت» چهارشنبه ۱۱ فروردین در یک گزارش مفصل نتیجه تحقیقات خود را درباره این حملهها اعلام کرد و گفت که حملات صورتگرفته در ماه دسامبر از نوع «فیشینگ» (Phishing) بوده است.
بنا بر این گزارش، مهاجمان در واقع متخصصان ارشدی را هدف گرفته بودند که در حوزه ژنتیک، عصبشناسی و تودینهشناسی (انکولوژی) فعالیت میکنند یا درباره شیوع ویروس مرگبار کرونا تحقیق میکنند.
فیشینگ (phishing) به نوعی از حملات سایبری گفته میشود که مهاجم از طریق فریب قربانی و تشویق او به دریافت فایل آلوده یا اجرای لینک آلوده، به سیستم کامپیوتر، موبایل، ایمیل و دیگر دستگاهها و مخازن اطلاعات او دسترسی مییابد و دادهها را سرقت میکند.
در مرسومترین شکل این حمله، مهاجم یا «فیشر» با ایجاد یک صفحه جعلی، مشابه صفحات سرویسهای ایمیل (مانند جیمیل، یاهو، مایکروسافت) یا شبکههای اجتماعی یا وبسایتهای خرید مجازی قربانی را تشویق میکند که نام کاربری، رمز عبور یا اطلاعات بانکی خود را وارد کند. به این ترتیب مهاجم به این اطلاعات دسترسی مییابد و آن را سرقت میکند.
در نوع دیگر فیشینگ نیز مهاجم با فریب دادن قربانی او را به کلیک روی پیوندی آلوده سوق میدهد و پس از آن، گزینه دسترسی از راه دور فعال میشود و مهاجم میتواند کدهای مخرب را در کامپیوتر قربانی اجرا کند.
کارشناسان گروه امنیت سایبری پروفپوینت مسئول حملا اخیر را «تی آ ۴۵۳» (TA453) معرفی کردهاند؛ مجموعهای از گروههای هکری شناختهشده وابسته به جمهوری اسلامی، ازجمله «فوسفورس» (PHOSPHORUS) و «بچهگربههای جذاب» (CHARMING KITTEN).
در این گزارش گفته شده که این دو گروه بنا بر تاریخچه فعالیتهایشان، با سپاه پاسداران انقلاب اسلامی همسو بوده و در سالهای اخیر بسیاری از مخالفان، دانشگاهیان، دیپلماتها و روزنامهنگاران را هدف قرار دادهاند.
محققان پروفپوینت این مجموعه حملات را با توجه به هویت قربانیان و نوع فعالیتهای آنان در حوزه پزشکی «بد بلاد» (BadBlood) به معنای «خون ناپاک» نامیدهاند.
این کارزار حملات هکرها ابتدا در ماه دسامبر ۲۰۲۰ و با یک حساب کاربری جیمیل به آدرس (zajfman.daniel [@] gmail.com) آغاز شد. هکرها با استفاده از نام «دانیل زاجفمن»، فیزیکدان اسرائیلی، ایمیلی با عنوان «سلاحهای هستهای در یک نگاه» به قربانیان ارسال میکردند که حاوی یک فایل پیدیاف به نام (CBP-9075.pdf) بود. کلیک کردن روی این فایل قربانی را به یکی از دامنههای متعلق به هکرها بنام (1drv [.] casa) منتقل میکرد که در نهایت به هک درایو مجازی مایکروسافت (OneDriv) قربانی منتهی میشد.
در دامنه متعلق به هکرها صفحهای جعلی مشابه صفحه ورودی کاربران مایکروسافت وجود داشت که از قربانیان میخواست برای دیدن محتوای فایل پیدیاف نام کاربری و رمز عبور خود را وارد کنند. نتیجه این کار به تماشای فایل مذکور منتهی میشد، اما در آن سو، هکرها به سادگی مرحله احراز هویت قربانی را رصد کرده و مشخصات او را به سرقت میبردند.
تحقیقات انجامشده نشان میدهد که هکرها بعدها نیز از گواهینامههای سرقتشده برای ورود به ایمیل قربانیان بهره میبردند.
محققان گروه پروفپوینت گفتهاند که نمیتوان به صورت مستقل وابستگی هکرها به سپاه پاسداران انقلاب اسلامی را تایید کرد، اما روش و فناوریهای مورد استفاده گروه تی آ ۴۵۳ و نوع محتوایی که هکرها در پی سرقت آن بودهاند، این ظن را تقویت میکند که تمامی این حملات برای پشتیبانی سپاه پاسداران برای رسیدن به اهدافشان انجام شده است.
بخش بررسی و تحلیل تهدیدهای سایبری پروفپوینت که مسئولیت تحقیق در خصوص دامنههای مورد استفاده هکرها را برعهده دارد، دامنههای متعدد دیگری را در ارتباط با کارزار فیشینگ «خون آلوده» کشف کرده که نشان میدهد هکرها در یک طرح منظم و دامنهدار تصمیم داشتند تا کارزار خود را وسعت داده و به شکل زنجیرهای قربانیان دیگری را به دام خود گرفتار کنند.
اگرچه هدف قرار دادن محققان پزشکی در سنت کاری گروههای هکری وابسته به دولتها نیست اما بعید هم نیست که گروه هکری تی آ ۴۵۳ به طور خاص برای سرقت اطلاعات پزشکی از سراسر جهان مامور شده یا برای این هدف از سوی حکومت توسعه و تجهیز شده باشد.
آخرین مورد از حملات فیشینگ مرتبط با هکرهای وابسته به جمهوری اسلامی که به صورت رسمی کشف و مورد تحلیل قرار گرفت به روزهای پایانی سال گذشته میلادی و به طور مشخص به روزهای کریسمس و تعطیلات سال نو باز میگردد.
در آن حملات نیز گروه « بچه گربههای جذاب» تلاش کرده بود تا از طریق حملات فیشینگ و مهندسی اجتماعی بسیاری از اندیشکدهها و همچنین اساتید دانشگاهها و فعالان را در نقاط مختلف جهان هک کند.
در اکتبر سال گذشته میلادی نیز شرکت مایکروسافت اعلام کرده بود گروه هکری فوسفورس تلاش کرده تا از طریق حملات فیشینگ و جعل صفحات و بهرهبرداری از ضعفهای امنیتی محصولات این شرکت، مدعوین کنفرانسهای بینالمللی را هک کند.
مایکروسافت گفته بود که بیش از ۱۰۰ حمله سایبری گروه فوسفورس به کسانی که احتمال شرکتشان در «کنفرانس امنیتی مونیخ» میرفت را شناسایی و خنثی کرده است.
کنفرانس امنیتی مونیخ یک گردهمایی بینالمللی است که هر سال در ماه فوریه با موضوع امنیت بینالمللی در هتل «بایریشر هوف» در شهر مونیخ آلمان برپا میشود. به گفته شرکت مایکروسافت، حملات خنثیشده بیشتر علیه افرادی بود که احتمال حضورشان در «کنفرانس گروه اندیشمندان تی۲۰» (T20) از جمله گروههای مهم و خلاق وابسته به «اجلاس سالانه گروه ۲۰» بوده است. گروه اندیشمندان تی۲۰، ایدهپرداز اجلاس جهانی گروه ۲۰ است که در ۶۰ سال اخیر که این اجلاس برپا شده به عنوان اصلیترین گروه این همایش محسوب میشد.
مایکروسافت با اشاره به این که این حملات، جدا از حملات اخیر مرتبط با انتخابات سال ۲۰۲۰ ایالات متحده بود گفته است که هکرهای گروه فسفروس ایمیلهایی جعلی حاوی دعوتنامههای مرتبط با این دو همایش بینالمللی را برای مقامات سابق دولتها، کارشناسان سیاسی، دانشگاهیان و رهبران سازمانهای غیردولتی که احتمال دعوتشدنشان به این همایش وجود داشته ارسال و مباحثی نظیر احتمال برپایی همایشها به صورت مجازی، به دلیل عالمگیر شدن ویروس کرونا را نیز مطرح کردهاند.
کارشناسان امنیتی مایکروسافت معتقدند که هدف هکرها از ارسال ایمیلهای جعلی گردآوری اطلاعات بوده است اما آنها در عین حال، در به خطر انداختن سفرای پیشین کشورها و کارشناسان سیاسی که در شکلگیری سیاستهای داخلی و بینالمللی کشورها موثر هستند موفق بودهاند.
مایکروسافت سال ۲۰۱۹ میلادی نیز گزارشی منتشر کرده و گفته بود که گروه هکری فسفروس طی ۳۰ روز بر روی بیش از ۷۰۰ حساب متعلق به شرکت مایکروسافت تست نفوذ انجام داده که دستکم ۲۴۱ مورد از این حسابهای کاربری به کارزارهای انتخابات ریاست جمهوری آمریکا، مقامات فعلی و سابق دولت ایالات متحده، روزنامهنگاران بینالمللی و چهرههای ایرانی مطرح در خارج از کشور مربوط بودهاند.
در همین سال، مایکروسافت مجموعهای از دامنههای اینترنتی شناسایی کرد که از سوی هکرهای وابسته به جمهوری اسلامی برای حملات نوع فیشینگ مورد استفاده قرار میگرفتند. این شرکت با طرح شکایتی در دادگاه فدرال آمریکا در شهر واشینگتن دیسی توانست مجوز توقیف ۹۹ مورد از این دامنهها را دریافت کند.
مطالب مرتبط:
هکرهای ایرانی، مظنون اول نشت اطلاعات محرمانه یک شرکت مالی در اسرائیل
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر