احمد باطبی
هکرهای ایرانی، در قالب گروهی نوظهور به نام «آگریوس» (Agrius) دورهای از حملات سایبری را آغاز کردهاند که ترکیبی است از حملات باجافزاری (Ransomware) و حملات موسوم به «وایپر» (wiper) که در آن، دادهها و اطلاعات قربانیان، آسیب دیده یا نابود میشود.
محققان «سنتینل لب» (SentinelOne) که این حملهها را رصد و مورد واکاوی قرار دادهاند، زمان آغاز فعالیت گروه آگریوس و باجافزار چند کاره آنها را سال ۲۰۲۰ اعلام کرده و گفتهاند که عمده قربانیان این گروه اهدافی از اسراییل بودهاند.
حملات نوع وایپر (Wiper Attack) به دستهای از حملات مخرب سایبری گفته میشود که در آن، مهاجم و یا مهاجمان با هدف سود مالی و یا آسیب رساندن به قربانی، اطلاعات او را حذف، دستکاری و یا نسخهبرداری میکنند. این نوع حمله اساسا به منظور صدمه زدن به اطلاعات و دادههای قربانی انجام میشود؛ اما گاهی نیز ممکن است مانند حملات گروه آگریوس، به عنوان بخشی از یک حمله باجافزاری و با هدف تحت فشار قراردادن قربانی، برای پذیرش خواستههای مهاجمان انجام شود.
ویژگی حملات باجافزاری گروه آگریوس، علاوه بر ترکیب حمله باجافزاری با حمله نوع وایپر این است که مهاجمان قادر هستند پس از نفوذ و تسلط بر سیستم قربانی، به صورت سفارشی و گزینشی، دستهای خاص از دادههای تصاحب شده را انتخاب و آن را دستکاری یا حذف کنند.
محققان سنتینل لب در بخشی از گزارش خود گفتهاند که هکرهای آگریوس در مواردی وانمود میکنند که دادههای تصاحب شده قربانیان رمزنگاری شده و در صورت پرداخت باج رمزگشایی خواهد شد. در صورتی که این دادهها پیشتر با استفاده از ویژگی حملات وایپر حذف شدهاند. از این رو، به نظر میرسد که سود مالی تنها انگیزه مهاجمان نبوده و آنها در پی آسیبرسانی کنترل شده به سرمایههای معنوی قربانیان هستند.
بنا بر گزارش سنتینل لب، مهاجمان در مرحله اول حمله، پیش از بهرهبرداری از آسیبپذیریهای نرمافزاری و ضعفهای پیکربندی کامپیوتر و شبکه قربانیان، از «وی پی ان» (virtual private network) استفاده میکنند تا ضمن رمزنگاری اطلاعات تبادل شده خود با قربانی، امکان رهگیری اقدامات خود را نیز به حداقل برسانند.
در حملات صورت گرفته این گروه در سال ۲۰۲۰ به اهداف اسراییلی، آسیبپذیری (FortiOS) با شناسه CVE-2018-13379 یکی از ضعفهای امنیتی بود که بارها از آن برای نفوذ و تسلط بر قربانیان استفاده شد. این آسیبپذیری به مهاجمان امکان میداد که از طریق (webshells) و ابزارهای عمومی گردآوری اطلاعات، اقدام به سرقت اعتبارنامهها کرده و از آنها برای نفوذ به شبکه و ایجاد بار مخرب استفاده کنند.
گروه هکری آگریوس از مجموعهای از ابزارها، موسوم به جعبه ابزار آگریوس استفاده میکند که بدافزارهایی همچون (Deadwood)، (Shamoon) و (ZeroCleare) از جمله آن بوده و پیشتر نیز توسط گروه هکری تهدید پیشرفته مستمر شماره ۳۳ و ۳۴ (APT33)، (APT34)، ازجمله مجموعه هکرهای وابسته به حکومت ایران نیز مورد استفاده قرار گرفته بود.
«APT» یا «Advanced Persistent Threat» به معنای «تهدید پیشرفته مستمر» نیز اشارهای است به تهدیدهای دائمی که عموما از سوی مجرمان سایبری وابسته به دولتها ایجاد میشوند؛ به عنوان مثال گروه «APT34» از جمله گروههای «APT» است که تحت حمایت جمهوری اسلامی اقدام به فعالیتهای مجرمانه میکند. فهرستی از این نوع گروههای هک و نفوذ در این قسمت قابل مشاهده است.
مهاجمان پس از نفوذ و تسلط بر قربانی، یک راه نفوذ پایدار، موسوم به درب پشتی، از نوع (NET backdoor) در سیستم قربانی ایجاد کرده که در اصلاح به آن (IPsec Helper) گفته میشود. این درب پشتی امکان ارتباط با یک سرور فرمان و کنترل (C2) را برای مهاجمان ایجاد کرده و دسترسی آنها را برای تبادل اطلاعات و یا بارگذاری و یا بارگیری فایلها و دادهها فراهم میکند. در این مرحله مهاجمان زمینه را برای حملات نوع وایپر، از طریق ایجاد یک (NET wiper) فراهم میکند. به این ویژگی در اصطلاح (Apostle) گفته میشود. به نظر میرسد که (Apostle) کنونی، نسخه توسعه یافته و اصلاح شده این بد افزار باشد که پیشتر در حمله به تاسیسات دولتی در امارات متحده عربی مورد استفاده قرار گرفته بود.
محققان سنتینل لب میگویند که هیچ سند محکمی مبنی بر ایرانی بودن هکرهای گروه آگریوس در دست نیست؛ اما علاقه آنها به مسائل مربوط به ایران، تکینکهای مورد استفاده و ابزارهایی که از آن بهره میگیرند، تماما منطبق با ردپاهایی است که از سال ۲۰۰۲ تاکنون از هکرهای ایرانی بهجا مانده است. هکرهایی که عموم آنها با حمایت جمهوری اسلامی اقدام به جرایم سایبری کردهاند.
در سال گذشته میلادی، چندین گزارش رسمی از تحقیقات شرکتهای امنیت سایبری مختلف منتشر شده بود که به طور مشخص به حملات سایبری پرداخته بود؛ این حملات توسط هکرهای ایرانی انجام شده و یا از ایران مدیریت میشد. از جمله حملات باجافزاری موسوم به (Dharma) که شرکت امنیتی (Group-IB) آن را کشف و گزارش کرده بود. در این گزارش آمده بود که هکرهای تازهکار ایرانی با انگیزههای مالی شرکتهای مختلفی در روسیه، چین، هند و ژاپن را هدف قرار دادهاند. هکرهای مذکور در اخاذیهای اینترنتی خود، مبلغی بین ۱۱۷۰۰ تا ۵۹۰۰۰ دلار (به پول اینترنتی، بیتکوین 1-5 BTC) را از قربانیان خود طلب میکردند که در میانگین اخاذیهای اینترنتی معمول در جهان، رقمی پایین محسوب میشود.
مهمترین سابقه رسمی از حملات باجافزاری هکرهای ایرانی، به باجافزار موسوم به «سمسام» (SamSam ransomware ) در سال ۲۰۱۸ باز میگردد. این باجافزار قوی توسط یک گروه هکری ایرانی و مخصوص هدف قرار دادن شرکتهای خصوصی و دولتی طراحی شده و ایالات متحده آمریکا یکی از اهداف اصلی آن بود. اداره حملونقل شهر کلرادو در ایالت دنور، بیمارستان ارتوپدی در ایالت نبراسکا، شرکت MedStar Health، شرکت LabCorp of Americ و چندین بیمارستان، مدرسه، شرکت و سازمانهای دولتی در شهر نیوآرک در ایالت نیوجرسی و بندر سندیگو در کالیفرنیا از جمله قربانیان این باجافزار ایرانی بودند. در دسامبر سال ۲۰۱۸، دادگستری ایالات متحده از ایالت نیوجرسی، بیانیهای را در خصوص گروه هکری مدیریتکننده باجافزار سمسام منتشر کرد و دو تن از اعضای این گروه، به نامهای «فرامرز شاهی ساوندی» و «محمدمهدی شاهمنصوری»، هردو ساکن ایران را به توطئه برای ارتکاب به کلاهبرداری با کامپیوتر و تلاش برای آسیب رساندن به سیستمهای محافظت شده متهم کرد. در بیانیه دادگستری آمریکا آمده است که گردانندگان باجافزار سمسام در مجموع بیش از ۲۰۰ قربانی را هک و بیش از شش میلیون دلار اخاذی کردهاند. همچنین ضرر مالی که این اخاذی به کسبوکار قربانیان وارد کرد، رقمی بیش از سی میلیون دلار است. گروه هکری گرداننده باجافزار سمسام، اندکی پس از شناسایی این دو عضو گروه ناپدید شدند.
در احکام دستگاه قضایی ایالات متحده علیه فرامرز شاهی ساوندی و محمدمهدی شاهمنصوری گفته شده که این دو تن صرفا متهم هستند و از نظر قانون، فقط در صورت انجام محاکمه و صدور حکم دادگاه گناهکار محسوب میشوند.
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر