احمد باطبی
فیسبوک میگوید نزدیک به ۲۰۰ حساب کاربری را مسدود کرده است که هکرهای وابسته به جمهوری اسلامی از آنها برای هک کردن کارکنان ارتش ایالات متحده و شرکتهای دفاعی و هوافضا استفاده میکردند.
گروه تحقیقات شرکت فیسبوک روز پنجشنبه ۲۴ تیر ۱۴۰۰ با انتشار مقالهای در این خصوص، اعلام کرد این مجموعه فعالیتهای کشف شده از هکرهای ایرانی، بخشی از پروژه جاسوسی سایبری است که مدتها است جمهوری اسلامی در دستور کار خود قرار داده است.
به گفته این گروه تحقیقاتی، پروژه جاسوسی هکرها یک عملیات مداوم است که ضمن برخورداری از امکاناتی خوب برای انجام حملات سایبری، از روشها و تکنیکهای مناسبی نیز جهت پنهان کردن هویت و عملکرد هکرها استفاده میکند.
در این مقاله گفته شده است که هکرهای حکومتی به نام کارکنان شرکتهای دفاعی و هوافضا، صفحات جعلی اما به ظاهر معتبری را ایجاد میکردند تا قربانیان خود را با آنها فریب دهند. هکرها گاه چندین ماه برای فریب هدفهای خود زمان صرف میکردند تا آنها را متقاعد کنند که روی لینکهای آلوده کلیک کنند و به این شکل، بدافزارهای جاسوسی روی سیستمهای کامپیوتری آنها نصب و فعال شوند.
محققان فیسبوک این هکرها را با عنوان «ترتسشل» (Tortoiseshell) معرفی کرده و گفتهاند که فعالیتهای این گروه بیشتر بر خاورمیانه متمرکز بود اما اخیرا دامنه فعالیتهای آن تا بریتانیا و ایالات متحده نیز گسترش یافته بود.
ویژگی این گروه این بوده است که پس از شناسایی اهداف، از شیوههای مخرب نظیر آلودهسازی سیستم و شبکه توسط بدافزارهای جاسوسی علیه قربانیان استفاده میکردند.
فیسبوک تاکتیکها، تکنیکها و رویههای (Tactics, Techniques, and Procedures) (TTPs) هکرها را مورد تحلیل قرار داده و گفته که این شبکه اجتماعی و سرویسهای ارایه شده در آن، یکی از اصلیترین ابزار هکرها برای به دام انداختن قربانیان بوده است.
TTPs یکی از موضوعات بنیادین در بحث تروریسم سایبری به شمار میرود که در آن، با تحلیل و بررسی تاکتیکها، تکنیکها و رویههای مورد استفاده مهاجمان، اهداف، ابزار، استراتژی و خصوصیات دیگر مجرمان سایبری مشخص میشود.
«مهندسی اجتماعی» (Social engineering) یکی از اصلیترین شیوههای مورد استفاده هکرها در فیسبوک بوده است. آنها با استفاده از امکانات آنلاین و شیوه پیچیده فریب، اعتماد قربانیان را جلب و آنها را وادار به کلیک بر روی لینکهای آلوده و بارگیری بدافزارها میکردند. هکرها برای عادی سازی، از یک هویت جعلی در چند شبکه اجتماعی، صفحه کاربری با اطلاعات مشترک ایجاد و تحت عنوان کارمندان شرکتهای دفاعی و هوافضا، افراد وابسته به سازمانهای مردمنهاد، پزشک، روزنامهنگار و غیره، قربانی را به بیرون از شبکه اجتماعی هدایت میکردند تا به دور از نظارت فنی فیسبوک، لینکهای آلوده را برای آنها ارسال کنند.
«سرقت اعتبارنامه» (credential theft) نیز از جمله اقدامات این گروه بوده است که مجموعهای از صفحات و وبسایتهای جعلی را بر روی دامنههای اینترنتی برای به دام انداختن افراد فعال در صنعت دفاعی و هوافضا طراحی کرده بودند؛ به عنوان مثال، هکرها با به کارگیری زیرساختهای مناسب، یک سایت جعلی جستوجوی شغل قانونی وزارت کار ایالات متحده راهاندازی کرده بودند. آنها اکثر لینکهای ارسال شده از طریق ایمیلها را با استفاده از سرویسهای کوتاه کننده لینک، کوتاه میکردند تا در خلال فرایند بازکردن آدرسها، تشخیص مبدا و مقصد، سخت و یا غیرممکن شود.
«بدافزارهای جاسوسی» (Malware) از ابزارهای مورد استفاده این گروه هکری بوده است. فیسبوک گفته هکرها به شکل منحصر به فردی بدافزارهایی را شخصی سازی کرده و امکانات کاملی همچون شناسایی و ویژگیهای مربوط به آسیبرسانی به قربانی را به آن افزودهاند.
این گروه کماکان از بدافزار قدیمی خود به نام «Syskit» برای هک سیستم عاملهای «ویندوز» استفاده میکردند و علاوه بر آن، به شکل گستردهای از صفحات مخرب مربوط به «مایکروسافت اکسل» در عملیاتهای خود بهره میبردند.
«برونسپاری توسعه بدافزار» (Outsourcing malware development) از جمله شاخصهای فعالیت این گروه بوده است. فیسبوک میگوید که تحقیقات محققان نشان دادهاند عوامل پشت پرده این گروه هکری برای توسعه بدافزار خود به شرکت «ماهک رایان افزار» (Mahak Rayan Afraz) (MRA)، از شرکتهای وابسته به سپاه پاسداران انقلاب اسلامی در تهران مراجعه کردهاند. برخی از اعضا و گردانندگان این شرکت به دلیل فعالیتهای مخرب سایبری، پیشتر در لیست تحریمهای ایالات متحده قرار گرفتهاند.
گروه هکری «ترتسشل» (Tortoiseshell) برای اولین بار در سال ۲۰۱۸ شناسایی و در لیست گروههای هکری وابسته به حکومتها قرار گرفت. ترتسشل در ابتدای کار خود، دستکم ۱۱ شرکت مستقر در عربستان سعودی را مورد حملات سایبری قرار داد و دستکم در دو مورد از این حملات، موفق به گرفتن دسترسی در حد مدیر از دامنههای شرکت شد.
راهاندازی یک وبسایت جعلی مخصوص کهنه سربازان امریکایی به آدرس «hxxp: // hiremilitaryheroes [.] com»، فعالیت دیگر این گروه هکری بود. این گروه در سال ۲۰۱۹ با ایجاد این وبسایت که بسیار به وبسایت واقعی (www.hiringourheroes.org) شباهت داشت، تلاش کرد بدافزارهای مخرب جاسوسی خود را به کامپیوترهای بازدیدکنندگان سایت منتقل کند. این اقدام هکرها به شکل رسمی به عنوان تلاش جمهوری اسلامی برای هک کردن سربازهای امریکایی مطرح و نسبت به آن هشدار داده شد.
برخی کارشناسان سایبری، گروه ترتسشل، از جمله زیرمجموعههای «تهدید پیشرفته مدام» (APT35) است.
«APT» یا «Advanced Persistent Threat» در صنعت سایبری اصطلاحی است برای مخاطب قراردادن تهدیدهای مستمر و هدفمند سایبری که از سوی هکرهای تحت حمایت دولتها سازماندهی و اجرا میشوند تا به اهدافی مانند دولتهای دشمن و یا رقیب، مخالفان حکومت، سازمانها و نهادهای تاثیرگذار، شرکتهای تجاری و مراکز علمی حمله کنند.
هدف اصلی گروههای تهدید پیشرفته مدام که با علامت اختصاری APT و ارقام منتسب به آن شناخته میشوند، اخلال در روند فعالیت عادی قربانی و یا سرقت اطلاعات و سرمایههای معنوی آن است. «APT33» ،«APT34» ،«APT39» از جمله گروه ایرانی تهدید پیشرفته مدام هستند که تحت حمایت جمهوری اسلامی به فعالیتهای مجرمانه اینترنتی مشغولند.
شرکت امنیتی «FireEye» برای اولین بار در سال ۲۰۱۴ از مجموعه APT35 نام برد. این شرکت در ابتدا گروهی از هکرهای ایرانی به نام «تیمِ نیوزکستر» (Newscaster Team) را عامل پشت برده APT35 معرفی کرد و آنها را عامل حملات مستمر و فشردهای به ارتش ایالات متحده و کشورهایی در خاورمیانه، پرسنل دیپلماتیک و دولتی در کشورهای مختلف، سازمانهای رسانهای، پایگاههای صنعتی و فعال در حوزه انرژی، صنایع دفاعی (DIB) و مهندسی، نهادهای فعال در زمینه خدمات بازرگانی و بخشهای مخابراتی دانست.
فعالیتهای این گروه در سالهای بعد، بهویژه از سال ۲۰۱۷ به این سو نشان از توسعه و تقسیم کار در مجموعه فعالیتهای هکری داشت. کارشناسان معتقدند که ترتسشل نیز بخشی از تیم نیوزکستر (Newscaster Team) است که در فرآیند تکاملی این گروه جدا شده اما کماکان در همان راستا و با همان شیوه در خدمت اهداف سیاسی و نظامی جمهوری اسلامی در حوزه سایبری است.
مطالب مرتبط:
کارکنان دولت آمریکا، اهداف حملات فیشینگ هکرهای وابسته به حکومت ایران
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر