هکرهای وابسته به سپاه پاسداران انقلاب اسلامی در یک کارزار مجازی که از سال ۲۰۱۹ تا کنون ادامه داشته است، اقدام به هک و جاسوسی از امریکاییهایی کردهاند که به صورت پیمانکار در صنایع دفاعی و هوا و فضا ایالات متحده مشغول به کار هستند.
شرکت امنیت سایبری «پروفپوینت» (Proofpoint) در گزارشی به تحلیل فنی این حملهها پرداخته و گفته است گروه هکری «ترتسشل» (Tortoiseshell) پشت پرده این حملهها است؛ گروهی که از سپاه پاسداران دستور میگیرد و محققان شرکت پروفپوینت آن را عضوی از مجموعه گروههای موسوم به «تهدید پیشرفته مدام ۵۶» (APT56) دستهبندی کردهاند.
«تهدید پیشرفته مدام» (Advanced Persistent Threat) عبارتی است در صنعت امنیت سایبری برای اشاره به تهدیدهای مستمر و هدفمند سایبری که از سوی دولتها پشتیبانی میشود. هدفش هم جاسوسی و یا اخلال در روند عادی فعالیت دولتهای دشمن، رقیب، مخالفان حکومت، سازمانها و نهادهای تاثیرگذار، شرکتهای تجاری و مراکز علمی است.
این گروهها معمولا با سه حرف (APT) خطاب میشوند و وابستگی آنها به دولتها نیز با اعداد افزوده شده به این سه حرف مشخص میشود.
گروه هکری ترتسشل در سال ۲۰۱۸ و در پی حمله به اهدافی در خاورمیانه شناسایی شد. یکی از صفحات جعلی این گروه در شبکه اجتماعی فیسبوک، از سال ۲۰۱۹ تلاش کرده است تا با مهندسی اجتماعی، افراد شاغل در صنایع دفاعی و هوا و فضای ایالات متحده را فریب دهد و به کامپیوترهای آنها نفوذ کند. این صفحه با عکسهای زنی زیبا و جذاب به نام «مارسلا فلورس» (Marcella Flores) ایجاد شده بود که وانمود میکرد یک مربی ایروبیک از شهر لیورپول بریتانیا است و تمایل دارد با افراد شاغل در صنایع گفته شده ارتباط داشته باشد.
هکرهای ترتسشل از اوایل ماه جون ۲۰۲۱ با استفاده از همین صفحه جعلی، بدافزاری به افراد فریب خورده فرستاده که محققان پروفپیونت نام «لمپو» (LEMPO) را برای آن انتخاب کردهاند.
به گفته این محققان، بدافزار لمپو نسخهای است از بدافزار دیگری به نام «لیدرک» (Liderc) که در سال ۲۰۱۹ کشف و به فهرست بدافزارهای مورد استفاده هکرهای وابسته به جمهوری اسلامی افزوده شده است.
از۳۰ ماه می ۲۰۱۸ که اولین عکس مارسلا فلورس در این صفحه جعلی بارگذاری شد تا ۱۵ جون ۲۰۲۱ که فیسبوک آن را شناسایی و مسدود کرد، هکرها با استفاده از همین هویت، به مهندسی اجتماعی و فریب اهداف خود مشغول بودند.
پروفپوینت در گزارش خود گفته است هکرهای ایپیتی۵۶ (APT56) معمولا بعد از لو رفتن این قبیل صفحههای جعلی، با یک تغییر کاربری، آنها را به یک خبری تبدیل و به این ترتیب، هویت لو رفته را از دیدها پنهان میکنند.
سوابق به جا مانده نشان میدهند که هکرها تنها در صفحه جعلی مارسلا فلورس، دستکم هشت ماه تلاش کردهاند با تولید محتوا، ارسال ایمیل، ویدیو و فایلهای مختلف، اعتماد قربانیان را جلب و به کامپیوترهای آنها نفوذ کنند.
یکی از فایلهایی که هکرها به نام مارسلا فلورس ارسال کرده بودند، یک فایل آلوده با فرمت «اکسل» بود که تحت عنوان نظرسنجی در خصوص رژیم غذایی برای قربانیان ارسال شده بود. در این فایل، پیرو گفتوگوهای پیشین هکرها با قربانی، سوالاتی پرسیده شده بود که باید به آنها پاسخ داده میشد. اما پیش از پاسخگویی، کدهای مخرب «ماکرو» (Macro) که در داخل این فایل جاسازی و فعال شده بودند، از قربانی تقاضا میکردند مجوز ایجاد برخی تغییرات در تنظیمات مربوط به حریم خصوصی کامپیوتر را صادر کند. در صورت موافقت قربانی با ایجاد این تغییرات، کدهای «ماکرو اسکریپت ویژوال بیسیک» (VBS) دیگری به اجرا در میآمدند که وظیفه آنها، بارگیری پنهانی بدافزار لمپو از حساب جیمیل هکرها و نصب آن روی کامپیوتر قربانی و اتصال قربانی به وبسایت «showip.net» با استفاده از «HTTP POST» برای شناسایی «آیپی» کامپیوتر بود.
بدافزار لمپو در واقع خود یک اسکریپت ویژوال بیسیک است که میتواند با استفاده از دستورات داخلی «ویندوز»، اطلاعاتی نظیر تاریخ و زمان رایانه، نام کاربری، اطلاعات سیستم، مشخصات محصولات مرتبط با آنتی ویروس، لیست نرمافزارهای نصب شده، قوانین فایروال، لیست فرآیندهای در حال اجرا، پیکربندی مربوط به آیپی، دامنه، گروهها، موارد اشتراک در شبکه، حافظه پنهان و بسیاری از اطلاعات دیگر را گردآوری کند.
این بدافزار همچنین قادر است از طریق «Ping» و یا «curl»، اتصال کامپیوتر قربانی را به «یاندکس» (Yandex)، «گوگل» (Google)، «آرکسیو» (Arxiv)، «مگا» (Mega)، «میل چیمپ» (Mailchimp)، «گیتهاب» (Github) و «یاهو» (Yahoo) مورد بررسی قرار دهد و با دستور «findstr» نیز اطلاعات مربوط به نام کاربری، رمز عبور و «ویپیان را از رجیستری ویندوز استخراج کند.
بدافزار لمپو همه این اطلاعات را در فایلی به نام «Logs.txt» ذخیره و با فرمت «ZIP» فشرده میکند و در نهایت، آن را با استفاده از «Microsoft’s Collaboration Data Objects» (CDO)، «SMTPS» و «پورت ۴۶۵» به ایمیل هکرها می فرستد.
تمرکز ترتسشل در این حملهها بیشتر بر پیمانکارانی بود که در حوزه صنایع دفاعی و هوا و فضا با کشورهای خاورمیانهای در ارتباط بودند.
بررسی سابقه حملهها نشان میدهد که علاوه بر گروه ترتسشل، گروه «ایمپریال کیت» (Imperial Kitt)، دیگر گروه هکری وابسته به جمهوری اسلامی نیز علاقه ویژهای به این قبیل اهداف دارد.
ماه جولای ۲۰۲۱، شرکت فیسبوک طی مقالهای از مسدود شدن بیش از ۲۰۰ حساب جعلی ساخته شده توسط هکرهای وابسته به جمهوری اسلامی خبرداد.
فیسبوک ضمن نام بردن از گروه ترتسشل گفته بود صفحات مسدود شده، یکی از امکانات آنلاینی بود که این گروه از آن برای مهندسی اجتماعی استفاده و به اسم کارمندان شرکتهای دفاعی، هوا و فضا، سازمانهای مردمنهاد، پزشکان، روزنامهنگاران و غیره، اقدام به ارسال فایلهای آلوده به قربانیان و یا آنها را به بیرون از شبکه اجتماعی هدایت میکردند تا به دور از نظارت فنی فیسبوک، تکنیکهای هکری خود را به اجرا در بیاورند.
فیسبوک همچنین به «سرقت اعتبارنامه» (credential theft) توسط گروه ترتسشل اشاره کرده و گفته بود که هکرها با راهاندازی وبسایتهای جعلی، تلاش کردهاند شهروندان را فریب دهند و اطلاعات آنها را به سرقت ببرند.
در یک مورد، هکرها یک وبسایت جعلی جستوجوی کار، مشابه وبسایت جستجوی کار متعلق به وزارت کار ایالات متحده راهاندازی کرده بودند که قربانیان خود را به سمت آن هدایت میکردند. هکرها آدرس این وبسایت جعلی را توسط سرویسهای کوتاه کننده لینک مخفی میکردند تا در فرایند انتقال قربانی به این وبسایت، تشخیص مبدا و مقصد، سخت و یا غیرممکن شود.
تحقیقات فیسبوک نشان دادهاند که هکرها علاوه بر استفاده گسترده از محصولات «مایکروسافت» و کدهای مخرب مربوط به آن، با مهارت ویژهای بدافزارهای جاسوسی خود را مطابق نیاز خود شخصی سازی کرده و یا آنها را به شکلی توسعه دادهاند که تمامی امکانات لازم برای یک عملیات هک و نفوذ، مانند شناسایی هدف، گردآوری اطلاعات، نفوذ، پیکربندی، ارتباط فرمان و کنترل، ثبت و دیگر ویژگیها به آن افزوده شده است. ازجمله این بدافزارهای توسعه یافته، ابزار «سیسکیت» (Syskit) است که گروه ترتسشل پیش از این هم از آن برای هک سیستم عامل ویندوز بهره میبرد.
از نکات جالب توجه در مقاله فیسبوک، نام بردن از شرکت «محک رایان افراز» (MRA) در تهران و ارتباط گروه هکری ترتسشل با این شرکت است. فیسبوک گفته محک رایان افراز از جمله شرکتهای مرتبط با سپاه پاسداران انقلاب اسلامی است که معمولا پروژههای «برونسپاری توسعه بدافزار» (Outsourcing malware development) به آن سپرده میشود.
برخی از اعضا و گردانندگان محک رایان افراز به دلیل فعالیتهای مخرب سایبری، پیشتر در لیست تحریمهای ایالات متحده قرار گرفتهاند.
مطالب مرتبط:
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر