احمد باطبی
روز دوشنبه ۱۹ مهر۱۴۰۰، «مایکروسافت»، شرکت چندملیتی فناوری در ایالت واشنگتن امریکا و یکی از بزرگترین ارایه کنندههای نرمافزارهای رایانهای در وبلاگ خود گزارشی منتشر کرد که بازگو کننده نحوه حملههای سایبری هکرهای وابسته به جمهوری اسلامی به شرکتهای فناوری دفاعی در کشورهای غربی و خاورمیانه است. در این گزارش گفته شده است برخی از این حملهها با موفقیت همراه بودهاند.
«مرکز اطلاعات تهدیدهای سایبری مایکروسافت» (Microsoft Threat Intelligence Center) (MSTIC)، ناشر این گزارش نام «DEV-0343» را برای این حملهها انتخاب کرده و خبر داده است در اواخر ماه جولای سال جاری میلادی، اولین ردپاهای این مجموعه حملات کشف و رصد شدند.
این ردپاها شامل حمله به بیش از ۲۵۰ حساب کاربری محصول «آفیس ۳۶۰» بودند که به شرکتهای فناوری امریکایی و اسرائیلی، بنادر و گذرگاههای تجاری در کشورهای حاشیه خلیج فارس و شرکتهای تجاری حملونقل بینالمللی تعلق داشتند.
بنا بر گزارش شرکت مایکروسافت، تمرکز حملات DEV-0343 بر شرکتهای دفاعی مستقر در امریکا و اسرائیل بود که به گونهای طرف قرارداد اتحادیه اروپا و دولت اسرائیل محسوب میشوند و در حوزه تولید محصولات نظامی، فناوریهای مرتبط با هواپیماهای بدون سرنشین و سیستمهای ماهوارهای مربوط به شرایط اضطراری فعال بودند.
در میان اهداف هکرها، مشتریان «سیستمهای اطلاعات جغرافیایی» (GPS)، تجزیه و تحلیل فضایی، بنادر، حملونقل و تجارت در خاورمیانه نیز به چشم میخورد.
کارشناسان مایکروسافت معتقدند تکنیکها و زمینههای فعالیتی که هکرهای DEV-0343 برای حملات سایبری خود برگزیدهاند، با سیاستها و علاقهمندیهای جمهوری اسلامی و سوابق موجود از حملات سایبری هکرهای وابسته به رژیم ایران مطابقت دارند. مواردی همچون استفاده گسترده از مرورگر «فایرفاکس» (Firefox) که یکی از مرورگرهای مورد علاقه هکرهای حکومتی است، بهره بردن از شبکه رمزنگاری شده «تور» (Tor) برای پنهان ماندن در فضای مجازی، استفاده از زنجیره آیپیها که گاه به ۱۵۰ تا هزار آیپی رسیده است و نشان از امکانات گسترده مهاجمان دارد و یا ساعت کاری هفت و نیم صبح تا هشت و نیم شب که ساعت کاری مرسوم در ایران است و بسیاری موارد دیگر، نشانههایی هستند که ظن دست داشتن هکرهای وابسته به جمهوری اسلامی را در این مجموعه حملهها بیش از پیش میکنند.
مهاجمان در مجموعه حملههای DEV-0343، از یک بدافزار هکری متن باز به نام «o365spray» استفاده کردهاند که در مخزن «گیتهاب» (GitHub) در دسترس عموم است.
این بدافزار که با هدف آموزش ایجاد شده و در اختیار کاربران قرار گرفته است، مجموعهای از حملات شناخته شده به محصول آفیس ۳۶۰ شرکت مایکروسافت را در اختیار مهاجمان قرار میدهد که در مواردی حتی امکان عبور از مرحله احراز هویت محصولات آفیس را نیز فراهم میکند.
مایکروسافت به کاربران خود توصیه کرده است برای اجتناب از گرفتار شدن به دام این بدافزار، از ویژگی احراز هویت چند مرحلهای این شرکت شامل «Microsoft Authenticator» و همینطور «Microsoft 365 Defender» استفاده کنند.
مایکروسافت سال ۲۰۱۹ میلادی نیز گزارشی منتشر کرده و گفته بود گروه «فسفوروس» (Phosphorous)، از گروههای هکری وابسته به جمهوری اسلامی، طی ۳۰ روز بر روی بیش از ۷۰۰ حساب متعلق به شرکت مایکروسافت تست نفوذ انجام داده بود که دستکم ۲۴۱ مورد از این حسابهای کاربری به کارزارهای انتخابات ریاست جمهوری امریکا، مقامات فعلی و سابق دولت ایالات متحده، روزنامهنگاران بینالمللی و چهرههای ایرانی مطرح در خارج از کشور مربوط بودهاند.
در همین سال، مایکروسافت مجموعهای از دامنههای اینترنتی شناسایی کرد که از سوی هکرهای وابسته به جمهوری اسلامی برای حملات نوع «فیشینگ» مورد استفاده قرار میگرفتند. این شرکت با طرح شکایتی در دادگاه فدرال امریکا در شهر واشنگتن دیسی، توانست مجوز توقیف ۹۹ مورد از این دامنهها را دریافت کند.
مایکروسافت با بهره بردن از همین حکم دادگاه، بعدها ۲۵ دامنه دیگر را نیز توقیف کرد تا مجموع دامنههای از دسترس خارج شده هکرهای حکومتی به عدد ۱۵۵ برسد.
به گفته مایکروسافت، هکرهای وابسته به جمهوری اسلامی از برخی از این دامنهها در خلال انتخابات میاندورهای امریکا در سال ۲۰۱۸ استفاده کردهاند.
در امریکا بر اساس «قانون اختیارات اقتصادی در شرایط اضطراری بینالمللی» (IEEPA)، این امکان وجود دارد که در شرایط ویژه و یا به دلایل انساندوستانه، شخص، سازمان و یا حتی حکومت ایران با اخذ مجوز از «دفتر کنترل داراییهای خارجی»، اقدام به کنار زدن موقت تحریمها کرده و نیازمندیهای اعلام شده به وزارت خزانهداری ایالات متحده را از بازار جهانی تهیه کند.
دادگستری ایالات متحده با استناد به همین قانون، موضوع عدم اخذ مجوز «دفتر کنترل داراییهای خارجی» (OFAC) را برای فعالیت این دامنهها از سوی جمهوری اسلامی مطرح و دستور توقیف این دامنهها را صادر کرد.
ماه سپتامبر سال گذشته نیز مایکروسافت گزارش داد که کارمندان و افراد مرتبط با هر دو حزب جمهوریخواه و دموکرات در امریکا مورد حمله هکرهای وابسته به دولتهای خارجی قرار گرفتهاند.
مایکروسافت یکی از عوامل این حملات را گروه هکری ایرانی موسوم به فسفوروس اعلام کرده و گفته بود: «اگرچه اکثر حملات هکری پیش از به ثمر نشستن، شناسایی و دفع شدهاند اما مهاجمان، مجموعهای از افراد، از کارمندان گرفته تا افراد مرتبط با هر دو حزب جمهوریخواه و دمکرات در امریکا را هدف حملات خود قرار دادهاند. این خود به معنای تلاش گروههای خارجی برای تاثیرگذاری بر روند و نتیجه انتخابات ریاست جمهوری در امریکا است.»
در ماه اکتبر سال گذشته میلادی نیز شرکت مایکروسافت اعلام کرد حملات سایبری هکرهای وابسته به جمهوری اسلامی به شرکت کنندگان احتمالی کنفرانس مونیخ در آلمان را شناسایی و خنثی کرده است. مایکروسافت بار دیگر گروه هکری فسفوروس را عامل این حملهها معرفی کرده که اشارهای است به مجموعهای از گروههای هکری موسوم به «ایپیتی ۳۵» (APT35)، گروه «بچهگربههای جذاب» (Charming Kitten) و همچنین تیم امنیتی «آژاکس» (Ajax) که همگی از گروههای هک حرفهای وابسته به حکومت ایران هستند.
مایکروسافت در آن تاریخ بیش از ۱۰۰ حمله سایبری که از سوی این گروه هکری به شرکتکنندگان بالقوه «کنفرانس امنیتی مونیخ»، (کنفرانسی جهانی با موضوع سیاستهای مرتبط با امنیت بینالمللی که هرساله در ماه فوریه در هتل «بایریشر هوف» در شهر مونیخ آلمان برپا میشود) و «کنفرانس گروه اندیشمندان تی۲۰» (T20) (از جمله گروههای وابسته به «اجلاس سالانه جهانی گروه ۲۰» (G20) که در سال ۲۰۲۰ عربستان سعودی ریاست آن را بر عهده داشت) انجام شده را شناسایی و خنثی کرده بود.
گروه اندیشمندان تی۲۰، ایدهپرداز اجلاس جهانی گروه ۲۰ محسوب میشود و در ۶۰ سال اخیر که این اجلاس در شهر مونیخ آلمان برپا شده، به عنوان اصلیترین گروه این همایش فعال به شمار رفته است.
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر