احمد باطبی
وبسایت «رکورد» (The Record)، بازتاب دهنده اخبار و رویدادهای حوزه امنیت فضای مجازی میگوید به شواهدی دست یافته است که نشان میدهند عوامل پشت پرده حمله باجافزاری اردیبهشت ۱۴۰۰ به «گروه رسانهای کاکس» (Cox Media Group)، مستقر در شهر آتلانتا، در ایالت جورجیای امریکا، هکرهایی مرتبط با ایران بودهاند.
کار نفوذ به شبکه و آلودهسازی دستگاههای این موسسه از حدود خرداد سال جاری آغاز شد اما خبر این حمله باجافزاری ۱۲ تیر به بیرون درز کرد؛ زمانی که مهاجمان باجافزارهای خود را فعال و با رمزنگاری تعدادی از سرورها، بخشی از سیستمهای فناوری اطلاعات و پخش زنده ایستگاههای رادیویی و تلویزیونی این موسسه را فلج کردند.
گروه رسانهای کاکس در ابتدا تلاش کرد موضوع را کم اهمیت جلوه داده و از خبرنگاران محلی و کسانی که از طریق توییتر جزییات این حمله باجافزاری را منتشر کرده بودند، خواست توییتهای خود را حذف کنند؛ اگرچه وسعت حمله به حدی نبود که باعث توقف کامل فعالیتهای این گروه رسانهای شود اما سبب شد که چهار ماه بعد، در ماه مهر، کاکس به صورت رسمی انجام این حمله را تایید کند.
حمله باجافزاری به این گروه رسانهای در ابتدا به گروهی با اسم رمز «DEV-0270» نسبت داده شد؛ گروهی که به غیر از کاکس، حمله باجافزاری به چند شرکت امریکایی دیگر نیز به آن نسبت داده میشود.
رصد عوامل تهدید درحال تکامل، موسوم به گروههای «DEV»، توسط «شرکت فناوری مایکروسافت» نشان میدهد که گروه «DEV-0270» مدتها با انگیزههای مالی در حال واکاوی اینترنت و گردآوری اطلاعات بوده است.
«مرکز اطلاعات تهدیدات مایکروسافت» (MSTIC)، روز ۲۵ آبان سال جاری گزارش مفصلی را تحت عنوان «فرآیند درحال توسعه عوامل تهدید ایرانی» منتشر کرد و به تغییرات ایجاد شده در عملکرد هکرهای وابسته به رژیم حاکم بر ایران پرداخت.
در این گزارش گفته شد که در یک سال اخیر، هکرهای وابسته به جمهوری اسلامی دستکم در سه حوزه رشد کردهاند.
- استفاده روزافزون از باجافزار برای باجگیری اینترنتی و یا اخلال در فعالیتهای عادی قربانیان
- صبوری و آرامش بیشتر نسبت به گذشته در مقابل چالشها و یا رسیدن به هدف
- تداوم حملات تهاجمی و بیرحمانه به قربانیان، در عین حفظ آرامش و صبوری
مرکز اطلاعات تهدیدات مایکروسافت از شهریور ۱۳۹۹ تاکنون دستکم شش گروه از عوامل تهدید مرتبط با رژیم ایران را شناسایی کرده است که در حوزه حملات باجافزاری فعال بودهند و دستکم هر شش تا هشت هفته، یک موج تازه از حملههای باجافزاری را به راه انداختهاند.
گروه هکری موسوم به «فسفورس» (PHOSPHORUS)، از زیرمجموعههای «تهدید پیشرفته مدام » (APT)، تحت فرمان رژیم حاکم بر ایران که پیشتر نیز ماکروسافت بارها از آن نام برده، یکی از این شش عامل تهدید است.
این گروه در سال ۲۰۲۱، دستکم در یک مورد از حملات باجافزاری، از ضعف امنیت موجود در «Fortinet FortiOS SSL VPN» استفاده کرده و با گرفتن دسترسی از سرورهای آسیبپذیر، آنها را به باجافزار آلوده کرده بود. این آلودهسازی از طریق رمزنگاری «BitLocker» و در پنج مرحله انجام شده بود.
- اسکن: گره فسفورس از اوایل سال ۲۰۲۱ با اسکن میلیونها «آیپی» در سراسر جهان برای یافتن آسیبپذیری «CVE-2018-13379»، اعتبارنامههای دستکم ۹۰۰ سرور «VPN Fortinet» را در امریکا، اروپا و اسرائیل گردآوری کرده و از نیمه دوم سال جاری میلادی به ارتباط گیری با سرورهای ترمیم نشده پرداخته بود.
- بهرهبرداری: فسفورس با هدف تثبیت و تداوم حضور خود در دستگاههای قربانیان و از یک «Plink runner» یا خطر فرمان به نام «MicrosoftOutLookUpdater.exe» استفاده کرده بود که امکان ارسال و اجرای فرمانهای بیشتری را از راه دور فراهم میکند. هکرها همچنین از طریق یک ایمپلنت سفارشی رمزنگاری شده، امکان تغییر رجیستری دستگاه و همچنین بارگیری و یا بارگذاری فایلهای مورد نظر خود کردهاند.
- مرور: هکرهای فسفورس بعد از تثبیت حضور در دستگاه قربانی، اقدام به ایجاد یک حساب کاربری ویژه با امکان دسترسی از راه دور میکردند تا دسترسی خود به عنوان مدیر را در آینده نیز تضمین کنند.
- مرحله اجرای باجافزار: در این مرحله، هکرها با استفاده از «BitLocker»، اقدام به رمزنگاری دستگاه قربانی کرده و از طریق سرورهای آلوده و اجرای اسکریپتی مخصوص، به صورت زنجیرهای، دیگر دستگاههای موجود در شبکه را نیز رمزنگاری و از دسترس خارج میکردند.
کارشناسان مرکز اطلاعات تهدیدات مایکروسافت با اشاره به صبر و پشتکار هکرهای گروه فسفورس و راهاندازی کمپینهای متعدد فیشینگ، همچون ارسال ایمیلهای جعلی تحت عنوان پیشنهاد شغلی و یا مصاحبه استخدام، به هزینهبر بودن این اقدامات اشاره میکنند و این را نشان از برخورداری این گروه از پشتیبانی و توان مالی مناسب میدانند.
گروه هکری «کوریوم» (CURIUM) یکی دیگر از تهدیدهای باجافزاری ایرانی است که در یکسال اخیر توسط شرکت مایکروسافت رصد شده است. این گروه نیز حملات فیشینگ را محور اصلی فعالیتهای خود قرار داده و با صبوری مخصوص، به فعالیت مشغول بود. این گروه گاه خود را «زنی جذاب» معرفی کرده و از طریق «لینکدین»، «فیسبوک» و غیره به چت روزانه با قربانیان میپرداخت و با هدف جلب بیش از پیش اعتماد قربانیان، فیلمهایی از زنان میفرستاد و در نهایت با ارسال فایل آلوده، اقدام به استخراج اطلاعات قربانیان میکرد.
گروه هکری در حال توسعه دیگری با شناسه «DEV-0343»، یکی دیگر از تهدیدهای سایبری مرتبط با ایران است که متخصصان مایکروسافت موفق به شناسایی آن شدهاند.
این گروه از شنبه تا پنجشنبه، از ساعت چهار صبح تا چهار بعدازظهر به وقت ایران فعالیت میکند و تا کنون به دهها هدف در حوزه نظامی، هوافضا، ارتباطات، حمل و نقل و غیره در امریکا، اروپا، اسرائیل و خاورمیانه حمله کرده است.
مایکروسافت میگوید مشاهده شده است «DEV-0343» به اهدافی که پیشتر توسط گروههای هکری دیگر ایرانی مورد حمله قرار گرفتهاند نیز حمله میکند. این خود نشان از هدف مشترک تمام عوامل تهدید مرتبط با ایران در جرایم سایبری دارد.
مایکروسافت میگوید امروزه عوامل تهدید ایرانی قادر هستند با استفاده از باجافزار، پاکسازی بدون بازگشت دادههای قربانیان، هک تلفن همراه، سرقت واژههای عبور، حملات فیشینگ، استثمار جمعی و زنجیره تامین عملیاتهای اطلاعاتی را سازماندهی و اجرا کنند و یا دست به اخلال و تخریب بزنند و حتی از عملیاتهای فیزیکی نیز پشتیبانی کنند.
گروه رسانهای کاکس در بیانیهای که منتشر کرده، گفته است این حمله باجافزاری در همان روز اول از سوی کارشناسان این موسسه شناسایی و بلافاصله اقدامات پیشگیرانه، از جمله از دسترس خارج کردن سیستمهای پاک آغاز شد. همزمان، تحقیقات لازم با همکاری پلیس فدرال امریکا (FBI) از منطقه «نیوآرک» و «دالاس» نیز انجام و در نهایت بدون پرداخت هیچ باجی، کنترل اوضاع مجدا به دست گرفته شد.
علاوه بر این، رصد فضای مجازی و وب تاریک نیز نشان میدهد که هیچ اطلاعات شخصی و یا سازمانی تاکنون در فضای مجازی نشت نکرده است.
در این بیانیه اشارهای به هویت عوامل پشت پرده این حمله باجافزاری نشده است و سخنگویان گروه رسانهای کاکس درخواستهای (The Record) برای اظهار نظر درباره این موضوع را بیپاسخ گذاشتهاند.
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر