انتخابات ریاست جمهوری امریکا هدف هکرهای ایرانی، روسی و چینی

۲۱ شهریور ۱۳۹۹

خواندن در ۶ دقیقه

در هفته‌های اخیر، هکرهایی از ایران، چین و روسیه، انتخابات ریاست‌جمهوری سال ۲۰۲۰ ایالات متحده آمریکا را هدف حملات سایبری خود قرار داده‌اند.

هکرهای روسی در اکثرموارد از روش فیشینگ و مهندسی اجتماعی برای هدف قراردادن قربانیان خود استفاده می‌کردند.

ماکروسافت تایید کرد که کمپین انتخاباتی دونالد ترامپ، ازجمله هدف‌های اصلی گروه هکری ایرانی بوده است.

در هفته‌های اخیر، هکرهایی از ایران، چین و روسیه، سازمان‌ها، افراد و چهره‌های دخیل در انتخابات ریاست‌جمهوری سال ۲۰۲۰ ایالات متحده امریکا را هدف حملات سایبری خود قرار داده‌اند.

«مایکروسافت»، شرکت چندملیتی فناوری در ایالت واشنگتن امریکا و یکی از بزرگ‌ترین ارایه‌کننده‌های نرم‌افزارهای رایانه‌ای در دنیا با اعلام این خبر گفت: «اگرچه اکثر این حملات هکری پیش از به ثمر نشستن شناسایی و دفع شده‌اند اما مهاجمان مجموعه‌ای از افراد، از کارمندان گرفته تا افراد مرتبط با هر دو حزب جمهوری‌خواه و دمکرات در امریکا را زیر حملات خود قرار داده‌اند. این خود به معنای تلاش گروه‌های خارجی برای تاثیرگذاری بر روند و نتیجه انتخابات ریاست جمهوری در امریکا است.»

به گفته «تام‌برت»، معاون شرکت مایکروسافت، گروهی از هکرهای روسی که در سال ۲۰۱۶ به ستاد انتخاباتی حزب دمکرات امریکا حمله کرده بودند، اکنون دور تازه‌ای از تهاجم را به اهدافی مرتبط با انتخابات ریاست جمهوری سال ۲۰۲۰ ایالات متحده آغاز کرده‌اند.
او افزود تا کنون دست‌کم ۲۰۰ مورد از این حمله‌ها شناسایی و دفع شده‌اند.

مایکروسافت از این گروه هکری روسی با عنوان «استرانتیوم» (Strontium) یاد کرده است که در فضای مجازی گاه با عنوان «ای‌پی‌تی۲۸» (APT28) و یا «فنسی بِر» (Fancy Bear) نیز شناخته می‌شود.
این گروه در بازه زمانی ۲۸ مرداد تا ۱۳ شهریور سال جاری، اطلاعاتی قدیمی مانند نام کاربری و رمزهای عبوری که پیش‌تر سرقت کرده بود را برای دسترسی به بیش از هفت هزار حساب کاربری مرتبط با موارد یاد شده دوباره مورد آزمایش قرار داده ‌است. از جمله اهداف این گروه می‌توان به مشاوران امریکایی هر دو حزب جمهوری‌خواه و دمکرات، اندیشکده‌هایی مانند «The German Marshall Fund of the United States» و سازمان‌های حامی آن‌ها، تشکل‌های امریکایی فعال در حوزه ایالتی و ملی، «حزب مردم» اروپا و تشکل‌های سیاسی بریتانیایی اشاره کرد.

بنابر گزارش مایکروسافت، هکرهای روسی در اکثر موارد از روش فیشینگ و مهندسی اجتماعی برای هدف قرار دادن قربانیان خود استفاده می‌کردند. برای این‌کار، علاوه بر بهره بردن از تکنولوژی «Tor» برای ناشناس ماندن در خلال مراحل حمله، بیش از هزار «آی‌پی» در گردش در اختیار داشتند که دست کم ۲۰ عدد از آن‌ها به صورت روزانه حذف و اضافه می‌شدند.
به اعتقاد کارشناسان امنیتی، بهره‌مندی از چنین طیف گسترده‌ای از آی‌پی و امکانات، بدون کمک‌ دولتی غیرممکن است. از این رو، این مورد می‌تواند دلیلی برای وابستگی مهاجمان به حکومت روسیه باشد.

مایکروسافت در بخش دیگری از گزارش خود به نقش هکرهای ایرانی در حملات اخیر به مراکز مرتبط با انتخابات ریاست جمهوری ۲۰۲۰ امریکا اشاره کرده و گفته است این حملات از سوی گروه هکری موسوم به «فسفوروس» (Phosphorous) انجام شده‌اند که در صنعت سایبری، اشاره‌ای است به چند گروه حرفه‌ای هکری وابسته به جمهوری اسلامی، از جمله گروه «ای‌پی‌تی ۳۵» (APT35)، گروه «بچه‌گربه‌های جذاب» (Charming Kitten) و هم‌چنین تیم ‌امنیتی «آژاکس» (Ajax).
مایکروسافت گروه فسفوروس را یک گروه هکری فعال در حوزه جاسوسی و گردآوری اطلاعات معرفی کرده است که به شکل سنتی، طیف وسیعی از سازمان‌ها و مراکز مرتبط با منافع ژئوپلیتیك، اقتصادی یا حقوق بشر در منطقه خاورمیانه را هدف قرار می‌دهد.

مایکروسافت در سال ۲۰۱۹ نیز در گزارشی نسبت به فعالیت‌های هکری گروه فسفروس هشدار داده و گفته بود که این گروه در یک بازه زمانی ۳۰ روزه، در مرداد و شهریور سال گذشته بیش از دو هزار و۷۰۰ حساب کاربری مایکروسافت را برای نفوذ مورد کاوش قرار داده‌ است.
بنابه گفته این شرکت، ۲۴۱ مورد از آن‌ها حساب‌های کاربری مربوط به کارزار‌های انتخابات ریاست جمهوری امریکا، مقامات فعلی و سابق دولت ایالات متحده، روزنامه‌نگاران بین‌المللی و چهره‌های ایرانی مطرح در خارج از کشور بوده‌اند.

در گزارش سال ۲۰۱۹ مایکروسافت به طور مشخص گفته نشده که هدف حملات گروه فسفروس دقیقا کدام یک از دو حزب مطرح ایالات متحده بوده است. اما امروز و پس از بررسی‌های متعددی که از سوی متخصصان و محققان انجام شده، مایکروسافت تایید کرده است که کمپین انتخاباتی «دونالد ترامپ»، از جمله هدف‌های اصلی این گروه هکری ایرانی بوده است.

تام برت، رییس بخش امنیت مشتریان مایکروسافت گفته است آخرین دوره از حملات گروه فسفروس به حساب‌های کاربری مقامات دولت دونالد ‌ترامپ و کارکنان ستاد انتخاباتی او، طی ماه‌های خرداد و مرداد امسال انجام شده‌ که پیش از به ثمر نشستن، شناسایی و دفع شده‌اند.

برت هم‌چنین گفته است هکرهای ایرانی مجموعه‌ای از دامنه‌های اینترنتی را در اختیار داشته‌اند که از آن‌ها برای جرایم سایبری و حملات فیشینگ بهره می‌بردند.

شرکت مایکروسافت در سال ۲۰۱۹ توانسته بود با مجوز دادگاه فدرال واشنگتن دی‌سی، پایتخت ایالات متحده، کنترل ۹۹ مورد از این دامنه‌ها را در اختیار خود بگیرد و از دسترس هکرهای ایرانی خارج کند. مایکروسافت هم‌چنین با استفاده از همین مجوز، ۲۵ دامنه دیگر را در کنترل خود گرفته که با احتساب موارد پراکنده گذشته، در مجموع ۱۵۵ دامنه را از کنترل هکر‌های ایرانی خارج کرده است.

هکرهای گروه ای‌پی‌تی۳۵ از اعضای مجموعه هکری فسفروس، با گنجاندن نام‌ها و برندهای تجاری مانند «یاهو»، «آوت‌لوک» و «مایکروسافت» در پیکره دامنه‌ها، دامنه‌هایی مشابه زیر دامنه‌های شرکت‌های معتبر ساخته و از آن‌ها برای فریب و جلب اعتماد قربانیان خود استفاده می‌کردند. دامنه‌های «outlook-verify.net»، «yahoo-verify.net»، «verification-live.com» و «myaccount-services.net» از جمله دامنه‌های تولید شده توسط هکرهای ایرانی بودند که به دستور دادگاه، در اختیار مایکروسافت قرار گرفته‌‌اند.

به گفته مایکروسافت، هکرهای ایرانی از برخی از این دامنه‌ها در خلال انتخابات میان‌دوره‌ای امریکا در سال ۲۰۱۸ استفاده کرده‌اند. گروه ای‌پی‌تی۳۵ که با عنوان «نیوزکستر» (Newscaster) نیز شناخته می‌شود، از سال ۲۰۱۴ فعالیت خود را آغاز کرده و مجموعه حملاتی را به نظامیان ایالات متحده و خاورمیانه، پرسنل دیپلماتیک و دولتی، سازمان‌های رسانه‌ای، پایگاه‌های صنعتی، انرژی، دفاعی (DIB)، بخش‌های مهندسی و هم‌چنین زیرساخت‌های خدمات بازرگانی و مخابراتی را در کشورهای مختلف در کارنامه جرایم خود دارد.

مایکروسافت هکر‌های چینی مهاجم به فعالیت‌های انتخاباتی ریاست جمهوری امریکا را گروه «زیرکونیوم» (Zirconium) معرفی کرده است که در جامعه سایبری با نام «ای‌پی‌تی۳۱‌» نیز شناخته می‌شود. آغاز فعالیت این گروه، اوایل سال ۲۰۱۶ میلادی تخمین زده شده و حوزه فعالیت آن به شکل سنتی، شرکت‌های خارجی به منظور سرقت دارایی‌های معنوی آن‌ها است. اما در ماه‌های اخیر، اهداف سیاسی و دیپلماتیک نیز به لیست حملات آن‌ها افزوده شده است.

ماکروسافت گفته تنها در بازه زمانی مرداد تا شهریور امسال، هزاران مورد از حملات این گروه را به حساب‌های کاربری شناسایی و خنثی کرده است. اما با این وجود، این گروه چینی تقریبا در۱۵۰ مورد از این حملات موفق بوده و توانسته‌ است به حساب‌های کاربری قربانیان دسترسی پیدا کند. اهداف و قربانیان این دوره از تهاجم گروه هکری زیرکونیوم Zirconium، مجموعه‌ای از افراد نزدیک و دخیل در انتخابات ریاست جمهوری امریکا و چهره‌های نزدیک به دونالد ترامپ و رقیب او، «جو‌بایدن»، چهره‌های بین‌الملی فعال در حوزه‌های مختلف و دانشگاهیان بودند.

شرکت گوگل مرداد امسال در گزارشی به فعالیت‌های هکری این گروه چینی و هم‌چنین گروه ایرانی ای‌پی‌تی۳۵ اشاره کرده و گفته بود که ای‌پی‌تی۳۱ چند تن از کارمندان کمپین ریاست جمهوری جوبایدن و ای‌پی‌تی۳۵ تعدادی از کارکنان کارزار انتخاباتی دونالد ترامپ را مورد حملات سایبری، از نوع فیشینگ قرار داده‌اند.

«شین هانتلی»، رییس «گروه تجزیه و تحلیل تهدیدات گوگل» (Google TAG) گفته است بررسی‌ها نشان می‌دهند که هیچ‌کدام از حملات انجام شده موفقیت‌‌آمیز نبوده‌اند. با این وجود، شرکت گوگل با استفاده از سیستم پیام‌رسان داخلی «جی‌میل»، هشدار مربوط به «حملات سایبری مورد حمایت دولت‌ها» را برای کاربران مورد نظر ارسال کرده و موارد را به مراجع قانونی ایالات متحده اطلاع داده است.

هانتلی پیش از این در خصوص برنامه «حفاظت پیشرفته گوگل» (Advanced Protection Program) که با نام اختصاری «ای‌پی‌پی» (APP) شناخته می‌شود، سخن گفته و روزنامه‌نگاران، فعالان حقوق بشری و سیاسی را تشویق کرده بود که با ثبت‌نام در این سرویس گوگل و استفاده از کلید‌سخت‌افزاری، حساب‌های کاربری خود را در مقابل حملات فیشینگ که عموما از سوی دولت‌ها هدایت و پشتیبانی می‌شوند، ایمن کنند.