حمله سایبری هکرهای ایرانی به مدعوین احتمالی همایش‌های بین‌المللی

«شرکت مایکروسافت» اعلام کرد که حملات سایبری هکرهای وابسته به جمهوری اسلامی به  شرکت کنندگان احتمالی کنفرانس‌های مطرح بین‌المللی را شناسایی و خنثی کرده است. 

این ابرشرکت فناوری چندملیتی که از جمله بزرگ‌ترین تولیدکننده نرم‌افزار و خدمات اینترنتی در جهان محسوب می‌شود، از مهاجمان با عنوان گروه هکری «فسفروس» (Phosphorous) یاد کرده که اشاره‌ای است به مجموعه‌ای از گروه‌های هکری موسوم به «ای‌پی‌تی ۳۵» (APT35)، گروه «بچه‌گربه‌های جذاب» (Charming Kitten) و هم‌چنین تیم ‌امنیتی «آژاکس» (Ajax) که همگی از گروه‌های هک حرفه‌ای هستند که از پشتیبانی حکومت ایران بهره‌ می‌برند.  

مایکروسافت  بیش از ۱۰۰ حمله سایبری که از سوی این گروه هکری به شرکت‌کنندگان بالقوه «کنفرانس امنیتی مونیخ»، (کنفرانسی جهانی با موضوع سیاست‌های مرتبط با امنیت بین‌المللی که هرساله در ماه فوریه در هتل «بایریشر هوف» در شهر مونیخ آلمان برپا می‌شود) و «کنفرانس گروه اندیشمندان تی‌۲۰» (T20) (ازجمله گروه‌های وابسته به «اجلاس سالانه جهانی گروه ۲۰» (G20) که در سال ۲۰۲۰ عربستان سعودی ریاست آن را بر عهده دارد) انجام شده را شناسایی و خنثی کرده است.
گروه اندیشمندان تی‌۲۰، ایده‌پرداز اجلاس جهانی گروه ۲۰ محسوب می‌شود و در ۶۰ سال اخیر که این اجلاس برپا شده است، به عنوان اصلی‌ترین گروه این همایش فعال بوده است. 

مایکروسافت  با اشاره به این که این حملات، جدا از حملات اخیر مرتبط با انتخابات سال ۲۰۲۰ ایالات متحده بوده‌اند، گفته است مهاجمان گروه فسفروس ایمیل‌هایی جعلی، حاوی دعوت‌نامه‌های مرتبط با این دو همایش بین‌المللی را برای مقامات سابق دولت‌ها، کارشناسان سیاسی، دانشگاهیان و رهبران سازمان‌های غیردولتی که احتمال دعوت‌شدن‌شان به این همایش وجود داشته را ارسال و مباحثی نظیر احتمال برپایی همایش‌ها به صورت مجازی، به دلیل عالم‌گیر شدن ویروس کرونا را نیز مطرح کرده‌اند.  

کارشناسان امنیتی مایکروسافت  معتقدند که هدف هکرها از ارسال این ایمیل‌های جعلی، گردآوری اطلاعات بوده است اما آن‌ها درعین حال، در به خطر انداختن سفرای پیشین کشورها و کارشناسان سیاسی که در شکل‌گیری سیاست‌های داخلی و بین‌المللی کشورها موثر هستند، موفق بوده‌اند.  

تصویری که مایکروسافت  از نحوه عملکرد گروه فسفروس در این حملات منتشر کرده است 

«مرکز اطلاعات تهدید‌های هوشمند شرکت مایکروسافت » (MSTIC) به عنوان کاشف این حمله‌ها، کاربران را به استفاده از تکنولوژی محافظ حساب کاربری این شرکت (Microsoft AccountGuard) که در بیش از ۳۰ کشور جهان در دسترس است، تشویق کرده است.
این مرکز اعلام کرده علاوه بر تدابیر امنیتی مانند احراز هویت و بررسی اعتبارنامه‌ها، این تکنولوژی ایمیل‌های دریافتی کاربران را با دامنه اصلی ایمیل‌ها مطابقت می‌دهد و در صورت جعلی بودن ایمیل، کاربر را مطلع می‌کند. ایمیل‌های زیر از جمله ایمیل‌های جعلی مورد استفاده هکرهای وابسته به جمهوری اسلامی در این حمله‌ها هستند: 

کمتر از یک ماه پیش نیز مایکروسافت  از بهره‌برداری هکرهای ایرانی از دو آسیب‌پذیری موجود در محصولات این شرکت برای نفوذ به شبکه‌ داخلی شرکت‌هایی که از سرورهای موسوم به کنترل کننده دامنه «DC» استفاده می‌کنند، خبر داد. مایکروسافت گفته بود هکرهای وابسته به جمهوری اسلامی دست کم دو هفته مشغول بهره‌برداری از این آسیب‌پذیری بوده‌اند و گمان می‌رود که این گروه کار خود را یک هفته پس از عمومی شدن این آسیب‌پذیری آغاز کرده و با انتشار بسته‌های ترمیمی امنیتی و به‌روز رسانی نرم‌افزارهای این شرکت، فرایند کارشان کندتر شده و یا متوقف شده باشد. 

مایکروسافت در گزارش دفاع دیجیتال ماه سپتامبر سال جاری گفته بود که بنا بر تحقیقات این شرکت، ۱۰ درصد از مجموع حملات سایبری رخ داده به سازمان‌ها در سال ۲۰۲۰ و هفت درصد از مجموع حملات سایبری انجام شده در این سال، توسط هکرهای تحت حمایت جمهوری اسلامی انجام شده‌اند. 

شهریور سال جاری نیز مایکروسافت در گزارشی نسبت به حملات سایبری گروه فسفروس و هکرهای دیگری از چین و روسیه با موضوع انتخابات ریاست جمهوری سال ۲۰۲۰ ایالات متحده هشدار داده و گفته بود: «اگرچه اکثر حملات هکری پیش از به ثمر نشستن شناسایی و دفع شده‌اند اما مهاجمان، مجموعه‌ای از افراد، از کارمندان گرفته تا افراد مرتبط با هر دو حزب جمهوری‌خواه و دمکرات در امریکا را هدف حملات خود قرار داده‌اند. این خود به معنای تلاش گروه‌های خارجی برای تاثیرگذاری بر روند و نتیجه انتخابات ریاست جمهوری در امریکا است.»

«تام برت»، رییس بخش امنیت مشتریان شرکت مایکروسافت گفته است بخشی از هدف‌های اصلی گروه فسفروس طی ماه‌های خرداد و مرداد امسال، حساب‌های کاربری مقامات دولت «دونالد ‌ترامپ» و کارکنان ستاد انتخاباتی او بود که پیش از به ثمر نشستن، شناسایی و خنثی شدند.

مایکروسافت سال ۲۰۱۹ میلادی نیز گزارشی منتشر کرده و گفته بود که گروه هکری فسفروس در ماه مرداد و شهریور سال پیش، طی ۳۰ روز بیش بروی بیش از ۷۰۰ حساب متعلق به شرکت مایکروسافت تست نفوذ انجام داده‌اند که دست‌کم ۲۴۱ مورد از این حساب‌های کاربری به کارزار‌های انتخابات ریاست جمهوری امریکا، مقامات فعلی و سابق دولت ایالات متحده، روزنامه‌نگاران بین‌المللی و چهره‌های ایرانی مطرح در خارج از کشور مربوط بوده‌اند. 

در همین سال، مایکروسافت مجموعه‌ای از دامنه‌های اینترنتی شناسایی کرد که از سوی  هکرهای وابسته به جمهوری اسلامی برای حملات نوع فیشینگ مورد استفاده قرار می‌گرفتند. این شرکت با طرح شکایتی در دادگاه فدرال امریکا در شهر واشنگتن دی‌سی، توانست مجوز توقیف ۹۹ مورد از این دامنه‌ها را دریافت کند.
مایکروسافت با بهره بردن از همین حکم دادگاه، بعدها ۲۵ دامنه‌ دیگر را نیز توقیف کرد تا مجموع دامنه‌های از دسترس خارج شده هکرهای حکومتی به عدد ۱۵۵ برسد.  

هکرهای گروه ای‌پی‌تی ۳۵ (APT35) از زیرمجموعه‌های گروه فسفروس با استفاده از نام شرکت‌های معتبری هم‌چون «یاهو»، «آوت‌لوک» و مایکروسافت، اقدام به ساخت زیردامنه‌هایی هم‌چون «outlook-verify.net»، «yahoo-verify.net»، «verification-live.com» و «myaccount-services.net» کرده بودند و از آن‌ها برای فریب قربانیان خود در حملات نوع فیشینگ بهره می‌بردند.  

در گزارش سال ۲۰۱۹ مایکروسافت آمده که از این دامنه‌ها در حملات سایبری که در خلال انتخابات میان‌دوره‌ای امریکا از سوی گروه ای‌پی‌تی ۳۵ انجام شده، استفاده شده است؛ گروه هکری که از سال ۲۰۱۴ تا کنون حملات سایبری متعددی را به مراکز نظامی در ایالات متحده و خاورمیانه، پرسنل دیپلماتیک و دولتی، سازمان‌های رسانه‌ای، پایگاه‌های صنعتی، انرژی، نهادهای دفاعی (DIB)، بخش‌های مهندسی و هم‌چنین زیرساخت‌های خدمات بازرگانی و مخابراتی در سراسر جهان انجام داده است.

هفدهم مهرماه امسال نیز ۹۲ دامنه اینترنتی که از سوی سپاه پاسداران انقلاب اسلامی مورد استفاده قرار گرفته بودند، به دلیل برپایی کارزار غیرقانونی ضد اطلاعات و نشر اخبار و اطلاعات جعلی در سطح جهان، از سوی دستگاه قضایی ایالات متحده توقیف شدند. 

به گفته دادستانی امریکا، چهار مورد از این دامنه‌ها به طور مشخص در خصوص سیاست داخلی و خارجی ایالات متحده تولید محتوا می‌کردند و ۸۸ دامنه دیگر نیز با هدف پوشش مخاطبان در اروپای غربی، خاورمیانه و جنوب آسیا، در راستای اهداف حکومت ایران، اقدام به نشر اخباری جعلی ‌کرده بودند.
دستور توقیف این دامنه‌ها با استناد به «قانون ثبت کارگزاران خارجی» (FARA)، به دلیل استفاده از خدمات شرکت‌های امریکایی بدون بدون دریافت مجوز از «دفتر کنترل دارایی‌های خارجی» (OFAC) صادر شد.

با احتساب این ۹۲ دامنه، از سال گذشته تا کنون ۲۴۷ دامنه متعلق به جمهوری اسلامی که از آن‌ها برای جرایم سایبری استفاده می‌شده، از دسترس خارج شده‌اند.