ظهور گروهی تازه از هکرهای ایرانی؛ آن‌ها اطلاعات قربانیان را نابود می‌کنند

احمد باطبی

هکرهای ایرانی، در قالب گروهی نوظهور به نام «آگریوس» (Agrius) دوره‌ای از حملات سایبری را آغاز کرده‌اند که ترکیبی است از حملات باج‌افزاری (Ransomware) و حملات موسوم به «وایپر» (wiper) که در آن، داده‌ها و اطلاعات قربانیان، آسیب دیده یا نابود می‌شود.

محققان «سنتینل لب» (SentinelOne) که این حمله‌ها را رصد و مورد واکاوی قرار داده‌اند، زمان آغاز فعالیت گروه آگریوس و باج‌افزار چند کاره آن‌ها را سال ۲۰۲۰ اعلام کرده و گفته‌اند که عمده قربانیان این گروه اهدافی از اسراییل بوده‌اند.

حملات نوع وایپر (Wiper Attack) به دسته‌ای از حملات مخرب سایبری گفته می‌شود که در آن، مهاجم و یا مهاجمان با هدف سود مالی و یا آسیب رساندن به قربانی، اطلاعات او را حذف، دستکاری و یا نسخه‌برداری می‌کنند. این نوع حمله اساسا به منظور صدمه زدن به اطلاعات و داده‌های قربانی انجام می‌شود؛ اما گاهی نیز ممکن است مانند حملات گروه آگریوس، به عنوان بخشی از یک حمله باج‌افزاری و با هدف تحت فشار قراردادن قربانی، برای پذیرش خواسته‌های مهاجمان انجام شود.

ویژگی حملات باج‌افزاری گروه آگریوس، علاوه بر ترکیب حمله باج‌افزاری با حمله نوع وایپر این است که مهاجمان قادر هستند پس از نفوذ و تسلط بر سیستم قربانی، به صورت سفارشی و گزینشی، دسته‌ای خاص از داده‌های تصاحب شده را انتخاب و آن را دستکاری یا حذف کنند.

محققان سنتینل لب در بخشی از گزارش خود گفته‌اند که هکرهای آگریوس در مواردی وانمود می‌کنند که داده‌های تصاحب شده قربانیان رمزنگاری شده و در صورت پرداخت باج رمزگشایی خواهد شد. در صورتی که این داده‌ها پیش‌تر با استفاده از ویژگی حملات وایپر حذف شده‌اند. از این رو، به نظر می‌رسد که سود مالی تنها انگیزه مهاجمان نبوده و آن‌ها در پی آسیب‌رسانی کنترل شده به سرمایه‌های معنوی قربانیان هستند.

بنا بر گزارش سنتینل لب، مهاجمان در مرحله اول حمله، پیش از بهره‌برداری از آسیب‌پذیری‌های نرم‌افزاری و ضعف‌های پیکربندی کامپیوتر و شبکه قربانیان، از «وی پی ان» (virtual private network) استفاده می‌کنند تا ضمن رمزنگاری اطلاعات تبادل شده خود با قربانی، امکان رهگیری اقدامات خود را نیز به حداقل برسانند.

در حملات صورت گرفته این گروه در سال ۲۰۲۰ به اهداف اسراییلی، آسیب‌پذیری (FortiOS) با شناسه CVE-2018-13379  یکی از ضعف‌های امنیتی بود که بارها از آن برای نفوذ و تسلط بر قربانیان استفاده شد. این آسیب‌پذیری به مهاجمان امکان می‌داد که از طریق (webshells) و ابزارهای عمومی گرد‌آوری اطلاعات، اقدام به سرقت اعتبارنامه‌ها کرده و از آن‌ها برای نفوذ به شبکه و ایجاد بار مخرب استفاده کنند.

گروه هکری آگریوس از مجموعه‌ای از ابزارها، موسوم به جعبه ابزار آگریوس استفاده می‌کند که بدافزارهایی همچون (Deadwood)، (Shamoon) و (ZeroCleare) از جمله آن بوده و پیش‌تر نیز توسط گروه هکری تهدید پیشرفته مستمر شماره ۳۳ و ۳۴ (APT33)، (APT34)، ازجمله مجموعه هکرهای وابسته به حکومت ایران نیز مورد استفاده قرار گرفته بود.

«APT» یا «Advanced Persistent Threat» به معنای «تهدید پیشرفته مستمر» نیز اشاره‌​ای است به تهدیدهای دائمی که عموما از سوی مجرمان سایبری وابسته به دولت‌​ها ایجاد می‌​شوند؛ به عنوان مثال گروه «APT34» از جمله گروه​‌های «APT» است که تحت حمایت جمهوری اسلامی اقدام به فعالیت​‌های مجرمانه می​‌کند. فهرستی از این نوع گروه‌​های هک و نفوذ در این قسمت قابل مشاهده است.

مهاجمان پس از نفوذ و تسلط بر قربانی، یک راه نفوذ پایدار، موسوم به درب پشتی، از نوع (NET backdoor) در سیستم قربانی ایجاد کرده که در اصلاح به آن (IPsec Helper) گفته می‌شود. این درب پشتی امکان ارتباط با یک سرور فرمان و کنترل (C2) را برای مهاجمان ایجاد کرده و دسترسی آن‌ها را برای تبادل اطلاعات و یا بارگذاری و یا بارگیری فایل‌ها و داده‌ها فراهم می‌کند. در این مرحله مهاجمان زمینه را برای حملات نوع وایپر، از طریق ایجاد یک (NET wiper) فراهم می‌کند. به این ویژگی در اصطلاح (Apostle) گفته می‌شود. به نظر می‌رسد که (Apostle) کنونی، نسخه توسعه یافته و اصلاح شده این بد افزار باشد که پیش‌تر در حمله به تاسیسات دولتی در امارات متحده عربی مورد استفاده قرار گرفته بود.

محققان سنتینل لب می‌گویند که هیچ سند محکمی مبنی بر ایرانی بودن هکرهای گروه آگریوس در دست نیست؛ اما علاقه آن‌ها به مسائل مربوط به ایران، تکینک‌های مورد استفاده و ابزارهایی که از آن بهره می‌گیرند، تماما منطبق با رد‌پاهایی است که از سال ۲۰۰۲ تاکنون از هکرهای ایرانی به‌جا مانده است. هکرهایی که عموم آن‌ها با حمایت جمهوری اسلامی اقدام به جرایم سایبری کرده‌اند.

در سال گذشته میلادی، چندین گزارش رسمی از تحقیقات شرکت‌های امنیت سایبری مختلف منتشر شده بود که به طور مشخص به حملات سایبری پرداخته بود؛ این حملات توسط هکرهای ایرانی انجام شده و یا از ایران مدیریت می‌شد. از جمله حملات باج‌افزاری موسوم به (Dharma) که شرکت امنیتی (Group-IB) آن را کشف و گزارش کرده بود. در این گزارش آمده بود که هکرهای تازه​‌کار ایرانی با انگیزه‌​های مالی شرکت‌​های مختلفی در روسیه، چین، هند و ژاپن را هدف قرار داده‌اند. هکرهای مذکور در اخاذی‌​های اینترنتی خود، مبلغی بین ۱۱۷۰۰ تا ۵۹۰۰۰ دلار (به پول اینترنتی، بیت‌​کوین 1-5 BTC) را از قربانیان خود طلب می‌​کردند که در میانگین اخاذی​‌های اینترنتی معمول در جهان، رقمی پایین محسوب می‌​شود.

مهم‌ترین سابقه رسمی از حملات باج‌افزاری هکر​های ایرانی، به باج​‌افزار موسوم به «سم‌سام» (SamSam ransomware ) در سال ۲۰۱۸ باز می​‌گردد. این باج‌​افزار قوی توسط یک گروه هکری ایرانی و مخصوص هدف قرار دادن شرکت‌​های خصوصی و دولتی طراحی شده و ایالات متحده آمریکا یکی از اهداف اصلی آن بود. اداره حمل‌ونقل شهر کلرادو در ایالت دنور، بیمارستان ارتوپدی در ایالت نبراسکا، شرکت MedStar Health، شرکت LabCorp of Americ و چندین بیمارستان، مدرسه، شرکت و سازمان‌های دولتی در شهر نیوآرک در ایالت نیوجرسی و بندر سن​دیگو در کالیفرنیا از جمله قربانیان این باج​‌افزار ایرانی بودند. در دسامبر سال ۲۰۱۸، دادگستری ایالات متحده از ایالت نیوجرسی، بیانیه‌​ای را در خصوص گروه هکری مدیریت‌کننده باج​‌افزار سم‌سام منتشر کرد و دو تن از اعضای این گروه، به نام‌های «فرامرز شاهی ساوندی» و «محمدمهدی شاه‌منصوری»، هردو ساکن ایران را به توطئه برای ارتکاب به کلاه‌برداری با کامپیوتر و تلاش برای آسیب رساندن به سیستم‌​های محافظت ‌شده متهم کرد. در بیانیه دادگستری آمریکا آمده است که گردانندگان باج‌​افزار سم‌سام در مجموع بیش از ۲۰۰ قربانی را هک و بیش از شش‌ میلیون دلار اخاذی کرده‌اند. همچنین ضرر مالی که این اخاذی به کسب‌‌وکار قربانیان وارد کرد، رقمی بیش از سی‌ میلیون دلار است. گروه هکری گرداننده باج‌​افزار سم‌سام، اندکی پس از شناسایی این دو عضو گروه ناپدید شدند.

در احکام دستگاه قضایی ایالات متحده علیه فرامرز شاهی ساوندی و محمدمهدی شاه‌منصوری گفته شده که این دو تن صرفا متهم هستند و از نظر قانون، فقط در صورت انجام محاکمه و صدور حکم دادگاه گناهکار محسوب می‌شوند.