جزییات یک حمله سایبری؛ بچه گربه‌های جذاب سپاه پاسداران چه کار می‌کردند؟

احمد باطبی

وب‌سایت دانشکده مطالعات شرقی و آفریقایی دانشگاه لندن «سواس» (SOAS) واقع در شهر لندن و برخی کارکنان، استادان، کارشناسان، روزنامه‌نگاران و افراد مرتبط به این دانشگاه از سوی یک گروه هکری تحت فرمان سپاه پاسداران انقلاب اسلامی مورد حمله قرار گرفتند.

شرکت امنیت سایبری «پروف پوینت» (Proofpoint) در گزارشی به جزییات این حمله پرداخته و گفته است که هدف مهاجمان از این حمله‌ها، سرقت اطلاعات این دانشگاه و افراد مرتبط به آن بوده است.

در این مجموعه حمله‌ها، مهاجمان یک کارزار جاسوسی سایبری، با استفاده از جعل هویت برخی از شخصیت‌های علمی و دانشگاهی مستقر در بریتانیا به راه انداخته و با استفاده از حمله‌های نوع تله‌گذاری یا فیشینگ (Phishing) تلاش کرده‌اند که اطلاعات و رمزعبور افراد را به سرقت ببرند.

کارشناسان شرکت پروف پوینت، نام «محققان جعلی» (Spoofed Scholars) را برای این مجموعه از حمله‌های سایبری انتخاب کرده و گفته‌اند که پشت پرده این جرایم سایبری، مجموعه‌ای است موسوم به (TA453)، که خود از جمله زیرمجموعه‌های گروه‌های «تهدید پیشرفته مدام» (APT) محسوب می‌شوند.

مجموعه‌های موسوم به (APT) یا (Advanced Persistent Threat) اصطلاحی است در صنعت سایبری، برای اشاره به  تهدیدهای پیوسته و هدفمند سایبری که توسط هکرهای وابسته به حکومت‌ها طراحی و اجرا می‌شود. هدف این دست حمله‌ها معمولا دولت‌های دشمن و یا رقیب، مخالفان، نهاد‌های مهم، سازمان‌های تجاری و دانشگاه‌ها هستند. گروه‌های تهدید پیشرفته مدام که با علامت اختصاری (APT) و شماره‌های پس از آن شناخته می‌شوند، تلاش می‌کنند با اخلال در روند فعالیت اهداف خود، اطلاعات و سرمایه‌های معنوی آن‌ها را به سرقت ببرند یا فرایند خدمت‌رسانی آن‌ها را با اشکال مواجه‌ سازند. در میان این مجموعه‌ها (APT33) ،(APT34) ،(APT39) از جمله گروه‌های ایرانی تهدید پیشرفته مدام هستند که تحت حمایت جمهوری اسلامی به فعالیت‌های مجرمانه اینترنتی مشغول هستند.

پروف پوینت (TA453) را شامل دو گروه از هکرهای حکومتی شناخته شده وابسته به سپاه پاسداران انقلاب اسلامی، به نام‌های «بچه گربه‌های جذاب» (Charming Kitten) و «فسفروس» (Phosphorous) می‌داند که هر دوی آن‌ها، از زیرمجموعه‌های «تهدید پیشرفته مدام» (APT34) محسوب می‌شوند.

(APT34) نیز مجموعه‌ای است از گروه‌های مستقل هکری، مانند «بچه گربه‌های جذاب» (Charming Kitten)، تیم ‌امنیتی «آژاکس» (Ajax)، «فسفروس» (Phosphorous) و چند گروه دیگر که در سال ۲۰۱۴ توسط شرکت‌های امنیت سایبری شناسایی شده و تاکنون به اهداف متعددی در حوزه‌های مالی، دولتی، انرژی، شیمیایی، ارتباطات و سایر صنایع در سراسر جهان حمله کرده‌اند.

به گفته شرکت پروف پوینت در ابتدای سال جاری میلادی، هکرهای (TA453) با استفاده از یک جی‌میل جعلی (hannse.kendel4[@]gmail.com) و به نام یکی از عضو ارشد تدریس و تحقیقات بریتانیایی «دکتر هنس بیجرن کندل» (Dr.Hanns Bjoern Kendel)، با اهدافی در دانشکده مطالعات شرقی و آفریقایی دانشگاه لندن ارتباط بگیرند. هکرها ابتدا تلاش کردند تا با ایمیل و گفت‌وگوی تلفنی، اعتماد قربانیان را برای شرکت در یک کنفرانس جعلی، با عنوان «چالش‌های امنیتی ایالات متحده در خاورمیانه» جلب کنند. آن‌ها در پی اصرار اهداف برای دریافت یک دعوت‌نامه کتبی، دعوت‌نامه‌ای جعلی را نیز برای آن‌ها ارسال کردند. اما این تلاش هکرها در نهایت به یک تماس ویدیویی ختم شد.

متخصصان شرکت پروف پوینت گفته‌اند که هکرها از لحاظ صحبت به زبان انگلیسی از توانمندی بالایی برخوردار بودند. آن‌ها علاقه فراوانی به گرفتن شماره تلفن‌های همراه افراد از خود نشان می‌دانند که به احتمال زیاد برای حمله به موبایل‌ها و نصب بدافزارهای مخصوص گوشی همراه بود.

همچنین در مجموعه ایمیل‌هایی که هکرها به نام «دکتر هنس بیجرن کندل» ارسال کرده‌اند، دست‌کم یک مورد تلاش برای سرقت اعتبارنامه‌های گیرنده مشاهده شد و گمان می‌رود، تلاش برای سرقت اعتبارنامه‌های اهداف، بیش از این یک مورد باشد.

بخش درخور توجه این حمله‌ها، دسترسی هکرها به قسمتی از وبسایت (soasradio [.] org) بود که تعدادی از صفحات واقعی مرتبط با دانشکده مطالعات شرقی و آفریقایی دانشگاه لندن را میزبانی‌ می‌کند. هکرها درخلال حمله‌های خود، پیوندی را به قربانیان ارسال می‌کردند که با کلیک بر روی آن، یک صفحه مربوط به شرکت در یک وبینار گشوده می‌شد. این صفحه بخشی از صفحات واقعی این دانشگاه در وبسایت (SOAS Radio) بود. این سطح از دسترسی بیانگر آن است که هکرها به احتمال فراوان، با سرقت اعتبارنامه‌های افراد مرتبط با این وبسایت، امکان خلق این صفحه جعلی را برای خود فراهم کرده‌اند.

در صفحه جعلی وبینار، گزینه‌های ورود از طریق حساب‌های کاربری فیسبوک، جیمیل، یاهو و ... خطرناک‌ترین بخش محسوب می‌شد. این گزینه‌ها به شکلی طراحی شده بود که به کاربران هشدار می‌داد، تنها راه دسترسی به این وبینار، ورود از طریق حساب‌های کاربری ارائه شده در انتهای صفحه است. کاربران در صورت کلیک بر روی هر یک از این گزینه‌ها، اعتبارنامه‌های مربوط به حساب کاربری خود را به سادگی در اختيار هکرها قرار می‌دادند.

«دکتر هنس بیجرن کندل» تنها عنوان جعلی نبود که هکرها از آن برای فریب اهداف خود بهره برده‌اند. آن‌ها در ابتدای ماه می سال جاری نیز با همین شیوه و جعل ایمیل و هویت فرد دیگری تلاش کردند، قربانیان تازه‌ای را به شرکت در یک کنفرانس غیرواقعی دیگر تشویق کنند.

گروه هکری (TA453) پیش‌تر، در اواخر سال ۲۰۲۰ میلادی توسط پروف پوینت شناسایی شده بود. این شرکت در گزارشی ویژه، به حمله‌هایی پرداخته بود که توسط این گروه علیه بیست و پنج تن از متخصصان ارشد پزشکی، متخصصان تحقیقات ژنتیک، عصب‌شناسی و انکولوژی در ایالات متحده و اسراییل ترتیب داد. محققان پروف‌ پوینت این مجموعه حملات را با توجه به هویت قربانیان و نوع فعالیت‌های آنان در حوزه پزشکی «بد بلاد» (BadBlood) به معنای «خون ناپاک» نامیده‌ بودند.

(TA453) در آن مجموعه حمله‌ها نیز مشابه حمله به دانشکده مطالعات شرقی و آفریقایی دانشگاه لندن، با یک حساب کاربری جی‌میل به آدرس (zajfman.daniel [@] gmail.com)، و نام «دانیل زاجف‌من»، فیزیکدان اسراییلی، ایمیلی با عنوان «سلاح‌های هسته‌ای در یک نگاه» به قربانیان ارسال می‌کردند که حاوی یک فایل پی‌دی‌اف به نام (CBP-9075.pdf) بود. کلیک کردن روی این فایل قربانی را به یکی از دامنه‌های متعلق به هکرها بنام (1drv [.] casa) منتقل می‌کرد که در نهایت به هک درایو مجازی مایکروسافت (OneDrive) قربانی منتهی می‌شد. در دامنه متعلق به هکرها صفحه‌ای جعلی مشابه صفحه ورودی کاربران مایکروسافت وجود داشت که از قربانیان می‌خواست برای دیدن محتوای فایل پی‌دی‌اف نام کاربری و رمز عبور خود را وارد کنند. نتیجه این کار به تماشای فایل مذکور منتهی می‌شد، اما در آن سو، هکرها به سادگی مرحله احراز هویت قربانی را رصد کرده و مشخصات او را به سرقت می‌بردند.

شرکت پروف پوینت اهداف هکرهای (TA453) را به سه دسته تقسیم‌بندی کرده و گفته که این اهداف با اولویت‌های سپاه پاسداران انقلاب اسلامی سازگار است. دسته اول اعضا، افراد وابسته و کارکنان ارشد اتاق‌های فکر، دسته دوم روزنامه‌نگارانی که نسبت به امور خاورمیانه از خود علاقه نشان می‌دادند و دسته سوم استادان دانشگاه.

کارشناسان پروف پوینت معتقدند که این سه دسته از اهداف، به اطلاعات مهمی دسترسی دارند که جمهوری اسلامی به آن‌ها علاقه‌مند است. از جمله سیاست خارجی، جنبش‌های مرتبط با مخالفان حکومت، مذاکرات هسته‌ای با ایالات متحده و غیره. به همین دلیل، پیش از این حمله‌های سایبری، بیش از ده سازمان به عنوان اهداف هکرها شناسایی شده و گروه (TA453) برای نفوذ به آن‌ها به کار گرفته شده است.

پروف پوینت تاکید کرده که ما با اطمینان بالایی می‌گوییم، گروه هکری (TA453) تحت فرمان سپاه پاسداران انقلاب اسلامی عمل می‌کند.