در قسمت اول این گزارش، به دلایل ایدئولوژیک و استراتژیک جمهوری اسلامی برای راهاندازی گروههای هکری و حمله به کشورهای رقیب و دشمن پرداختیم و از سوابق و عملکرد گروههای هکری «بچه گربههای سیامی» (Siamesekitten)، «ترتسشل» (Tortoiseshell)، «بچه گربه جذاب» (Charming Kitten) و «آگریوس» (Agrius) نوشتیم. در این قسمت، در خصوص نام، سوابق و عملکرد دیگر گروههای هکری فعال جمهوری اسلامی در شش ماه نخست سال ۲۰۲۱ بحث خواهد شد.
***
گروه هکری اویلریگ
«اویلریگ» (OilRig) از جمله گروههای هکری وابسته به جمهوری اسلامی است که مدتی از فعالیتهای خود کاسته بود. اما اوایل آوریل ۲۰۲۱، شرکت امنیت سایبری «چکپوینت» (Checkpoin) گزارشی از یک دوره از حملات سایبری این گروه منتشر کرد که علیه اهدافی در کشور لبنان انجام شده بود.
چکپوینت که نام این عملیات را «سایدتويیست» (SideTwist) نامیده، گفته است که هکرهای اویلریگ این بار با استفاده از تکنیک «در پشتی» (Backdoor) و ماکروهای مخرب جاسازی شده در محصولات «مایکروسافت»، تلاش کردهاند ماندگاری خود را در کامپیوترهای قربانیان تثبیت و از آنها جاسوسی کنند.
مشابه این نوع حملههای سایبری نیز در ماههای ابتدایی سال جاری میلادی توسط شرکت چکپوینت و گروه مطالعاتی «سیفبریچ» (Safebreach) گزارش شد.
چکپوینت و سیفبریچ در این گزارش با اشاره به نحوه به خدمت گرفتن هکرها و بهرهگیری از روشها و فناوریهای مدرن برای رصد تحرکات سایبری شهروندان ایرانی و مخالفان حکومت در داخل و خارج توسط جمهوری اسلامی، گفتهاند با رصدهای خود، بار دیگر بدافزارهای قدیمی «Tonnerre» ،«Foudre» و «اینفای» (Infy) که مدتی از آنها بیخبر بودند را کشف کردهاند.
این سه بدافزار هر کدام در خلال حملات سایبری، وظیفهای را برعهده داشته و یکی پس از دیگری، فرایند نفوذ، آلودگی، سرقت اطلاعات و حذف ردپاها را انجام میدادهاند؛ به عنوان مثال، اینفای وظیفه حمل و اجرای کدهای مخرب ماکرو را برعهده دارد. وظیفه پایداری حمله، کنترل و حذف اطلاعات بر عهده Tonnerre و همچنین برقراری ارتباط هکرها با کامپیوتر قربانی با استفاده از سرورهای «HTTP»، «C2» و «FTP» بر عهده Foudre است.
همزمان با گزارش چکپوینت و سیفبریچ، شرکت امنیتی «بیتدیفندر» (Bitdefender)، ارایه کننده آنتیویروس شناخته شده بیتدیفندر نیز با همکاری برنامه رادیویی «آرگوس» (Argos) در «رادیو هلند»، گزارشی در خصوص نحوه عملکرد این سه بدافزار منتشر کرده و گفته است که چهطور جمهوری اسلامی با استفاده از این بدافزارها، به جاسوسی از مخالفان خود در سراسر دنیا میپردازد.
بیتدیفندر در گزارش خود تاکید کرده که رژیم ایران بدافزار Foudre را به شکل ویژهای توسعه داده و الگوریتمها، دامنهها و سرورهای مرتبط با امضاهای دیجیتال آن را به روز رسانی کرده و نام برخی از بخشهای آن، از جمله رشتههای «keylogging» آن را تغییر داده است تا شناسایی این بدافزار سختتر شود.
عملکرد گروه هکری اویلریگ را میتوان در جدول زیر خلاصه کرد:
|
اهداف: |
|
|
تاکتیک، تکنیک و روش: |
|
|
نامها و عناوین: |
APT34 GreenBug Helix Kitten IRN2 ITG13 |
مادیواتر
جرایم سایبری گروه هکری «مادیواتر» (Muddywater) نیز از جمله فعالیتهای برجسته هکرهای وابسته به جمهوری اسلامی در نیمه اول سال ۲۰۲۱ بود. این گروه ابتدا در سال ۲۰۱۷، در پی حمله به برخی تاسیسات مخابراتی در خاورمیانه شناسایی شد. حملات سال ۲۰۱۸ و ۲۰۱۹ این گروه به برخی اهداف در آسیای مرکزی و اروپا نشان داد که هدف اصلی این گروه، جاسوسی و گردآوری اطلاعات است.
در ماه آوریل سال گذشته میلادی، محققان امنیت سایبری کمپینی از مادیواتر موسوم به «سراب تابستانی» کشف کردند که با تولید و ارایه محتوای مخرب از طریق ایمیل، اهدافی را در حوزه نفت و گاز کشورهای مختلف هدف قرار میداد.
ویژگی این کمپین، استفاده از یکی از تروجانهای مخرب شناخته شده به نام «POWERSTATS PowerShell» بود. این تروجان که پیشتر ارتباطش با گروه مادیواتر به اثبات رسیده است، از جمله بدافزارهایی است که از طریق ایجاد مسیر نفوذ، موسوم به در پشتی، به هکرها کمک میکند تا تسلط کامپیوتر قربانی را در دست بگیرند.
در اکتبر سال ۲۰۲۰ نیز محققان شرکت امنیت سایبری «کلیر اسکای» (ClearSky) کمپین دیگری را از این گروه شناسایی کردند که هدف اصلی آن، شرکتها و سازمانهای اسرائیلی بود. هکرها در این کمپین از بدافزاری به نام «PowGoop» استفاده میکردند که مدتی قبل از آن، در حملات باجافزاری یک گروه هکری ناشناس، موسوم به باجافزار «Thanos Ransomware»، به اهدافی در خاورمیانه استفاده شده بود.
مادیواتر مارچ امسال با نام جدید «بچه گربه استاتیک»، در کمپین فیشینگ دیگری به نام «Earth Vetala»، به مراکز دولتی، گردشگری و دانشگاهی و همچنین زیرساختهای تولید برق و آب آشامیدنی کشورهای مختلفی، از جمله اسرائیل، عربستان سعودی، امارات متحده عربی، بحرین و آذربایجان حمله کرد. برخی شرکتهای سایبری، حمله سایبری سال جاری میلادی به شرکت بیمه «شیربیت» در اسرائیل را به این گروه نسبت میدهند.
عملکرد گروه هکری مادیواتر را میتوان در جدول زیر خلاصه کرد:
|
اهداف: |
|
|
تاکتیک، تکنیک و روش: |
|
|
نامها و عناوین: |
|
گروه هکری اینفای
آغاز فعالیتهای گروه هکری «اینفای» (Infy) به سال ۲۰۱۴ و تلاش برای هدف قرار دادن جامعه مدنی و فعالان سیاسی درگیر در رقابتهای انتخاباتی ایران باز میگردد. این گروه هکری نیز یکی از زیرمجموعههای «ایپیتی» (APT)، وابسته به رژیم ایران است که با تمرکز بر نهادهای دولتی، جامعه مدنی و مطبوعاتی فعالیت میکند. اقدامات این گروه را میتوان در حوزه «جنگ نرم» دستهبندی کرد که یکی از سیاستهای اصلی جمهوری اسلامی در سالهای اخیر است. این گروه هکری نیز مانند گروه اویلریگ، استفاده از بدافزار Foudre را در کارنامه خود دارد.
اینفای این بدافزار را ابتدا در سال ۲۰۱۷ به کار گرفت که در نهایت توسط «واحد ۴۲ شبکه پالو آلتو» (Palo Alto Networks’ Unit 42) کشف و خنثی شد.
این گروه پس از سرکوبهای مکرر جامعه مدنی ایران و فروکش کردن فعالیتها، مدتی ناپدید شد اما اندکی بعد با تمرکز بر اهدافی در خارج از ایران و رفع ایرادهای فنی خود و ابزارهایش، به فضای مجازی بازگشت. از جمله جرایم سایبری این گروه در خارج از مرزهای ایران، حملات فیشینگ موسوم به «پری دریایی» به وزارت امور خارجه دانمارک در سال ۲۰۱۶ میلادی بود.
به اعتقاد کارشناسان، عملیات پری دریایی احتمالا شش سال به طول انجامیده بود و در آن هکرها تلاش کرده بودند از قربانیان جاسوسی و دادههای آنها را استخراج کنند.
در سال ۲۰۲۰، نسخههای تکامل یافتهتری از بدافزار Foudre توسط شرکتهای امنیتی کشف شدند که نشان از تداوم تلاش هکرها برای بهینهسازی ابزارها و شیوههای آنها داشتند.
گروه اینفای در این سالها اهداف متعددی را در سوئد، هلند، ایالات متحده، عراق، هند و دیگر نقاط جهان مورد هدف قرار داده است.
عملکرد گروه هکری اینفای را میتوان در جدول زیر خلاصه کرد:
|
اهداف: |
|
|
تاکتیک، تکنیک و روش: |
استفاده از حمله فیشینگ به عنوان روش اصلی استفاده از بدافزار Keylogger و سیستم ارتباطی Failover C2 استفاده از الگوریتم تایید امضای «RSA» برای بررسی صحت دامنه C2 تلهگذاری و استفاده از وبسایتها و سرویسهای قانونی و مشروع برای انتقال بدافزار به قربانی |
|
نامها و عناوین: |
Operation Mermaid Foudre AKA Prince of Persia |
گروه هکری چافر
اولین نشانهها از فعالیت گروه هکری «چافر» (Chafer)، در حدود سالهای ۲۰۱۴ و ۲۰۱۵ دیده شد. فعالیتهای این گروه هکری وابسته به «APT39» در سال ۲۰۱۷ با تمرکز بر اهدافی در خاورمیانه و ایالات متحده به اوج رسید. رصد فعالیتهای این گروه نشان میدهد که هدف اصلی آن، تامین منافع جمهوری اسلامی و گردآوری اطلاعات و دادههای ژئوپلیتیک است که به رژیم حاکم بر ایران برای تصمیمگیری بهتر کمک میکند.
چافر در ابتدا کار خود را با حملات موسوم به «تزریق به دیتابیس» (SQL injection) آغاز کرد. سپس حملات فیشینگ از طریق ارسال فایلهای آلوده «اکسل» به ایمیل قربانیان را در دستور کار خود قرار داد.
محققان امنیتی شواهد متعددی یافتهاند که نشان از همپوشانی بالقوه فعالیتهای این گروه با گروه هکری اویلریگ دارد؛ نظر آیپیهای مشترک و استفاده از شیوه C2 برای ارتباط با دستگاه هدف. سال ۲۰۲۰، شرکت امنیتی بیتدیفندر، سازنده آنتی ویروس بیتدیفندر گزارشی از رصد فعالیتهای گروه چافر منتشر کرد که در آن به تشریح حملات این گروه به صنعت حمل ونقل هوایی و نهادهای دولتی در عربستان سعودی و کویت در خلال سالهای ۲۰۱۸ تا ۲۰۱۹ پرداخته شده بود.
سپتامبر۲۰۲۰، وزارت خزانهداری امریکا تحریمهایی را علیه گروه هکری چافر و ۴۵ تن از کارکنان «شرکت رایانش هوشمند رانا» اعمال کرد. این افراد به دلیل عملیاتهای مکرر سایبری علیه مخالفان ایرانی، روزنامهنگاران و شرکتهای بینالمللی و غیره، در لیست تحریمهای ایالات متحده قرار گرفتند. همزمان، پلیس فدرال امریکا (FBI) نیز در گزارشی هشداردهنده، به تشریح فعالیتهای مخرب گروه چافر پرداخت.
عملکرد گروه هکری چافر را میتوان در جدول زیر خلاصه کرد:
|
اهداف: |
|
|
تاکتیک، تکنیک و روش: |
استفاده از حمله فیشینگ به عنوان روش اصلی حملات تزریق به دیتابیس (SQL injection) استفاده از بدافزار اختصاصی «رمکسی» (Remexi) بهرهبرداری از وبسرورهای آسیبپذیر نصب پوستههای «ASPXSPY» و «ANTAK» سرقت اعتبارنامهها برای «OWA» (Outlook Web Access) |
|
نامها و عناوین: |
(APT39) (Remix Kitten) |
گروه هکری بچهگربههای پیشرو
گروه هکری «بچهگربههای پیشرو» (Pioneer Kitten)، یکی دیگر از گروههای وابسته به «APT39»، در پی گردآوری اطلاعات مورد علاقه جمهوری اسلامی است.
این گروه به شیوهای فرصتطلبانه عمل می کند و با استفاده از ضعفهای امنیتی، تا کنون اهداف متعددی در حوزه فناوری، دفاعی، بهداشت، هوانوردی، مالی و مخابراتی در امریکای شمالی و اسرائیل را هدف قرار داده است.
بچهگربههای پیشرو در بازه زمانی ۲۰۱۹ تا ۲۰۲۰، به صورت خزنده ضعفهای امنیتی سرویسهای محبوبی همچون (Pulse Secure)، (Fortinet)، (GlobalProtect Palo Alto) را یافته و از آن برای نفوذ به کامپیوترها و شبکههای اهداف خود بهره برده است. شرکت امنیتی کلیراسکای در گزارشی به نحوه عملکرد این گروه پرداخته و گفته است که به احتمال زیاد بچهگربههای پیشرو از سال ۲۰۱۷ تاکنون در حال فعالیت بودهاند.
محققان امنیتی در خصوص این گروه نیز اسنادی یافتهاند که نشان از همپوشانی بالقوه عملکرد آنها با دیگر گروههای هکری ایرانی، همچون «الفین» (Elfin)، «فاکس کیتن» (Fox Kitten) و اویلریگ (OilRig) دارد.
در سال ۲۰۲۰ میلادی، پلیس فدرال امریکا در هشداری به سوء استفاده این گروه از ضعفهای امنیتی موجود در محصولات شرکت «F5 Networks Inc» پرداخته و نحوه حمله و نفوذ هکرها را تشریح کرده بود.
عملکرد گروه هکری بچهگربههای پیشرو را میتوان در جدول زیر خلاصه کرد:
|
اهداف: |
مخابرات، بهداشت و درمان
|
|
تاکتیک، تکنیک و روش: |
بهرهبرداری از «ویپیان» (VPN) و سایر ابزار شبکه استفاده از تونل «اساساچ» (SSH) برای تسهیل دسترسی «پروتکل دسکتاپ از راه دور» (RDP) به قربانیان استفاده از بدافزار اختصاصی رمکسی استفاده از ابزارهای نرمافزاری بومی سفارشی، منبع باز و قانونی فروش اطلاعات سیستمها و شبکههای در معرض خطر در انجمنهای زیرزمینی |
|
نامها و عناوین: |
UNC757 PARISIT |
نتیجهگیری
جمهوری اسلامی هیچ گاه مسوولیت حملههای سایبری انجام شده توسط هکرهای تحت فرمان خود را نپذیرفته و آنها را شایعه و یا توطئه «دشمن» برای «سیاهنمایی» چهره جمهوری اسلامی خوانده است. اما رصد و گزارشهای مجموعهای از محققان و شرکتهای امنیت سایبری معتبر جهان، نقش پشت پرده هکرهای مستقر در ایران را در بسیاری از جرایم سایبری تایید و اثبات کرده است. این فعالیتهای مخرب سایبری در سالهای اخیر و پس از تاکید رهبر جمهوری اسلامی مبنی بر لزوم بالا بردن توانمندی در حوزه سایبری، بیش از پیش افزایش یافته است.
توانمندیهای سایبری جمهوری اسلامی با کمک گرفتن از چین و روسیه هر روز پیچیده و به روزتر شده و به قدرت تهاجمی آن افزوده میشود. این رشد روز افزون، در کنار ایدئولوژی جمهوری اسلامی برای صدور انقلاب اسلامی به دیگر کشورها و ایدئولوژی مهدویت (زمینهسازی تسلط امام دوازدهم شیعیان بر دیگر کشورها برای برپایی یک حکومت جهانی)، زنگ خطری است برای جوامع متمدن که اساس تعامل و تقابلشان با مشکلات اینچنینی، اخلاق و قوانین حقوقی بینالمللی است.
در آن سو نیز کسب و کارهای مختلف در سراسر جهان که به دلایل مختلف تولید کننده و یا نگهدارنده محصولات، اطلاعات و یا سرمایههای معنوی هستند که مورد علاقه رژیم حاکم بر ایران است نیز باید مقوله امنیت سایبری را بیش از پیش جدی بگیرند و خود را برای هرگونه تهاجم غیراخلاقی مجازی به زیرساختها و یا داشتههای معنوی امانی و یا متعلق به خود آمده کنند.
جهان مجازی، دنیای بیانتها و بدون مرزی است که امروزه هیچ قانون مدون و توانمندی بر آن حاکم نیست. از این رو باید به شکلی عمل کرد که فرصتی برای جولان مجرمان و اوباش سایبری نباشد.
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر