احمد باطبی
وبسایت دانشکده مطالعات شرقی و آفریقایی دانشگاه لندن «سواس» (SOAS) واقع در شهر لندن و برخی کارکنان، استادان، کارشناسان، روزنامهنگاران و افراد مرتبط به این دانشگاه از سوی یک گروه هکری تحت فرمان سپاه پاسداران انقلاب اسلامی مورد حمله قرار گرفتند.
شرکت امنیت سایبری «پروف پوینت» (Proofpoint) در گزارشی به جزییات این حمله پرداخته و گفته است که هدف مهاجمان از این حملهها، سرقت اطلاعات این دانشگاه و افراد مرتبط به آن بوده است.
در این مجموعه حملهها، مهاجمان یک کارزار جاسوسی سایبری، با استفاده از جعل هویت برخی از شخصیتهای علمی و دانشگاهی مستقر در بریتانیا به راه انداخته و با استفاده از حملههای نوع تلهگذاری یا فیشینگ (Phishing) تلاش کردهاند که اطلاعات و رمزعبور افراد را به سرقت ببرند.
کارشناسان شرکت پروف پوینت، نام «محققان جعلی» (Spoofed Scholars) را برای این مجموعه از حملههای سایبری انتخاب کرده و گفتهاند که پشت پرده این جرایم سایبری، مجموعهای است موسوم به (TA453)، که خود از جمله زیرمجموعههای گروههای «تهدید پیشرفته مدام» (APT) محسوب میشوند.
مجموعههای موسوم به (APT) یا (Advanced Persistent Threat) اصطلاحی است در صنعت سایبری، برای اشاره به تهدیدهای پیوسته و هدفمند سایبری که توسط هکرهای وابسته به حکومتها طراحی و اجرا میشود. هدف این دست حملهها معمولا دولتهای دشمن و یا رقیب، مخالفان، نهادهای مهم، سازمانهای تجاری و دانشگاهها هستند. گروههای تهدید پیشرفته مدام که با علامت اختصاری (APT) و شمارههای پس از آن شناخته میشوند، تلاش میکنند با اخلال در روند فعالیت اهداف خود، اطلاعات و سرمایههای معنوی آنها را به سرقت ببرند یا فرایند خدمترسانی آنها را با اشکال مواجه سازند. در میان این مجموعهها (APT33) ،(APT34) ،(APT39) از جمله گروههای ایرانی تهدید پیشرفته مدام هستند که تحت حمایت جمهوری اسلامی به فعالیتهای مجرمانه اینترنتی مشغول هستند.
پروف پوینت (TA453) را شامل دو گروه از هکرهای حکومتی شناخته شده وابسته به سپاه پاسداران انقلاب اسلامی، به نامهای «بچه گربههای جذاب» (Charming Kitten) و «فسفروس» (Phosphorous) میداند که هر دوی آنها، از زیرمجموعههای «تهدید پیشرفته مدام» (APT34) محسوب میشوند.
(APT34) نیز مجموعهای است از گروههای مستقل هکری، مانند «بچه گربههای جذاب» (Charming Kitten)، تیم امنیتی «آژاکس» (Ajax)، «فسفروس» (Phosphorous) و چند گروه دیگر که در سال ۲۰۱۴ توسط شرکتهای امنیت سایبری شناسایی شده و تاکنون به اهداف متعددی در حوزههای مالی، دولتی، انرژی، شیمیایی، ارتباطات و سایر صنایع در سراسر جهان حمله کردهاند.
به گفته شرکت پروف پوینت در ابتدای سال جاری میلادی، هکرهای (TA453) با استفاده از یک جیمیل جعلی (hannse.kendel4[@]gmail.com) و به نام یکی از عضو ارشد تدریس و تحقیقات بریتانیایی «دکتر هنس بیجرن کندل» (Dr.Hanns Bjoern Kendel)، با اهدافی در دانشکده مطالعات شرقی و آفریقایی دانشگاه لندن ارتباط بگیرند. هکرها ابتدا تلاش کردند تا با ایمیل و گفتوگوی تلفنی، اعتماد قربانیان را برای شرکت در یک کنفرانس جعلی، با عنوان «چالشهای امنیتی ایالات متحده در خاورمیانه» جلب کنند. آنها در پی اصرار اهداف برای دریافت یک دعوتنامه کتبی، دعوتنامهای جعلی را نیز برای آنها ارسال کردند. اما این تلاش هکرها در نهایت به یک تماس ویدیویی ختم شد.
متخصصان شرکت پروف پوینت گفتهاند که هکرها از لحاظ صحبت به زبان انگلیسی از توانمندی بالایی برخوردار بودند. آنها علاقه فراوانی به گرفتن شماره تلفنهای همراه افراد از خود نشان میدانند که به احتمال زیاد برای حمله به موبایلها و نصب بدافزارهای مخصوص گوشی همراه بود.
همچنین در مجموعه ایمیلهایی که هکرها به نام «دکتر هنس بیجرن کندل» ارسال کردهاند، دستکم یک مورد تلاش برای سرقت اعتبارنامههای گیرنده مشاهده شد و گمان میرود، تلاش برای سرقت اعتبارنامههای اهداف، بیش از این یک مورد باشد.
بخش درخور توجه این حملهها، دسترسی هکرها به قسمتی از وبسایت (soasradio [.] org) بود که تعدادی از صفحات واقعی مرتبط با دانشکده مطالعات شرقی و آفریقایی دانشگاه لندن را میزبانی میکند. هکرها درخلال حملههای خود، پیوندی را به قربانیان ارسال میکردند که با کلیک بر روی آن، یک صفحه مربوط به شرکت در یک وبینار گشوده میشد. این صفحه بخشی از صفحات واقعی این دانشگاه در وبسایت (SOAS Radio) بود. این سطح از دسترسی بیانگر آن است که هکرها به احتمال فراوان، با سرقت اعتبارنامههای افراد مرتبط با این وبسایت، امکان خلق این صفحه جعلی را برای خود فراهم کردهاند.
در صفحه جعلی وبینار، گزینههای ورود از طریق حسابهای کاربری فیسبوک، جیمیل، یاهو و ... خطرناکترین بخش محسوب میشد. این گزینهها به شکلی طراحی شده بود که به کاربران هشدار میداد، تنها راه دسترسی به این وبینار، ورود از طریق حسابهای کاربری ارائه شده در انتهای صفحه است. کاربران در صورت کلیک بر روی هر یک از این گزینهها، اعتبارنامههای مربوط به حساب کاربری خود را به سادگی در اختيار هکرها قرار میدادند.
«دکتر هنس بیجرن کندل» تنها عنوان جعلی نبود که هکرها از آن برای فریب اهداف خود بهره بردهاند. آنها در ابتدای ماه می سال جاری نیز با همین شیوه و جعل ایمیل و هویت فرد دیگری تلاش کردند، قربانیان تازهای را به شرکت در یک کنفرانس غیرواقعی دیگر تشویق کنند.
گروه هکری (TA453) پیشتر، در اواخر سال ۲۰۲۰ میلادی توسط پروف پوینت شناسایی شده بود. این شرکت در گزارشی ویژه، به حملههایی پرداخته بود که توسط این گروه علیه بیست و پنج تن از متخصصان ارشد پزشکی، متخصصان تحقیقات ژنتیک، عصبشناسی و انکولوژی در ایالات متحده و اسراییل ترتیب داد. محققان پروف پوینت این مجموعه حملات را با توجه به هویت قربانیان و نوع فعالیتهای آنان در حوزه پزشکی «بد بلاد» (BadBlood) به معنای «خون ناپاک» نامیده بودند.
(TA453) در آن مجموعه حملهها نیز مشابه حمله به دانشکده مطالعات شرقی و آفریقایی دانشگاه لندن، با یک حساب کاربری جیمیل به آدرس (zajfman.daniel [@] gmail.com)، و نام «دانیل زاجفمن»، فیزیکدان اسراییلی، ایمیلی با عنوان «سلاحهای هستهای در یک نگاه» به قربانیان ارسال میکردند که حاوی یک فایل پیدیاف به نام (CBP-9075.pdf) بود. کلیک کردن روی این فایل قربانی را به یکی از دامنههای متعلق به هکرها بنام (1drv [.] casa) منتقل میکرد که در نهایت به هک درایو مجازی مایکروسافت (OneDrive) قربانی منتهی میشد. در دامنه متعلق به هکرها صفحهای جعلی مشابه صفحه ورودی کاربران مایکروسافت وجود داشت که از قربانیان میخواست برای دیدن محتوای فایل پیدیاف نام کاربری و رمز عبور خود را وارد کنند. نتیجه این کار به تماشای فایل مذکور منتهی میشد، اما در آن سو، هکرها به سادگی مرحله احراز هویت قربانی را رصد کرده و مشخصات او را به سرقت میبردند.
شرکت پروف پوینت اهداف هکرهای (TA453) را به سه دسته تقسیمبندی کرده و گفته که این اهداف با اولویتهای سپاه پاسداران انقلاب اسلامی سازگار است. دسته اول اعضا، افراد وابسته و کارکنان ارشد اتاقهای فکر، دسته دوم روزنامهنگارانی که نسبت به امور خاورمیانه از خود علاقه نشان میدادند و دسته سوم استادان دانشگاه.
کارشناسان پروف پوینت معتقدند که این سه دسته از اهداف، به اطلاعات مهمی دسترسی دارند که جمهوری اسلامی به آنها علاقهمند است. از جمله سیاست خارجی، جنبشهای مرتبط با مخالفان حکومت، مذاکرات هستهای با ایالات متحده و غیره. به همین دلیل، پیش از این حملههای سایبری، بیش از ده سازمان به عنوان اهداف هکرها شناسایی شده و گروه (TA453) برای نفوذ به آنها به کار گرفته شده است.
پروف پوینت تاکید کرده که ما با اطمینان بالایی میگوییم، گروه هکری (TA453) تحت فرمان سپاه پاسداران انقلاب اسلامی عمل میکند.
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر