رزنیکا رادمهر
(توضیح: با توجه به ادعاهای FBI در مورد یک شرکت سایبری ایرانی و طرح برخی اتهامات، نام شرکت مذکور در گزارش حاضر حذف و مختصر شده است.)
بر اساس هشدار دفتر تحقیقات فدرال آمریکا، یک گروه سایبری ایرانی (ا.ن.پ)، سازمانها را برای سرقت دادهها و افشای آنلاین اطلاعات آنها هدف قرار میدهد.
گروه مذکور، که پیش از این با نامهای دیگری (ا.ن.گ/ن.گ.س) شناخته میشد، سازمانی است که اغلب برای جلوگیری از تحریمهای آمریکا نام خود را تغییر میدهد و به ارایه خدمات امنیت سایبری به نهادهای دولتی در ایران معروف است.
در نوامبر 2020، ایالات متحده هشدار داد هکرهای ایرانی از آسیبپذیریهای شناختهشده برای دسترسی به دادههای ثبتنام رایدهندگان سوءاستفاده کردهاند و در نوامبر 2021، خزانهداری آمریکا، تحریمهایی علیه پنج ایرانی و گروه …، شرکتی که در آن کار میکردند، اعلام کرد.
طبق اطلاعات اف.بیآی، شرکت مذکور، حداقل از سال 2020، نهادهایی را عمدتا در اسراییل با عملیات اطلاعاتی سایبری، هدف قرار داده که شامل نفوذ اولیه، سرقت، نشت متعاقب دادهها و به دنبال آن، تقویت از طریق رسانههای اجتماعی و انجمنهای آنلاین میشود.
بنا به ادعای دفتر تحقیقات فدرال، این شرکت از شخصیتهای آنلاین مانند گروههای هکتیویست یا مجرم سایبری برای اجرای کمپینهایی با پرچم دروغ، که اسراییل را هدف قرار میدهند، استفاده میکند.
اف.بی.آی مدعی است این شرکت ممکن است از همان تاکتیکها برای هدف قرار دادن نهادهای آمریکایی استفاده کند؛ همانطور که در انتخابات ریاستجمهوری 2020 آمریکا انجام داد.
در واقع، دفتر تحقیقات فدرال، معتقد است شرکت مذکور قبلا در حال انجام یک حمله سایبری مخرب علیه یک سازمان در ایالات متحده، مشاهده شده که این امر «نشان میدهد این گروه همچنان یک تهدید سایبری برای ایالات متحده است.»
به گفته اف.بیآی، عملیاتهای هک و افشاگری که این گروه علیه نهادهای اسراییلی انجام داده، احتمالا به منظور تضعیف اعتماد به امنیت شبکه قربانی و ضایع کردن سازمانهای هدف بوده است.
افبیآی میگوید: این کمپینهای هک و نشت، شامل ترکیبی از هک یا سرقت دادهها و عملیاتهای اطلاعاتی است که قربانیان را از طریق خسارات مالی و آسیبهای اعتباری، تحتتاثیر قرار میدهد.
این شرکت ایرانی علاوه بر دخالت در نفوذ کامپیوتری، ادعاهای اغراقآمیز یا ساختگی برای افزایش تاثیر عملیات خود دارد.
شرکت ا.ن.پ در یک حمله سایبری مخرب در اوایل سال 2022 علیه یک سازمان آمریکایی، به منظور هدف قرار دادن گروه مخالف ایرانی (منافقین)، اطلاعات هویتی شخصی را که ظاهرا در جریان نفوذ به دست آمده بود، افشا کرد.
این مساله هشدار میدهد: «اگرچه ممکن است گردانندگان این شرکت، درباره سطح دسترسی خود به شبکه قربانی یا حجم دادههای قربانیِ به سرقترفته اغراق کنند اما اف.بی.آی معتقد است هریک از این کمپینها، احتمالا با سطحی از نفوذ سایبری آغاز میشوند.»
گروه مذکور به دلیل تحقیق درباره اهداف خود قبل از حمله، عمدتا برای هدف قرار دادن وبسایتهایی که دارای کد PHP یا پایگاههای داده MySQL در دسترس خارجی هستند و نیز در زمینه استفاده از ابزارهای آزمایش نفوذ منبع باز و تخریب وبسایتها، علاوه بر استقرار بدافزار رمزگذاری مخرب در شبکههای قربانی، معروف است.
شرکت مورد اتهام افبیآی، به احتمال زیاد در انتخاب قربانیان به جای هدف قرار دادن نهادهای خاص فرصتطلبتر است. با این حال، با نگاهی به قربانیان، به نظر میرسد این شرکت ترجیح و تمرکز خود را روی شرکتهایی با ترافیک قابل توجه و دارای پایگاه مشتریان بزرگ قرار داده است.
این گروه سایبری، اطلاعات سرقتشده را در سایتهای اختصاصی خود، از طریق تلگرام و انجمنهای جرایم سایبری افشا میکند. همچنین برای جلب توجه بیشتر، پرسونای آنلاین با پرچم دروغین ایجاد کرده و اغلب با سازمانهای خبری تماس میگیرد یا از خدمات بازاریابی ایمیلی برای تقویت عملیات اطلاعاتی استفاده میکند.
در این زمینه، اف.بیآی، مجموعهای از تاکتیکها، تکنیکها و رویههای (TTP) مرتبط با این شرکت و همچنین توصیههایی برای سازمانها، به منظور کاهش خطرات سایبری مرتبط با این گروه را به اشتراک میگذارد.