در زنجیره همیشگی اتهامات و ادعاها مطرح شد

حمله هکرهای ایرانی به شرکت‌های فناوری امارات

  • توسط نویسنده
  • ۱۰ ماه پیش
  • ۰

رزنیکا رادمهر – سایت دارک‌ردینگ (darkreading) مدعی شد گروه سایبری APT34 که به ایران نسبت داده می‌شود، با حمله به زیرساخت زنجیره تامین امارات، این کشور را هدف قرار داده است.

این گروه فعال، با هدف جاسوسی سایبری به نام OilRig  شناخته می‌شود و از جمله اقدامات آن، هدف قرار دادن مشتریان دولتی شرکت IT در منطقه (خاورمیانه) است.

گروه تهدید پیوسته پیشرفته منتسب به ایران به نام APT34، این‌بار با انجام یک حمله به زنجیره تامین، با هدف نهایی دسترسی به اهداف دولتی در داخل امارات، دوباره در حال فعالیت است.

در همین زمینه، ماهر یاموت، محقق اصلی مرکز تحقیقات EEMEA در شرکت کسپرسکی معتقد است مهاجمان از یک فرم استخدام تقلبی در زمینه فناوری اطلاعات به عنوان واسطه استفاده کردند.

در این رابطه، گروه APT34 که به نام OilRig نیز شناخته می‌شود، یک ‌سایت جعلی ایجاد کرده تا به عنوان شرکت فناوری اطلاعات در امارات شناخته شود.

این گروه سپس فرم استخدام تقلبی را به شرکت فناوری اطلاعاتِ مورد هدف ارسال کرده و وقتی قربانی، سند مخرب را باز کرده تا متقاضی شغل فناوری اطلاعات تبلیغ‌شده قرار گیرد، بدافزار جاسوسی اجرا شده است.

یاموت می‌گوید که این بدافزار، اطلاعات حساس و اعتبارنامه‌هایی را جمع‌آوری کرده که به APT34 اجازه دسترسی به شبکه‌های مشتریان شرکت‌های فناوری را می‌دهد.

به گفته او، سپس مهاجم به طور خاص به هدف‌گیری از مشتریان دولتی پرداخته و برای ارتباط و انتقال دادهcommand-and-control (C2)  از زیرساخت ایمیل گروه آی‌تی قربانی استفاده کرده است.

یاموت تصریح کرده که کسپرسکی نمی‌تواند تایید کند که آیا حملات دولتی به دلیل دید پایین‌دستی محدود، نتیجه‌بخش بوده یا خیر، با این حال، وی می‌گوید «ما با توجه به میزان موفقیت نسبی این گروه، نتیجه فعالیت آنها را با اطمینان متوسط به بالا ارزیابی می‌کنیم.»

در تحقیقات انجام‌شده توسط شرکت کسپرسکی کشف شد نمونه‌های بدافزار مورد استفاده در کمپین امارات، مشابه نفوذ زنجیره تامین APT34 در اردن بوده و این گروه از تاکتیک‌ها، تکنیک‌ها و روش‌های مشابه برای هدف‌گیری نهادهای دولتی استفاده کرده است.

یاموت می‌گوید که تردید داشته لینکدین برای ارسال یک فرم شغلی با تظاهر به تلاش برای استخدام توسط یک شرکت IT استفاده شده باشد.

کلاهبرداری شغلی کارآگاهی، تاکتیکی است که طی سال‌ها، توسط گروه‌های سایبری، به‌ویژه لازاروس (Lazarus) کره‌شمالی، در چندین موقعیت و توسط افرادی که خود را کارآگاه نظامی معرفی می‌کنند، استفاده شده است.

بر اساس این گزارش گروه APT34، یک گروه تهدید منتسب به ایران است که به طور اساسی در منطقه خاورمیانه فعالیت می‌کند و سازمان‌های مختلف منطقه را هدف قرار می‌دهد. این گروه که به فعالیت‌های سایبری دیگر مانند حمله به امارات در سال قبل نیز متهم شده، اغلب حملاتی در حوزه زنجیره تامین انجام می‌دهد؛ جایی که این گروه تهدید از رابطه اعتماد بین سازمان‌ها برای حمله به اهداف اصلی آنها استفاده می‌کند و با رویکرد سیستماتیک به سمت سازمان‌های خاص که به نظر می‌رسد با دقت برای اهداف استراتژیک انتخاب شده‌اند، حملاتی را اجرا می‌کند.

با توجه به تحقیقات شرکت امنیت سایبری Mandiant، گروه APT34 حداقل از سال 2014 فعالیت داشته و از ترکیبی از ابزارهای عمومی و غیرعمومی استفاده می‌کند و اغلب عملیات فیشینگ نیزه‌ای را با استفاده از حساب‌های مختلف انجام می‌دهد و گاهی از تاکتیک‌های مهندسی اجتماعی نیز بهره می‌برد.

شرکت Mandiant همچنین مدعی شد: «ارزیابی ما این است که گروه APT34 به نمایندگی از ایران عمل می‌کند. بر اساس جزییات زیرساخت که حاوی اشاره‌ به ایران است، استفاده از زیرساخت ایرانی و هدف‌گیری، با منافع دولتی هماهنگی دارد.»

این ارزیابی توسط دولت آمریکا اشتراک‌گذاری شده و در سال گذشته، به دلیل فعالیت‌های این گروه، تحریم‌هایی علیه ایران اعمال شده است.

  • facebook
  • googleplus
  • twitter
  • linkedin
  • linkedin

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *