طبق ادعای Crisis24، یک گروه هکر ایرانی موسوم به TA453، در حال گسترش عملیات سایبری به سمت اهداف جدید و استفاده از روشهای نوین برای دسترسی به اکانتها و سیستمهای قربانیان خود است.
به گزارش عصر ارتباط وزارت دادگستری ایالات متحده و سایر محققان، گروه TA453 را به نهادهای نظامی ایران مرتبط کردهاند و معتقدند با سایر گروههای هکری شناختهشده عمومی و همسو با دولت ایران، از جمله Charming Kitten،Phosphorus وAPT42 همپوشانی دارد. این گروه، قبلا فعالیتهای بینالمللی خود را با تمرکز بر دانشگاهیان، روزنامهنگاران، محققان، فعالان حقوق بشر، مخالفان و دیپلماتها با تاکید بر منطقه خاورمیانه انجام میداد.
- گسترش اهداف سایبری
طبق گزارشهای اخیر منتشرشده توسط یک شرکت خصوصی امنیت سایبری، گروه TA453 در دو سال گذشته، فهرست اهداف خود را به سمت محققان پزشکی، دیپلماتهای آمریکایی، یک مشاور املاک در نزدیکی مقر سنتکام ارتش ایالات متحده در فلوریدا، آژانسهای مسافرتی و مهندسی هوافضا گسترش داده است. این اهداف جدید، بسته به نیاز میتوانند توسعه یابند.
گروه TA453، معمولا از ایمیلهای فیشینگ و وببیکنها (ردیابی آنلاین کاربران)، برای دسترسی به هویت قربانی و اینباکس ایمیل در طول زمان استفاده میکند. این گروه، یک اکانت ایمیل ایجاد میکند که به نظر میرسد مربوط به هدف باشد. پس از ردوبدل کردن یکسری پیامهای بیخطر، هکر سعی میکند از طریق یک لینک مخرب، از قربانی سوءاستفاده کند. لینک مخرب ممکن است در ایمیل اولیه یا پس از چندین هفته برقراری ارتباط، ارسال شود.
اگر لینک باز شود، مهاجمان میتوانند به صندوق ورودی یا اینباکس ایمیل قربانی، دسترسی داشته باشند و محتویات پیامها را بازیابی کنند. اکنون این گروه، استفاده از تکنیکهای جدید را آغاز کرده تا از اقدامات امنیتی معمولی که ایمیلهای فیشینگ را نمایش میدهند، اجتناب کنند. مهاجم به جای ایجاد اکانتهای جعلی، از یک اکانت کاربریِ در معرض خطر استفاده میکند و با این کار، هویت خود را حفظ میکند.
در سال 2021، دبیر مطبوعاتی یکی از مقامات دولت ایالات متحده که به طور علنی درباره مذاکرات توافق هستهای برنامه جامع اقدام مشترک (برجام) اظهارنظر میکرد، هدف یک ایمیل فیشینگ قرار گرفت که توسط اکانت در معرض خطر یک خبرنگار محلی ایرانی ارسال شده بود.
- استفاده از تکنیک جعل هویت چندنفره
بر اساس ادعاهای طرح شده در گزارشهای اخیر، گروه TA453 همچنین از تکنیک «جعل هویت چندنفره» (MPI) برای ارسال ایمیلهای فیشینگ استفاده میکند. اولین کمپین در ژوئن 2022 گزارش شد؛ زمانی که هکرها، هویت آرون استاین، مدیر پژوهشهای موسسه تحقیقات سیاست خارجی (FPRI) را جعل کردند.
قربانی، ایمیلی را از یک اکانت کاربری جعل هویت استاین دریافت کرد که در آن مکالمهای درباره اسرائیل، کشورهای خلیج فارس و توافقنامه ابراهیم آغاز شده بود.
اکانت دیگری برای ریچارد ویک، مدیر مرکز تحقیقات پیو (PEW) نیز در CC ایمیل گنجانده شد. یک ایمیل از حساب جعلی وایک، روز بعد به منظور درخواست پاسخ و اعتبار بیشتر درخواست اولیه ارسال شد. در حالی که هیچ لینک یا سند مخربی در این مورد کشف نشد. در نهایت مشخص شد گروه TA453 از روشهای مشابهی برای ارسال لینکها و اسناد مخرب OneDrive استفاده کرده است.
این گروه همچنین در زمینه استفاده از شخصیتهای تهاجمیتر برای تشویق هدف به پاسخ دادن به ایمیلهای مخرب معروف است. در سال 2022، شخصیتی به نام سامانتا ولف برای هدف قرار دادن یک شرکت انرژی در خاورمیانه مورد استفاده قرار گرفت. با این حال، شخصیت ولف، اواخر سال شروع به ارسال ایمیلهایی با موضوع شکایت به دانشگاهی مستقر در ایالات متحده به همراه مقامات ارشد دولت ایالات متحده و اروپا کرد.
ولف هنگام هدف قرار دادن این دانشگاه، ایمیلی ارسال کرد که در آن مدعی شد قربانی با ماشین خود تصادف کرده و از کاربران خواست مشکل را برطرف کنند. مهاجمان سپس اسناد آلوده به بدافزار فرستادند تا نرمافزار مخرب درب پشتی (Backdoor) را روی سیستم خود نصب کنند و امکان بهرهبرداری از آن در آینده فراهم شود. این اسناد مخرب ارسالشده به دانشگاه، به بدافزار GhostEcho (CharmPower) آلوده شده بودند. این بدافزار یک بدافزار مرحله اول است که برای ارائه قابلیتهای اضافی و ایجاد یک درب پشتی در سیستم هدف استفاده میشود.
درب پشتی (بکدور)، نوعی نرمافزار مخرب است که مهاجم را قادر میسازد برای دستیابی غیرمجاز به سیستم رایانهای، محدودیتهای امنیتی را دور بزند. به عبارت دیگر، بکدورها برنامههایی هستند که به مجرمان سایبری یا مهاجمان، امکان دسترسی از راه دور به رایانهها و سیستمها را میدهند. یک بکدور، یک قطعه کد است که به هکرها اجازه میدهد بدون اینکه تشخیص داده شوند از یک سیستم وارد و خارج شوند.
گروه TA453 همچنین مظنون به تلاش برای آلوده کردن نمایندگیهای مختلف دیپلماتیک در تهران و مدافعان حقوق زنان به بدافزار GhostEcho است.
این گروه، قبلا به دلیل استفاده از بدافزار شناخته نشده بود و اگرچه مشخص نیست که آیا آنها از GhostEcho در حملات بعدی استفاده کردهاند یا خیر اما این امر نشان میدهد تکنیکها همراه با اهداف در حال تغییر هستند.
تکامل اهداف و قابلیتهای TA453 احتمالا در ماههای آینده ادامه خواهد داشت و عملیات آنها تداوم مییابد. هرگونه تشدید تنش، بهویژه درباره برنامه هستهای بین ایران، ایالات متحده و متحدان آنها، میتواند منجر به حملات بیشتر در حوزه MPI یا همان جعل هویت چندنفره و تلاشهای فیشینگ علیه مقامات دولتی، روزنامهنگاران و دانشگاهیان مرتبط با مذاکرات شود.
در ادامه گزارش ادعا شده، این گروه احتمالا به توسعه قابلیتهای MPI برای ارسال بدافزار به سیستمهای قربانیان خود، از جمله اهداف هماهنگشده با نهادهای درون ایران ادامه خواهد داد. این حملات، پیچیدهتر و تشخیص آنها، دشوارتر است و خطر را افزایش میدهد. گروه TA453 احتمالا استفاده خود از بدافزار را گسترش میدهد و ممکن است از آن، برای حملات بعدی مخربتر استفاده کند. فعالان، دانشگاهیان و سایر گروهها، ممکن است هدف این نوع عملیات سایبری قرار گیرند.
درباره Crisis24: این گروه، اطلاعات، برنامهریزی، آموزش عمیق و پاسخهای سریع و کاربردی ارائه میکند تا از ایجاد خطرات نوظهور در سازمانها جلوگیری نماید. گروه Crisis24، همچنین قابلیتهای مدیریت ریسک فضای سایبری را آموزش میدهد.