Crisis24 مدعی شد

گسترش اهداف یک گروه هکری ایرانی

طبق ادعای Crisis24، یک گروه هکر ایرانی موسوم به TA453، در حال گسترش عملیات سایبری به سمت اهداف جدید و استفاده از روش‌های نوین برای دسترسی به اکانت‌ها و سیستم‌های قربانیان خود است.

به گزارش عصر ارتباط وزارت دادگستری ایالات متحده و سایر محققان، گروه TA453 را به نهادهای نظامی ایران مرتبط کرده‌اند و معتقدند با سایر گروه‌های هکری شناخته‌شده عمومی و همسو با دولت ایران، از جمله Charming Kitten،Phosphorus  وAPT42  هم‌پوشانی دارد. این گروه، قبلا فعالیت‌های بین‌المللی خود را با تمرکز بر دانشگاهیان، روزنامه‌نگاران، محققان، فعالان حقوق بشر، مخالفان و دیپلمات‌ها با تاکید بر منطقه خاورمیانه انجام می‌داد.

  • گسترش اهداف سایبری

طبق گزارش‌های اخیر منتشرشده توسط یک شرکت خصوصی امنیت سایبری، گروه TA453 در دو سال گذشته، فهرست اهداف خود را به سمت محققان پزشکی، دیپلمات‌های آمریکایی، یک مشاور املاک در نزدیکی مقر سنتکام ارتش ایالات متحده در فلوریدا، آژانس‌های مسافرتی و مهندسی هوافضا گسترش داده است. این اهداف جدید، بسته به نیاز می‌توانند توسعه یابند.

گروه TA453، معمولا از ایمیل‌های فیشینگ و وب‌بیکن‌ها (ردیابی آنلاین کاربران)، برای دسترسی به هویت قربانی و اینباکس ایمیل در طول زمان استفاده می‌کند. این گروه، یک اکانت ایمیل ایجاد می‌کند که به نظر می‌رسد مربوط به هدف باشد. پس از ردوبدل کردن یک‌سری پیام‌های بی‌خطر، هکر سعی می‌کند از طریق یک لینک مخرب، از قربانی سوءاستفاده کند. لینک مخرب ممکن است در ایمیل اولیه یا پس از چندین هفته برقراری ارتباط، ارسال شود.

اگر لینک باز شود، مهاجمان می‌توانند به صندوق ورودی یا اینباکس ایمیل قربانی، دسترسی داشته باشند و محتویات پیام‌ها را بازیابی کنند. اکنون این گروه، استفاده از تکنیک‌های جدید را آغاز کرده تا از اقدامات امنیتی معمولی که ایمیل‌های فیشینگ را نمایش می‌دهند، اجتناب کنند. مهاجم به جای ایجاد اکانت‌های جعلی، از یک اکانت کاربریِ در معرض خطر استفاده می‌کند و با این کار،  هویت خود را حفظ می‌کند.

در سال 2021، دبیر مطبوعاتی یکی از مقامات دولت ایالات متحده که به طور علنی درباره مذاکرات توافق هسته‌ای برنامه جامع اقدام مشترک (برجام) اظهارنظر می‌کرد، هدف یک ایمیل فیشینگ قرار گرفت که توسط اکانت در معرض خطر یک خبرنگار محلی ایرانی ارسال شده بود.

  • استفاده از تکنیک جعل هویت چندنفره

بر اساس ادعاهای طرح شده در گزارش‌های اخیر، گروه TA453 همچنین از تکنیک «جعل هویت چندنفره» (MPI) برای ارسال ایمیل‌های فیشینگ استفاده می‌کند. اولین کمپین در ژوئن 2022 گزارش شد؛ زمانی که هکرها، هویت آرون استاین، مدیر پژوهش‌های موسسه تحقیقات سیاست خارجی (FPRI) را جعل کردند.

قربانی، ایمیلی را از یک اکانت کاربری جعل هویت استاین دریافت کرد که در آن مکالمه‌ای درباره اسرائیل، کشورهای خلیج فارس و توافقنامه ابراهیم آغاز شده بود.

اکانت دیگری برای ریچارد ویک، مدیر مرکز تحقیقات پیو (PEW) نیز در CC ایمیل گنجانده شد. یک ایمیل از حساب جعلی وایک، روز بعد به منظور درخواست پاسخ و اعتبار بیشتر درخواست اولیه ارسال شد. در حالی که هیچ لینک یا سند مخربی در این مورد کشف نشد. در نهایت مشخص شد گروه TA453 از روش‌های مشابهی برای ارسال لینک‌ها و اسناد مخرب OneDrive استفاده کرده است.

این گروه همچنین در زمینه استفاده از شخصیت‌های تهاجمی‌تر برای تشویق هدف به پاسخ دادن به ایمیل‌های مخرب معروف است. در سال 2022، شخصیتی به نام سامانتا ولف برای هدف قرار دادن یک شرکت انرژی در خاورمیانه مورد استفاده قرار گرفت. با این حال، شخصیت ولف، اواخر سال شروع به ارسال ایمیل‌هایی با موضوع شکایت به دانشگاهی مستقر در ایالات متحده به همراه مقامات ارشد دولت ایالات متحده و اروپا کرد.

ولف هنگام هدف قرار دادن این دانشگاه، ایمیلی ارسال کرد که در آن مدعی شد قربانی با ماشین خود تصادف کرده و از کاربران خواست مشکل را برطرف کنند. مهاجمان سپس اسناد آلوده به بدافزار فرستادند تا نرم‌افزار مخرب درب پشتی (Backdoor) را روی سیستم خود نصب کنند و امکان بهره‌برداری از آن در آینده فراهم شود. این اسناد مخرب ارسال‌شده به دانشگاه، به بدافزار GhostEcho (CharmPower) آلوده شده بودند. این بدافزار یک بدافزار مرحله اول است که برای ارائه قابلیت‌های اضافی و ایجاد یک درب پشتی در سیستم هدف استفاده می‌شود.

درب پشتی (بکدور)، نوعی نرم‌افزار مخرب است که مهاجم را قادر می‌سازد برای دستیابی غیرمجاز به سیستم رایانه‌ای، محدودیت‌های امنیتی را دور بزند. به عبارت دیگر، بکدورها برنامه‌هایی هستند که به مجرمان سایبری یا مهاجمان، امکان دسترسی از راه دور به رایانه‌ها و سیستم‌ها را می‌دهند. یک بکدور، یک قطعه کد است که به هکرها اجازه می‌دهد بدون اینکه تشخیص داده شوند از یک سیستم وارد و خارج شوند.

گروه TA453 همچنین مظنون به تلاش برای آلوده کردن نمایندگی‌های مختلف دیپلماتیک در تهران و مدافعان حقوق زنان به بدافزار GhostEcho است.

این گروه، قبلا به دلیل استفاده از بدافزار شناخته نشده بود و اگرچه مشخص نیست که آیا آنها از GhostEcho  در حملات بعدی استفاده کرده‌اند یا خیر اما این امر نشان می‌دهد تکنیک‌ها همراه با اهداف در حال تغییر هستند.

تکامل اهداف و قابلیت‌های TA453 احتمالا در ماه‌های آینده ادامه خواهد داشت و عملیات آنها تداوم می‌یابد. هرگونه تشدید تنش، به‌ویژه درباره برنامه هسته‌ای بین ایران، ایالات متحده و متحدان آنها، می‌تواند منجر به حملات بیشتر در حوزه MPI یا همان جعل هویت چندنفره و تلاش‌های فیشینگ علیه مقامات دولتی، روزنامه‌نگاران و دانشگاهیان مرتبط با مذاکرات شود.

در ادامه گزارش ادعا شده، این گروه احتمالا به توسعه قابلیت‌های MPI برای ارسال بدافزار به سیستم‌های قربانیان خود، از جمله اهداف هماهنگ‌شده با نهادهای درون ایران ادامه خواهد داد. این حملات، پیچیده‌تر و تشخیص آنها، دشوارتر است و خطر را افزایش می‌دهد. گروه TA453 احتمالا استفاده خود از بدافزار را گسترش می‌دهد و ممکن است از آن، برای حملات بعدی مخرب‌تر استفاده کند. فعالان، دانشگاهیان و سایر گروه‌ها، ممکن است هدف این نوع عملیات سایبری قرار گیرند.

درباره Crisis24: این گروه، اطلاعات، برنامه‌ریزی، آموزش عمیق و پاسخ‌های سریع و کاربردی ارائه می‌کند تا از ایجاد خطرات نوظهور در سازمان‌ها جلوگیری نماید. گروه Crisis24، همچنین قابلیت‌های مدیریت ریسک فضای سایبری را آموزش می‌دهد.

نوشته های مرتبط

اخبار روز