آزاده کیاپور
در ادامه گزارشهای مرسوم و هماهنگ شرکتها و رسانههای غربی و علیرغم درخواستهای بیپاسخ و مکرر مقامات ایران، مبنی بر انتساب نفوذ و حملات هکرهای وابسته به ایران، بار دیگر اعلام شد یک گروه پیچیده سایبری ایرانی، موفق شده تقریباً هشت سال بدون شناسایی، به شبکههای دولتی در عراق و دولت اقلیم کردستان، دسترسی داشته باشد. این موضوع، یکی از طولانیترین کمپینهای تهدید مداوم پیشرفته (APT) در خاورمیانه است.
سایت Cybersecuritynews در گزارشی مدعی شد، این گروه که از سوی پژوهشگران امنیتی با نام BladedFeline شناخته میشود، دستکم از سال ۲۰۱۷، فعالیت خود را آغاز کرده و به شکل منظم، مقامات دیپلماتیک کرد و مقامات بلندپایه دولت عراق را هدف قرار داده است. همچنین این گروه سایبری، مجموعهای گسترده از ابزارهای بدافزاری سفارشی را توسعه داده است.
روشهای حملهBladedFeline ، بیانگر امنیت عملیاتی بالا و شکیبایی زیاد این گروه است؛ ویژگیهایی که معمولاً از گروههای تهدید تحت حمایت دولتها برمیآید. دسترسی اولیه آنها از طریق سوءاستفاده از برنامههای عمومی در معرض اینترنت روی سرورهای وب صورت میگیرد. سپس با استقرار Webshellها و ایجاد سازوکارهای مختلف ماندگاری، دسترسی بلندمدت خود را تضمین میکنند.
پژوهشگران WeLiveSecurity، پس از کشف بدافزار بکدور یا دربپشتی اختصاصی به نام Shahmaran که مسئولان دیپلماتیک کرد را هدف قرار میداد، این گروه را در سال ۲۰۲۳ شناسایی کردند. با این حال، شواهد حاکی است که فعالیت این گروه، سالها پیش از آن، آغاز شده بود.
دامنه این کمپین، فراتر از اهداف سنتی دولتی گسترش یافته و زیرساختهای مخابراتی منطقه را نیز شامل شده؛ بهطوری که پژوهشگران، مدعی مستندسازی نفوذ این گروه به یکی از ارائهدهندگان خدمات مخابراتی در ازبکستان شدند. راهبرد هدفگذاری گسترده با اولویت جمعآوری اطلاعات استراتژیک ایران در منطقه، بهویژه در زمینه نفوذ غرب در عراق، پس از اشغال، روابط دیپلماتیک و منابع نفتی اقلیم کردستان همراستاست.
پژوهشگران امنیتی با اطمینان متوسط ارزیابی کردهاندBladedFeline ، زیرمجموعهای از سازمان بزرگتر OilRig است، زیرا شباهتهایی در کد و الگوهای تاکتیکی با این تهدید شناساییشده ایرانی وجود دارد. تأثیر BladedFeline، بسیار فراتر از عملیات رایج نفوذ سایبری است، زیرا این گروه، دسترسی راهبردی به ارتباطات حساس دولتی و فرایندهای تصمیمگیری را حفظ کرده است.
ماهیت طولانیمدت این دسترسی از گردآوری موفق اطلاعات دیپلماتیک، مذاکرات سیاستی و احتمالاً اطلاعات طبقهبندیشدهای حکایت میکند که میتواند بر پویاییهای ژئوپلیتیکی منطقه، تأثیرگذار باشد. ابزارهای پیشرفته این گروه، بیانگر سرمایهگذاری قابلتوجه برای حفظ توانمندیهای عملیاتی و اجتناب از شناسایی توسط سامانههای امنیتی رایج است.
- زیرساخت فرماندهی و کنترل ایمیلمحور
نوآورانهترین دستاورد فنی این گروه در توسعه بدافزار پشتی Whisper نهفته است که روشهای سنتی فرماندهی و کنترل (C2) را دگرگون کرده و از حسابهای ایمیل Microsoft Exchange آلوده بهره میبرد. این رویکرد، ترافیک مخرب را درون جریانهای ایمیلی مشروع سازمانی پنهان میکند و شناسایی آن را برای سامانههای پایش شبکه سنتی، بهشدت دشوار میسازد.
جریان عملیاتی Whisper از پیچیدگی فنی بالایی برخوردار است. بدافزار با استفاده از اطلاعات کاربری ذخیرهشده در فایل پیکربندی (XML که بهصورت base64 رمزگذاری شدهاند)، به حسابهای وبمیل آلوده وارد میشود.
پس از احراز هویت موفق، Whisper، قوانین فیلترینگ ایمیل را با نام از پیش تعیینشده«MicosoftDefaultRules» تنظیم میکند؛ این قوانین، بهطور خودکار، پیامهای حاوی فرمانهای اپراتور را با توجه به کلیدواژههایی مانند «PMO» در موضوع ایمیل، به پوشههای خاصی منتقل میکنند.
این بدافزار با ارسال پیامهای بررسی وضعیت (Check-in)، هر ۱۰ ساعت، به یک آدرس ایمیل مشخص، ارتباط مداوم خود را حفظ میکند. این پیامها با موضوع «Content» و بدنهای شامل اطلاعات شناسایی سیستم، بهصورت base64 رمزگذاریشده، هستند. فرمانها نیز از طریق پیوستهای رمزگذاریشده ایمیلی، ارسال و توسط موتور رمزگشایی Whisper پردازش میشوند.
این بدافزار، از رمزنگاری AES، با یک بردار اولیه 16 بایتی و یک کلید از پیش تعیینشده، برای رمزگشایی فرمانهای اپراتور استفاده میکند؛ فرمانهایی که با فرمت ; (نقطهویرگول) ارسال میشوند.
عملیات پشتیبانیشده توسط Whisper، شامل دستکاری فایلها، اجرای اسکریپتهای PowerShell و استخراج دادههاست. خروجی تمام فرمانها نیز رمزگذاری شده و از طریق پیوستهای ایمیلی به آدرس اپراتور بازگردانده میشود.
این معماری مبتنی بر ایمیل، بیانگر تحول چشمگیر در روشهای ارتباطی گروههای APT است، زیرا با سوءاستفاده از فرایندهای معمول و معتبر سازمانی، کانالهای مخفی ارتباطی را حفظ کرده و در قالب مکاتبات اداری عادی ظاهر میکند.
