پروف‌پوینت مدعی شد

هجوم هکرهای ایرانی به محصولات اپل و مایکروسافت

  • توسط نویسنده
  • ۹ ماه پیش
  • ۰

رزنیکا رادمهر – طبق ادعای جدید پروف‌پوینت، هکرهای حامی دولت ایران در کمپین جدیدی که به گفته محققان این شرکت، یک بدافزار علیه محصولات اپل و مایکروسافت است، متخصصان امور خاورمیانه و امنیت هسته‌ای را هدف قرار می‌دهند.

پروف پوینت یک شرکت امنیت سایبری سازمانی آمریکایی مستقر در کالیفرنیا است که محصولاتی برای امنیت ایمیل، دفاع از تهدید هویت، جلوگیری از افشای داده‌ها، کشف الکترونیکی و آرشیو ایمیل ارایه می‌کند.

به گزارش  therecord، کارشناسان شرکت امنیت سایبری پروف‌پوینت (Proofpoint) این کمپین را به گروهی که TA453  می‌نامند اما با نام‌های  charming kitten، Mint Sandstorm  یا APT42 نیز شناخته می‌شود، نسبت داده‌اند که مدعی هستند قبلا با برخی نهادهای نظامی ایران مرتبط بوده است.

کارشناسان این موسسه مدعی هستند با هکرهایی مواجه شده‌اند که وانمود می‌کردند یکی از اعضای ارشد اندیشکده بریتانیا به نام موسسه خدمات متحد سلطنتی (RUSI) هستند. در حالی که تلاش می‌کردند بدافزار را به سمت یک متخصص امنیت هسته‌ای در اندیشکده مستقر در ایالات متحده که بر امور خارجی متمرکز است، گسترش دهند.

بنا بر اعلام پروف‌پوینت، هکرها به تطبیق ابزارهای مورد استفاده در طول حملات ادامه می‌دهند و «انواع فایل‌های جدید را به منظور هدف قرار دادن سیستم‌عامل‌های جدید، به ویژه بدافزار مک، به یکی از اهداف اخیر خود ارسال می‌کنند.»

در این رابطه، جاشوا میلر، محقق ارشد حوزه تهدید در پروف‌پوینت گفت: «قابلیت و تمایل TA453 برای اختصاص منابع به ابزارهای جدید به منظور به خطر انداختن اهداف دیگران، نمونه‌ای از تداوم تهدیدات سایبری همسو با دولت است.» تلاش‌های مستمر عامل تهدید با هدف تکرار زنجیره‌های نفوذ خود برای دور زدن کنترل‌های امنیتی، نشان می‌دهد دفاع آگاهانه قوی برای ناامید کردن حتی پیشرفته‌ترین دشمنان چقدر مهم است.

در گزارش منتشرشده اخیر، میلر و سایر محققان پروف‌پوینت توضیح دادند این گروه هکری از ابزارهایی مانند Google Scripts، Dropbox  و CleverApps برای مختل کردن تهدید استفاده می‌کنند. هدف این کمپین، شناسایی است و هکرها چندین درب پشتی (بکدور) را در سیستم‌های قربانیان برای جمع‌آوری اطلاعات مستقر می‌کنند.

پس از اینکه مایکروسافت در سال گذشته، تغییراتی را در یکی از ویژگی‌های محبوب در مجموعه برنامه‌های آفیس خود ایجاد کرد، هکرها مجبور شدند تاکتیک‌های خود را در ماه می تغییر دهند.

کمپین‌های گذشته که توسط پروف‌پوینت تجزیه و تحلیل شده، نشان می‌دهد هکرها از اپلیکیشن ویژوال بیسیک مایکروسافت(VBA)  به منظور استقرار بدافزار استفاده می‌کردند اما این غول فناوری اعلام کرد این ویژگی را به‌طور پیش‌فرض در برنامه‌های آفیس خود مسدود می‌کند تا استفاده از آن را در بین هکرها محدود کند.

پروف پوینت این کمپین را بر اساس « شباهت‌های کد مستقیم و هم‌شباهت‌ها در تاکتیک‌ها، تکنیک‌ها و رویه‌های کلی کمپین» به بازیگران ایرانی نسبت داد. دو مورد از درب‌های پشتی یافت‌شده در این کمپین، به سال 2021 باز می‌گردد. این کمپین در ماه می با ارسال ایمیل به یک متخصص از سوی یک هکر که ادعا می‌کرد یکی از اعضای ارشد مؤسسه خدمات متحد سلطنتی (RUSI) است، آغاز شد.

در این ایمیل آمده بود که محققان روی پروژه‌ای به نام «ایران در بستر امنیت جهانی» کار می‌کنند و به دنبال بازخورد کارشناسان هستند. هکرها برای افزایش مشروعیت خود گفتند که این پروژه توسط دیگر کارشناسان مشهور امنیت هسته‌ای نظارت می‌شود. مهاجمان پیش از این ایمیل‌هایی را ارسال و در آن افراد کارشناس را به تصویر کشیده بودند. هکرها حتی پیشنهاد کردند که به کارشناس برای استفاده از سند پول بدهند.

محققان پروف‌پوینت اعلام کردند گروهTA453  از انواع ارایه‌دهندگان هاست ابری برای ارایه یک زنجیره نفوذ جدید استفاده کرد. درب پشتی PowerShell تازه شناسایی‌شده، GorjolEcho را مستقر می‌کند. در یک نقطه، هکرها متوجه شدند که یک فایل مخرب روی رایانه اپل قربانی اجرا نمی‌شود، بنابراین ایمیل دیگری به بدافزاری ارسال کردند که روی سیستم‌عامل مک کار می‌کند. هدف محتمل این هکرها، نظارت بر کارشناسانی است که احتمالا در مواضع سیاست خارجی اتخاذشده توسط دولت‌های درگیر در مذاکرات برجام یا توافق هسته‌ای ایران نقش ایفا می‌کنند.

پروف‌پوینت خاطرنشان کرده دراپ‌باکس و واحد هوش سایبری و تحلیل تهدید HSBC در زمینه تحقیقات درباره کمپین یادشده به این شرکت کمک کرده‌اند. دراپ‌باکس، پس از اطلاع‌رسانی این موضوع، اکانت‌هایی را که با کمپین مرتبط بودند، حذف کرد.

در ماه آوریل، گروه بچه گربه‌های جذاب (Charming Kitten) متهم به استقرار نوع جدیدی از بدافزار به نام BellaCiao علیه چندین قربانی در آمریکا، اروپا، هند، ترکیه و سایر کشورها شد.

مایکروسافت نیز اوایل سال جاری گزارش داد همان گروه هکری ایرانی، اغلب سال‌های 2021 و 2022 را مستقیما صرف هدف قرار دادن زیرساخت‌های حیاتی آمریکا مانند بنادر دریایی، شرکت‌های انرژی، سیستم‌های ترانزیت و یک شرکت بزرگ آب‌وبرق کرده‌اند.

بنا بر ادعای مایکروسافت، ظاهرا افزایش تهاجم بازیگران تهدیدکننده ایران با سایر اقدامات این کشور، زیرنظر یک نهاد جدید امنیت ملی صورت می‌گیرد که نشان می‌دهد چنین گروه‌هایی در عملیات خود محدودیت کمتری دارند.

  • facebook
  • googleplus
  • twitter
  • linkedin
  • linkedin
قبلی «
بعدی »

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اخبار روز


شبکه های اجتماعی

هفته نامه

پر بازدید ها

پیشنهاد سردبیر

طراحی و اجرا:‌ وب سامانه