رزنیکا رادمهر – طبق ادعای جدید پروفپوینت، هکرهای حامی دولت ایران در کمپین جدیدی که به گفته محققان این شرکت، یک بدافزار علیه محصولات اپل و مایکروسافت است، متخصصان امور خاورمیانه و امنیت هستهای را هدف قرار میدهند.
پروف پوینت یک شرکت امنیت سایبری سازمانی آمریکایی مستقر در کالیفرنیا است که محصولاتی برای امنیت ایمیل، دفاع از تهدید هویت، جلوگیری از افشای دادهها، کشف الکترونیکی و آرشیو ایمیل ارایه میکند.
به گزارش therecord، کارشناسان شرکت امنیت سایبری پروفپوینت (Proofpoint) این کمپین را به گروهی که TA453 مینامند اما با نامهای charming kitten، Mint Sandstorm یا APT42 نیز شناخته میشود، نسبت دادهاند که مدعی هستند قبلا با برخی نهادهای نظامی ایران مرتبط بوده است.
کارشناسان این موسسه مدعی هستند با هکرهایی مواجه شدهاند که وانمود میکردند یکی از اعضای ارشد اندیشکده بریتانیا به نام موسسه خدمات متحد سلطنتی (RUSI) هستند. در حالی که تلاش میکردند بدافزار را به سمت یک متخصص امنیت هستهای در اندیشکده مستقر در ایالات متحده که بر امور خارجی متمرکز است، گسترش دهند.
بنا بر اعلام پروفپوینت، هکرها به تطبیق ابزارهای مورد استفاده در طول حملات ادامه میدهند و «انواع فایلهای جدید را به منظور هدف قرار دادن سیستمعاملهای جدید، به ویژه بدافزار مک، به یکی از اهداف اخیر خود ارسال میکنند.»
در این رابطه، جاشوا میلر، محقق ارشد حوزه تهدید در پروفپوینت گفت: «قابلیت و تمایل TA453 برای اختصاص منابع به ابزارهای جدید به منظور به خطر انداختن اهداف دیگران، نمونهای از تداوم تهدیدات سایبری همسو با دولت است.» تلاشهای مستمر عامل تهدید با هدف تکرار زنجیرههای نفوذ خود برای دور زدن کنترلهای امنیتی، نشان میدهد دفاع آگاهانه قوی برای ناامید کردن حتی پیشرفتهترین دشمنان چقدر مهم است.
در گزارش منتشرشده اخیر، میلر و سایر محققان پروفپوینت توضیح دادند این گروه هکری از ابزارهایی مانند Google Scripts، Dropbox و CleverApps برای مختل کردن تهدید استفاده میکنند. هدف این کمپین، شناسایی است و هکرها چندین درب پشتی (بکدور) را در سیستمهای قربانیان برای جمعآوری اطلاعات مستقر میکنند.
پس از اینکه مایکروسافت در سال گذشته، تغییراتی را در یکی از ویژگیهای محبوب در مجموعه برنامههای آفیس خود ایجاد کرد، هکرها مجبور شدند تاکتیکهای خود را در ماه می تغییر دهند.
کمپینهای گذشته که توسط پروفپوینت تجزیه و تحلیل شده، نشان میدهد هکرها از اپلیکیشن ویژوال بیسیک مایکروسافت(VBA) به منظور استقرار بدافزار استفاده میکردند اما این غول فناوری اعلام کرد این ویژگی را بهطور پیشفرض در برنامههای آفیس خود مسدود میکند تا استفاده از آن را در بین هکرها محدود کند.
پروف پوینت این کمپین را بر اساس « شباهتهای کد مستقیم و همشباهتها در تاکتیکها، تکنیکها و رویههای کلی کمپین» به بازیگران ایرانی نسبت داد. دو مورد از دربهای پشتی یافتشده در این کمپین، به سال 2021 باز میگردد. این کمپین در ماه می با ارسال ایمیل به یک متخصص از سوی یک هکر که ادعا میکرد یکی از اعضای ارشد مؤسسه خدمات متحد سلطنتی (RUSI) است، آغاز شد.
در این ایمیل آمده بود که محققان روی پروژهای به نام «ایران در بستر امنیت جهانی» کار میکنند و به دنبال بازخورد کارشناسان هستند. هکرها برای افزایش مشروعیت خود گفتند که این پروژه توسط دیگر کارشناسان مشهور امنیت هستهای نظارت میشود. مهاجمان پیش از این ایمیلهایی را ارسال و در آن افراد کارشناس را به تصویر کشیده بودند. هکرها حتی پیشنهاد کردند که به کارشناس برای استفاده از سند پول بدهند.
محققان پروفپوینت اعلام کردند گروهTA453 از انواع ارایهدهندگان هاست ابری برای ارایه یک زنجیره نفوذ جدید استفاده کرد. درب پشتی PowerShell تازه شناساییشده، GorjolEcho را مستقر میکند. در یک نقطه، هکرها متوجه شدند که یک فایل مخرب روی رایانه اپل قربانی اجرا نمیشود، بنابراین ایمیل دیگری به بدافزاری ارسال کردند که روی سیستمعامل مک کار میکند. هدف محتمل این هکرها، نظارت بر کارشناسانی است که احتمالا در مواضع سیاست خارجی اتخاذشده توسط دولتهای درگیر در مذاکرات برجام یا توافق هستهای ایران نقش ایفا میکنند.
پروفپوینت خاطرنشان کرده دراپباکس و واحد هوش سایبری و تحلیل تهدید HSBC در زمینه تحقیقات درباره کمپین یادشده به این شرکت کمک کردهاند. دراپباکس، پس از اطلاعرسانی این موضوع، اکانتهایی را که با کمپین مرتبط بودند، حذف کرد.
در ماه آوریل، گروه بچه گربههای جذاب (Charming Kitten) متهم به استقرار نوع جدیدی از بدافزار به نام BellaCiao علیه چندین قربانی در آمریکا، اروپا، هند، ترکیه و سایر کشورها شد.
مایکروسافت نیز اوایل سال جاری گزارش داد همان گروه هکری ایرانی، اغلب سالهای 2021 و 2022 را مستقیما صرف هدف قرار دادن زیرساختهای حیاتی آمریکا مانند بنادر دریایی، شرکتهای انرژی، سیستمهای ترانزیت و یک شرکت بزرگ آبوبرق کردهاند.
بنا بر ادعای مایکروسافت، ظاهرا افزایش تهاجم بازیگران تهدیدکننده ایران با سایر اقدامات این کشور، زیرنظر یک نهاد جدید امنیت ملی صورت میگیرد که نشان میدهد چنین گروههایی در عملیات خود محدودیت کمتری دارند.