رزنیکا رادمهر – سایت دارکردینگ (darkreading) مدعی شد گروه سایبری APT34 که به ایران نسبت داده میشود، با حمله به زیرساخت زنجیره تامین امارات، این کشور را هدف قرار داده است.
این گروه فعال، با هدف جاسوسی سایبری به نام OilRig شناخته میشود و از جمله اقدامات آن، هدف قرار دادن مشتریان دولتی شرکت IT در منطقه (خاورمیانه) است.
گروه تهدید پیوسته پیشرفته منتسب به ایران به نام APT34، اینبار با انجام یک حمله به زنجیره تامین، با هدف نهایی دسترسی به اهداف دولتی در داخل امارات، دوباره در حال فعالیت است.
در همین زمینه، ماهر یاموت، محقق اصلی مرکز تحقیقات EEMEA در شرکت کسپرسکی معتقد است مهاجمان از یک فرم استخدام تقلبی در زمینه فناوری اطلاعات به عنوان واسطه استفاده کردند.
در این رابطه، گروه APT34 که به نام OilRig نیز شناخته میشود، یک سایت جعلی ایجاد کرده تا به عنوان شرکت فناوری اطلاعات در امارات شناخته شود.
این گروه سپس فرم استخدام تقلبی را به شرکت فناوری اطلاعاتِ مورد هدف ارسال کرده و وقتی قربانی، سند مخرب را باز کرده تا متقاضی شغل فناوری اطلاعات تبلیغشده قرار گیرد، بدافزار جاسوسی اجرا شده است.
یاموت میگوید که این بدافزار، اطلاعات حساس و اعتبارنامههایی را جمعآوری کرده که به APT34 اجازه دسترسی به شبکههای مشتریان شرکتهای فناوری را میدهد.
به گفته او، سپس مهاجم به طور خاص به هدفگیری از مشتریان دولتی پرداخته و برای ارتباط و انتقال دادهcommand-and-control (C2) از زیرساخت ایمیل گروه آیتی قربانی استفاده کرده است.
یاموت تصریح کرده که کسپرسکی نمیتواند تایید کند که آیا حملات دولتی به دلیل دید پاییندستی محدود، نتیجهبخش بوده یا خیر، با این حال، وی میگوید «ما با توجه به میزان موفقیت نسبی این گروه، نتیجه فعالیت آنها را با اطمینان متوسط به بالا ارزیابی میکنیم.»
در تحقیقات انجامشده توسط شرکت کسپرسکی کشف شد نمونههای بدافزار مورد استفاده در کمپین امارات، مشابه نفوذ زنجیره تامین APT34 در اردن بوده و این گروه از تاکتیکها، تکنیکها و روشهای مشابه برای هدفگیری نهادهای دولتی استفاده کرده است.
یاموت میگوید که تردید داشته لینکدین برای ارسال یک فرم شغلی با تظاهر به تلاش برای استخدام توسط یک شرکت IT استفاده شده باشد.
کلاهبرداری شغلی کارآگاهی، تاکتیکی است که طی سالها، توسط گروههای سایبری، بهویژه لازاروس (Lazarus) کرهشمالی، در چندین موقعیت و توسط افرادی که خود را کارآگاه نظامی معرفی میکنند، استفاده شده است.
بر اساس این گزارش گروه APT34، یک گروه تهدید منتسب به ایران است که به طور اساسی در منطقه خاورمیانه فعالیت میکند و سازمانهای مختلف منطقه را هدف قرار میدهد. این گروه که به فعالیتهای سایبری دیگر مانند حمله به امارات در سال قبل نیز متهم شده، اغلب حملاتی در حوزه زنجیره تامین انجام میدهد؛ جایی که این گروه تهدید از رابطه اعتماد بین سازمانها برای حمله به اهداف اصلی آنها استفاده میکند و با رویکرد سیستماتیک به سمت سازمانهای خاص که به نظر میرسد با دقت برای اهداف استراتژیک انتخاب شدهاند، حملاتی را اجرا میکند.
با توجه به تحقیقات شرکت امنیت سایبری Mandiant، گروه APT34 حداقل از سال 2014 فعالیت داشته و از ترکیبی از ابزارهای عمومی و غیرعمومی استفاده میکند و اغلب عملیات فیشینگ نیزهای را با استفاده از حسابهای مختلف انجام میدهد و گاهی از تاکتیکهای مهندسی اجتماعی نیز بهره میبرد.
شرکت Mandiant همچنین مدعی شد: «ارزیابی ما این است که گروه APT34 به نمایندگی از ایران عمل میکند. بر اساس جزییات زیرساخت که حاوی اشاره به ایران است، استفاده از زیرساخت ایرانی و هدفگیری، با منافع دولتی هماهنگی دارد.»
این ارزیابی توسط دولت آمریکا اشتراکگذاری شده و در سال گذشته، به دلیل فعالیتهای این گروه، تحریمهایی علیه ایران اعمال شده است.