آزاده کیاپور – شرکت سایبری ESETاز جمله شرکتهایی است که همواره گزارشهای یکطرفه از حملات هکرهای منتسب به ایران به کشورهای غربی و اسراییل منتشر میکند و در گزارشهای آن هیچگاه اثری از حملات غربیها دیده نمیشود.
اکنون این شرکت در ادعایی جدید اعلام کرده هکرهای ایرانی از ضعف شناختهشده در سرورهای ایمیل شرکتهای اسرائیلی برای معرفی بکدور (درب پشتی) استفاده کردند؛ ضعفی که اجازه ورود به شبکههای آنها را میدهد.
شرکت امنیت اطلاعات ESET مدعی شد هکرهای ایرانی از این طریق موفق به نفوذ به شبکه حدود 32 شرکت اسرائیلی شدند. این هکرها همچنین به یک شرکت در برزیل و امارات متحده عربی نفوذ کردند. نام این شرکتها فاش نشده اما بر اساس یافتههای حاصلشده، این شرکتها در زمینههای مختلف مانند بیمه، پزشکی، صنعت، ارتباطات، فناوری اطلاعات، فناوری، خردهفروشی، خودرو، حقوق، خدمات مالی، معماری و عمران فعالیت میکنند.
در این رابطه بابکَت بالستیک (Ballistic Bobcat) به عنوان گروه پشت این کمپین، شناسایی شده که با نامهای دیگر از جمله گربه جذاب،TA543 یا PHOSPHORUS و نیز APT35/42 شناخته میشود. طبق ادعای مطرحشده، هدف اصلی این گروه، جاسوسی سایبری است اما در سطوح دیگر مانند سرقت اطلاعات یا حملات باجافزاری نیز عمل میکند.
علاوه بر این، طبق یافتهها، این گروه، تنها گروهی نبوده که توانسته به شبکههای قربانیان دسترسی پیدا کند. حداقل 16 شرکت، تحتتاثیر مهاجمان ثانویه قرار گرفتند. البته شرکت سایبری ESET مشخص نکرده که نام این شرکتها چیست.
آدام برگر، محقق شرکت ESET که بکدور معروف به Sponsor را کشف و آخرین کمپین حمله سایبری این گروه را تحلیل کرد، گفت: «به کاربران توصیه میشود وصلههای امنیتی بهروز را روی هر دستگاهی که در معرض اینترنت قرار میگیرد، نصب کنند و نسبت به برنامههای جدید که بهطور غیرمنتظره در سازمان آنها ظاهر میشوند، هوشیار باشند.»
درب پشتی Sponsor از فایلهای پیکربندی ذخیرهشده در هارد دیسک کامپیوتر استفاده میکند. فایلها مخفیانه به عنوان فایلهای بچ (batch) اجرا میشوند و برای جلوگیری از شناسایی توسط اسکنهای امنیتی، درست به نظر میرسند.
گروه Ballistic Bobcat، عملیات درب پشتی را در سپتامبر 2021 آغاز کرد. در طول اپیدمی کرونا، این گروه به سازمانهای مرتبط با همهگیری، از جمله سازمان بهداشت جهانی (WHO) و محققان پزشکی، حمله سایبری کرد. گمان میرود این حملات به منظور انتقال اطلاعات به ایران درباره مقابله با کرونا در سراسر جهان و واکسنهایی بوده که در آن زمان، ساخته شده بود.
پژوهشگران دریافتند هکرها، در حداقل 23 مورد از 34 حمله سایبری، از یک ضعف شناختهشده در سرورهای ایمیل Exchange مایکروسافت استفاده کردهاند. بهروزرسانی نرمافزاری برای این آسیبپذیری، قبلا توسط مایکروسافت منتشر شده است. بنابراین این احتمال وجود دارد که قربانیان، سیستم خود را در زمان واقعی بهروزرسانی نکرده و همین امر به هکرها، اجازه نفوذ داده است.
به گفته محققان، هکها یک کمپین هدفمند نبودهاند و هکرها به طور فعال، به دنبال نفوذ به شرکتهای خاص نبودند، بلکه به سادگی با کمک ابزارهای هک، وضعیت را بررسی و با یافتن مسیرهایی، از آن برای نفوذ به شبکههای شرکتها استفاده کردهاند.
گروههای هکر ایرانی به طور منظم علیه اهدافی در اسرائیل فعالیت میکنند. در هر زمان، تلاشهای زیادی برای شناسایی نقاط ضعف شبکههای شرکتها، دولتها و نظامیها و بهرهبرداری از آنها صورت میگیرد. گروههای هجوم سایبری روسیه، کرهشمالی، سوریه و ترکیه نیز به طور منظم در اسرائیل فعالیت میکنند، اگرچه هدف آنها، معمولا بیشتر جرم و جنایت است تا مسائل سیاسی و استراتژیک. با این حال، تردیدی نیست هر گروهی که نفوذ موفقیتآمیز به رایانهها در اسرائیل داشته باشد، ممکن است از این عملیات در سطح سیاسی نیز استفاده کند.
چندین سال است که اسرائیل و ایران، حملات سایبری سیستماتیک را زیرنظر رادار انجام میدهند.
بر اساس ادعای این گروه، فعالیت ایران در موارد متعدد مانند تعطیلی بیمارستان یا نفوذ به شبکه شرکتهای حوزه دفاعی، شهرداریها یا حتی زیرساختهای ملی و شرکتهای دولتی اسراییل شناسایی شده است. در برخی موارد، این حملات، به منظور جمعآوری اطلاعات است و در موارد دیگر، هدف هجوم، شرمسار کردن و خاموش کردن یک فعالیت یا نصب برنامههای تروجان برای استفاده در آینده است. در این مرحله، مشخص نیست که آیا کمپین شناساییشده در اهداف خود موفق بوده یا اینکه هنوز به طور فعال بر سایر قربانیان تاثیر میگذارد.