نفوذ هکرهای ایرانی به شرکت‌های اسرائیلی

آزاده کیاپور – شرکت سایبری  ESETاز جمله شرکت‌هایی است که همواره گزارش‌های یکطرفه از حملات هکرهای منتسب به ایران به کشورهای غربی و اسراییل منتشر می‌کند و در گزارش‌های آن هیچگاه اثری از حملات غربی‌ها دیده نمی‌شود.

اکنون این شرکت در ادعایی جدید اعلام کرده هکرهای ایرانی از ضعف شناخته‌شده در سرورهای ایمیل شرکت‌های اسرائیلی برای معرفی بکدور (درب پشتی) استفاده کردند؛ ضعفی که اجازه ورود به شبکه‌های آنها را می‌دهد.

شرکت امنیت اطلاعات ESET مدعی شد هکرهای ایرانی از این طریق موفق به نفوذ به شبکه حدود 32 شرکت اسرائیلی شدند. این هکرها همچنین به یک شرکت در برزیل و امارات متحده عربی نفوذ کردند. نام این شرکت‌ها فاش نشده اما بر اساس یافته‌های حاصل‌شده، این شرکت‌ها در زمینه‌های مختلف مانند بیمه، پزشکی، صنعت، ارتباطات، فناوری اطلاعات، فناوری، خرده‌فروشی، خودرو، حقوق، خدمات مالی، معماری و عمران فعالیت می‌کنند.

در این رابطه باب‌کَت بالستیک (Ballistic Bobcat) به عنوان گروه پشت این کمپین، شناسایی شده که با نام‌های دیگر از جمله گربه جذاب،TA543  یا PHOSPHORUS و نیز APT35/42 شناخته می‌شود. طبق ادعای مطرح‌شده، هدف اصلی این گروه، جاسوسی سایبری است اما در سطوح دیگر مانند سرقت اطلاعات یا حملات باج‌افزاری نیز عمل می‌کند.

علاوه بر این، طبق یافته‌ها، این گروه، تنها گروهی نبوده که توانسته به شبکه‌های قربانیان دسترسی پیدا کند. حداقل 16 شرکت، تحت‌تاثیر مهاجمان ثانویه قرار گرفتند. البته شرکت سایبری ESET مشخص نکرده که نام این شرکت‌ها چیست.

آدام برگر، محقق شرکت ESET که بکدور معروف به Sponsor را کشف و آخرین کمپین حمله سایبری این گروه را تحلیل کرد، گفت: «به کاربران توصیه می‌شود وصله‌های امنیتی به‌روز را روی هر دستگاهی که در معرض اینترنت قرار می‌گیرد، نصب کنند و نسبت به برنامه‌های جدید که به‌طور غیرمنتظره در سازمان‌ آنها ظاهر می‌شوند، هوشیار باشند.»

درب پشتی Sponsor از فایل‌های پیکربندی ذخیره‌شده در هارد دیسک کامپیوتر استفاده می‌کند. فایل‌ها مخفیانه به ‌عنوان فایل‌های بچ (batch) اجرا می‌شوند و برای جلوگیری از شناسایی توسط اسکن‌های امنیتی، درست به نظر می‌رسند.

گروه Ballistic Bobcat، عملیات درب پشتی را در سپتامبر 2021 آغاز کرد. در طول اپیدمی کرونا، این گروه به سازمان‌های مرتبط با همه‌گیری، از جمله سازمان بهداشت جهانی (WHO) و محققان پزشکی، حمله سایبری کرد. گمان می‌رود این حملات به منظور انتقال اطلاعات به ایران درباره مقابله با کرونا در سراسر جهان و واکسن‌هایی بوده که در آن زمان، ساخته شده بود.

پژوهشگران دریافتند هکرها، در حداقل 23 مورد از 34 حمله سایبری، از یک ضعف شناخته‌شده در سرورهای ایمیل Exchange مایکروسافت استفاده کرده‌اند. به‌روزرسانی نرم‌افزاری برای این آسیب‌پذیری، قبلا توسط مایکروسافت منتشر شده است. بنابراین این احتمال وجود دارد که قربانیان، سیستم‌ خود را در زمان واقعی به‌روزرسانی نکرده و همین امر به هکرها، اجازه نفوذ داده است.

به گفته محققان، هک‌ها یک کمپین هدفمند نبوده‌اند و هکرها به طور فعال، به دنبال نفوذ به شرکت‌های خاص نبودند، بلکه به سادگی با کمک ابزارهای هک، وضعیت را بررسی و با یافتن مسیرهایی، از آن برای نفوذ به شبکه‌های شرکت‌ها استفاده کرده‌اند.

گروه‌های هکر ایرانی به طور منظم علیه اهدافی در اسرائیل فعالیت می‌کنند. در هر زمان، تلاش‌های زیادی برای شناسایی نقاط ضعف شبکه‌های شرکت‌ها، دولت‌ها و نظامی‌ها و بهره‌برداری از آنها صورت می‌گیرد. گروه‌های هجوم سایبری روسیه، کره‌شمالی، سوریه و ترکیه نیز به طور منظم در اسرائیل فعالیت می‌کنند، اگرچه هدف آنها، معمولا بیشتر جرم و جنایت است تا مسائل سیاسی و استراتژیک. با این حال، تردیدی نیست هر گروهی که نفوذ موفقیت‌آمیز به رایانه‌ها در اسرائیل داشته باشد، ممکن است از این عملیات در سطح سیاسی نیز استفاده کند.

چندین سال است که اسرائیل و ایران، حملات سایبری سیستماتیک را زیرنظر رادار انجام می‌دهند.

بر اساس ادعای این گروه، فعالیت ایران در موارد متعدد مانند تعطیلی بیمارستان یا نفوذ به شبکه‌ شرکت‌های حوزه دفاعی، شهرداری‌ها یا حتی زیرساخت‌های ملی و شرکت‌های دولتی اسراییل شناسایی شده است. در برخی موارد، این حملات، به منظور جمع‌آوری اطلاعات است و در موارد دیگر، هدف هجوم، شرمسار کردن و خاموش کردن یک فعالیت یا نصب برنامه‌های تروجان برای استفاده در آینده است. در این مرحله، مشخص نیست که آیا کمپین شناسایی‌شده در اهداف خود موفق بوده یا اینکه هنوز به طور فعال بر سایر قربانیان تاثیر می‌گذارد.

نویسنده