سمیه مهدوی پیام – مایکروسافت در گزارش جدید خود مدعی شد، کارشناسان ردهبالای شاغل در امور خاورمیانه در دانشگاهها و سازمانهای تحقیقاتی در بلژیک، فرانسه، غزه، اسرائیل، بریتانیا و آمریکا، هدف حملات هکرهایی قرار گرفتهاند که گفته میشود با دولت ایران مرتبط هستند.
در یک پست وبلاگی، تیم Threat Intelligence مایکروسافت اعلام کرد که از ماه نوامبر، زیرمجموعهای از یک گروه هکری که آنها را طوفان شن نعناع (Mint Sandstorm) مینامند، از «فریبهای فیشینگ شخصیسازیشده در تلاش برای مهندسی اجتماعی اهداف به منظور دانلود فایلهای مخرب» استفاده کرده است. مایکروسافت همچنین اعلام کرد برخی از حوادثی که مشاهده کرده، شامل ابزارهای جدیدی است که قبلا ندیده بود.
اپراتورهای مرتبط با زیرگروه طوفان شن نعناع، مهندسان اجتماعی صبور و بسیار ماهری هستند که بیزینس آنها فاقد بسیاری از علائم مشخصه است. این امر به کاربران امکان میدهد به سرعت ایمیلهای فیشینگ را شناسایی کنند. طبق اعلام مایکروسافت، در برخی کمپینها، این زیرگروه از حسابهای قانونی اما در معرض خطر برای ارسال فریبهای فیشینگ استفاده کرده است.
علاوه بر این، گروه طوفان شن نعناع، به بهبود و اصلاح ابزار مورد استفاده در محیطهای هدف ادامه میدهد؛ فعالیتی که ممکن است به گروه کمک کند در محیطی که در معرض خطر است، باقی بماند و یا هنگام شناسایی فرار کند.
شواهد حاصلشده از چندین حادثه نشان میدهد جدیدترین کارزار با درگیری فعلی به غزه مرتبط است. برخی فریبهای فیشینگ مشاهدهشده، جنگ اسرائیل و حماس را شامل میشود. محققان مایکروسافت بر این باورند که هدف این فیشینگها، دستیابی به دیدگاههای مختلف داخلی درباره درگیری حماس و اسرائیل است.
گروه طوفان شن نعناع توسط محققان دیگر با نام APT35 یا گربه جذاب شناخته میشود و گمان میرود با نهادهای خاص در تهران مرتبط باشند.
در گذشته، محققان مایکروسافت مشاهده کردهاند که اعضای این گروه به دنبال روزنامهنگاران، محققان، استادان یا افراد دیگر در قالب «کمپینهای مهندسی اجتماعی با منابع فشرده» هستند.
آنها افزودند: «در این کمپین، Mint Sandstorm خود را به عنوان افراد برجسته از جمله به عنوان روزنامهنگار در یک رسانه خبری معتبر معرفی کرد.»
در برخی موارد، عامل تهدید از یک آدرس ایمیل جعلی استفاده میکرد تا شبیه حساب ایمیل شخصی متعلق به یک روزنامهنگار باشد و از این طریق، جعل هویت کند. همچنین بعضا ایمیلهای خوشخیم را برای اهدافی ارسال میکرد که از آنها مقالهای درباره جنگ اسرائیل و حماس درخواست میشد.
چندین مورد دیگر مربوط به حسابهای ایمیل قانونی اما به خطر افتاده، متعلق به افرادی بود که سعی داشتند جعل هویت کنند. برخی ایمیلهای اولیه حاوی محتوای مخربی نبودند، زیرا هکرها قبل از شروع فرایند جاسوسی به دنبال ایجاد رابطه با اهداف خود بودند. هنگامی که یک هدف موافقت میکرد به مقاله یا سندی نگاه کند، هکرها پیوندی را به دامنه مخرب ارسال میکردند که قربانی را به یک فایل .rar که ادعا میشد حاوی اسناد است، میبرد.
مایکروسافت خاطرنشان کرد که این نوع تاکتیکها، «ممکن است در موفقیت این کمپین نقش داشته باشند.» در چندین مورد، هکرها، درب پشتی سفارشی را روی سیستمهای قربانی رها کردند و به آنها اجازه دادند دسترسی خود را حفظ کنند.
ابزار One Backdoor، به نام MediaPL، یک ابزار سفارشی ساختهشده است که به عنوان Windows Media Player، (برنامهای که برای ذخیره و پخش فایلهای صوتی و تصویری استفاده میشود)، ساخته شده است. درب پشتی میتواند ارتباطات رمزگذاریشده را به یک سرور تحت کنترل هکر ارسال کند، خود را خاتمه دهد یا دستور را اجرا کند.
محققان مایکروسافت معتقدند «توانایی کسب و حفظ دسترسی از راه دور به سیستم هدف، میتواند گروه Mint Sandstorm را قادر به انجام طیف وسیعی از فعالیتهایی کند که قادر است بر محرمانه بودن یک سیستم تاثیر منفی بگذارد.»
به خطر افتادن سیستم هدفمند میتواند خطرات حقوقی و اعتباری را برای سازمانهایی که تحتتاثیر این کمپین قرار میگیرند، ایجاد کند. با توجه به میزان پایداری، منابع و مهارتهای مشاهدهشده در کمپینهای منتسب به زیرگروه طوفان شن نعناع، مایکروسافت همچنان بهروزرسانی و افزایش قابلیتهای شناسایی خود را برای کمک به مشتریان به منظور دفاع در برابر این تهدید ادامه میدهد.
در ماههای نوامبر و دسامبر، چندین آژانس امنیت سایبری پیشرو در ایالات متحده نسبت به کمپین یک گروه هکری که مدعی بودند با ایران مرتبط هستند و شرکتهای آبرسانی ایالات متحده را هدف قرار میدهد، هشدار دادند. جو بایدن، رئیسجمهوری آمریکا نیز اعلام کرد که کاخ سفید یک پیام خصوصی درباره چندین حادثه اخیر مربوط به حمله به کشتیهای تجاری در دریای سرخ، به ایران ارسال کرده است.
pzlwkp