سمیه مهدویپیام – در ادامه گزارشهای هماهنگ و مستمر ماههای اخیر از کمپینهای انتخاباتی آمریکا و نهادهای امنیت سایبری این کشور گرفته تا شرکتهای آمریکایی گوگل، متا و مایکروسافت مبنی بر ادعای نفوذ و دخالت سایبری ایران در انتخابات این کشور، همچنان موج «کمپین ایرانهراسی سایبری» با فشار و شدت دنبال میشود.
به گزارش عصر ارتباط این در حالیست که در قضیه ادعای دخالت ایران در انتخابات آمریکا، مسوولان ایران در سازمان ملل خواستار ارایه مستندات رسمی شدند که چنین اتفاقی رخ نداد. در خصوص انتساب حملات سایبری به ایران نیز تا کنون ادله مشخصی ارایه نشده و صرفا به عملیات گروههای هکری استناد میشود که به ایران منتسب شدهاند. این در حالیست که در جریان بزرگترین حمله سایبری دنیا (استاکسنت) که به ایران انجام شد، دولتهای آمریکا و اسراییل که عامل این حملات بودند هنوز مسوولیت آن را به عهده نگرفتهاند.
در همین راستا سایت رجیستر در گزارشی نوشت: گروههای سایبری که ادعا میشود مورد حمایت دولت ایران است، اخیرا شبکههای ایالات متحده و کشورهای دیگر را هک کردهاند تا دادههای حساس را سرقت کرده و باجافزارها را مستقر کنند. آنها از طریق دستگاههای آسیبپذیر VPN و فایروال شرکتهای Check Point، Citrix، Palo Alto Networks و دیگر تولیدکنندگان به این شبکهها نفوذ کردهاند.
در مشاوره امنیتی مشترک ارائهشده دفتر تحقیقات فدرال (FBI)، آژانس امنیت سایبری و زیرساخت (CISA)و مرکز جرایم سایبری وزارت دفاع آمریکا (DC3)، به مدافعان شبکه هشدار داده شده، Pioneer Kitten همچنان به بهرهبرداری از مدارس، بانکها، بیمارستانها، سازمانهای بخش دفاع و دولتی آمریکا و اهدافی در اسرائیل، آذربایجان و امارات متحده عربی ادامه میدهد.
این حملات، شامل نفوذ به شبکهها برای سرقت دادههای فنی حساس از پیمانکاران دفاعی آمریکا و همچنین سازمانهای مستقر در اسرائیل و آذربایجان به منظور حمایت از دولت ایران است. با این حال، بیشتر حملات علیه اهداف آمریکایی، انگیزه مالی دارند و از سوی دولت تحریم نشدهاند.
بنا به اعلام هشدار مشترک نهادهای فدرال: «افبیآی ارزیابی میکند که درصد قابلتوجهی از عملیات این بازیگران تهدید، علیه سازمانهای آمریکایی به منظور دستیابی و توسعه دسترسی به شبکه و سپس همکاری با بازیگران وابسته به باجافزار برای استقرار آن است.»
اخیرا سازمانهای مجری قانون فدرال مشاهده کردهاند Pioneer Kitten (که با نامهای مستعار Fox Kitten، UNC757، Parisite، RUBIDIUM و Lemon Sandstorm نیز شناخته میشود) با گروههای باجافزار به عنوان سرویس NoEscape، Ransomhouse و ALPHV/BlackCat همکاری میکند.
طبق اعلام آژانسهای آمریکایی، «مشارکت عوامل سایبری ایرانی در این حملات باجافزاری فراتر از ارائه دسترسی است؛ آنها با وابستگان باجافزار به طور نزدیک همکاری میکنند تا شبکههای قربانیان را قفل و استراتژیهایی برای اخاذی از آنها طراحی کنند.» افبیآی ارزیابی میکند که این عوامل، ملیت و محل استقرار خود در ایران را به وابستگان باجافزار افشا نمیکنند و به طور عمدی، درباره ملیت و مکان حضور خود مبهم عمل میکنند.
این هشدار جدید در پی چندین مورد اتهامزنی علیه ایران برای فعالیتهای مخرب سایبری صادر شده است. در هفتههای اخیر، مقامات آمریکایی ایران را به عنوان منبع احتمالی حمله و افشای اطلاعات علیه دونالد ترامپ، رئیسجمهور سابق آمریکا و کاندیدای فعلی معرفی کردند. گزارشهای متعدد دیگر نیز مدعی هستند تیمهای ایرانی تلاش خود را برای دخالت در انتخابات تشدید کردهاند.
اوایل ماه آگوست، شرکتOpenAI ، حسابهای ChatGPT مرتبط با یک گروه ایرانی را که به انتشار اخبار جعلی در سایتهای شبکههای اجتماعی درباره کمپینهای انتخاباتی ریاست جمهوری آمریکا متهم بود، مسدود کرد. همچنین گوگل و مایکروسافت هشدار دادهاند حملات مستمر علیه کاندیداهای هر دو حزب سیاسی در حال انجام است. با این حال، هشدار اخیر روی یک گروه دولتی دیگر تمرکز دارد که CISA و FBI میگویند از سال 2017 فعال بوده است.
- معرفی گروه Pioneer Kitten
گروه هکری Pioneer Kitten که به عنوان یکی از گروههای هکری موردحمایت دولت ایران شناخته میشود، در سال 2020 نیز توسط CISA و FBI در قالب یک هشدار مشابه مورد توجه قرار گرفت. این هشدار نشان میداد که این گروه در حال نفوذ به طیف گستردهای از بخشهای صنعتی آمریکا برای سرقت اطلاعات حساس و معتبر است.
این گروه در سایتهای دارکوب (Tor) و شبکههای اجتماعی با نامهای «Br0k3r» و «xplfinder» فعالیت میکند و از یک شرکت فناوری اطلاعات ایرانی «د.س»، به عنوان پوشش فعالیتهای مخرب سایبری خود بهره میبرد.
این گروه، طبق پیشینه خود از آسیبپذیریهای قدیمی در دستگاه (CVE-2019-19781 and CVE-2023-3519) و نیز دستگاه BIG-IP F5 (CVE-2022-1388)سوءاستفاده کرده تا دسترسی اولیه به سازمانهای قربانی پیدا کند. از ژوئیه امسال، این گروه، موتور جستجوی Shodan را برای آدرسهای IP که دستگاههای Check Point Security Gateways آسیبپذیر به CVE-2024-24919 را میزبانی میکنند، اسکن کرده است. این آسیبپذیری توسط فروشنده نرمافزار در ژوئن تحت هشدار بهرهبرداری فعال قرار گرفت.
چند ماه قبل، در آوریل، نهادهای فدرال متوجه شدند هکرهای ایرانی در حال اسکن دستگاههای آسیبپذیر Palo Alto Networks PAN-OS و GlobalProtect VPN هستند. این گروه، احتمالا در حال شناسایی و بررسی دستگاههایی بودند که برای آسیبپذیری CVE-2024-3400 که یک نقص حیاتی در تزریق فرمان است و امتیاز 10 از 10 را در رتبهبندی شدت CVSS دریافت کرده، بهروزرسانی نشدهاند.
نکته جانبی: چندین نمونه از اکسپلویتهای اثبات مفهومی (PoC) برای CVE-2024-3400 وجود دارد، بنابراین اگر فایروال یا VPN شبکه Palo Alto خود را هنوز بهروزرسانی نکردهاید، چنانچه ایران، در حال حاضر روی دستگاه شما ننشسته باشد، احتمالا شخص دیگری این کار را انجام داده است.
پس از بهرهبرداری موفق از یک دستگاه آسیبپذیر، گروه Pioneer Kitten فعالیتهای مجرمانه معمول خود را انجام میدهد. این گروه با استفاده از webshellها، اطلاعات ورودی را سرقت کرده و دسترسی خود به شبکه را حفظ میکند. آنها با استفاده از مدارک معتبر سرقتشده با سطح دسترسی ادمین، نرمافزارهای آنتیویروس و دیگر نرمافزارهای امنیتی را غیرفعال میکنند.
آنها همچنین حسابهای جدیدی ایجاد میکنند که از نامهای مشاهدهشده میتوان به “sqladmin$,” “adfsservice,” “IIS_Admin,” “iis-admin,” و “John McCain” اشاره کرد. سپس برای ابزارهایی که قصد استفاده از آنها را دارند، درخواست معافیت از سیاستهای امنیتی و برنامههای مبتنی بر اعتماد صفر (zero-trust) میدهند. پس از آن، دربهای پشتی (backdoors) را نصب کرده تا بدافزارها را بارگذاری و دادهها را استخراج کنند.
در هشدار مشترک نهادهای فدرال، فهرستی از نشانیهای IP و دامنههایی که Pioneer Kitten در سال جاری از آنها استفاده کرده، ارائه شده است. توصیه میشود این فهرست را بررسی کرده و سپس هر یک از این آدرسها مسدود یا حداقل بررسی شود. با این حال، هکرهای ایرانی به نفوذ به محیطهای ابری شرکتها نیز معروف هستند و از این زیرساختها برای انجام عملیات جاسوسی سایبری علیه سازمانهای دیگر استفاده میکنند.
در این هشدار آمده است: «افبیآی استفاده از این روش را علیه بخشهای دانشگاهی و دفاعی ایالات متحده مشاهده کرده اما این روش میتواند علیه هر سازمانی به کار گرفته شود.»
افبیآی و CISA هشدار میدهند اگر این عوامل به سازمان شما نفوذ کرده باشند، ممکن است از حساب سرویس ابری برای انجام فعالیتهای مخرب سایبری و هدف قرار دادن قربانیان دیگر استفاده کنند.
- بدافزار ویژه گروه Peach Sandstorm
گروه Peach Sandstorm که به نهادهای نظامی ایران منتسب شده، نیز با یک بکدور کاملا جدید به حالت حمله بازگشته است. این گروه که ادعا میشود به دولت ایران مرتبط است از یک بدافزار سفارشی جدید به نام Tickler بین ماههای آوریل و ژوئن استفاده کرده است.
شکارچیان بخش تهدیدات مایکروسافت، این گروه را با نام Peach Sandstorm دنبال میکنند و معتقدند این بدافزار جدید برای حملاتی که بخشهای ماهواره، تجهیزات ارتباطی، نفت و گاز و دولتهای فدرال و ایالتی در آمریکا و امارات متحده عربی را هدف قرار داده، استفاده شده است.
این جاسوسهای سایبری از زیرساخت ابری Azure که در اشتراکهای جعلی و تحت کنترل مهاجمان در Azure میزبانی شده بود، برای فرماندهی و کنترل (C2) استفاده کردهاند.
اولین نمونه بدافزار Tickler مشاهدهشده، از طریق یک فایل آرشیو به نام Network Security[.]zip ارسال شد که همراه با فایلهای PDF بیضرر به عنوان اسناد فریبنده بود. به گفته تیم اطلاعات تهدیدات مایکروسافت، «این نمونه، اطلاعات شبکه را از هاست جمعآوری کرده و از طریق درخواست HTTP POST به URI فرماندهی و کنترل (C2) احتمالا به عنوان راهی برای آشنایی مهاجم با شبکه مورد نفوذ ارسال میکند.»
به نظر میرسد Peach Sandstorm از آن زمان بدافزار را بهبود بخشیده، زیرا نمونه دوم، sold[.]dll، یک Trojan dropper است که payloadهای اضافی را از سرور فرماندهی و کنترل (C2) دانلود میکند. این payloadها شامل یک بکدور، یک اسکریپت دستهای برای ایجاد تداوم برای این بکدور و فایلهای قانونی msvcp140[.]dll، LoggingPlatform[.]dll، vcruntime140[.]dll و Microsoft.SharePoint.NativeMessaging[.]exe هستند.
اینها همه باینریهای امضاشده ویندوز هستند که مایکروسافت حدس میزند برای بارگذاری جانبی DLL (DLL sideloading) استفاده میشوند.