عملیات هکرهای سپاه پاسداران علیه فعالان طراز اول امنیت هستهای و تحقیقات ژنومی
هکرهای وابسته به حکومت ایران با استفاده از شیوههای جدیدی در حال هدفگیری چهرههای برجسته در زمینه امنیت هستهای، تحقیقات ژنومی و کارشناسان امور خاورمیانه هستند.
بررسیهای منتشر شده از سوی شرکت امنیت سایبری "پروفپوینت"، نشان میدهد این حملهها در راستای کارزار مهندسی اجتماعی تازهای از سوی سپاه پاسداران انقلاب اسلامی است که هدف آن جمعآوری اطلاعات حساس است.
فعالیتهای این گروه هکری که تیای۴۵۳ (TA453) نامگذاری شده است با سایر گروههای هکری وابسته به جمهوری اسلامی مانند ایپیتی۴۲ (APT42)، «بچهگربههای دلربا» و «فسفروس» همپوشانی دارد.
این هکرها در کارزار جدید طراحی شده با جعل هویت اشخاص فعال در سازمانهای پژوهشی سیاست خارجی در غرب، تلاش کردهاند تا به نیابت از سپاه پاسداران انقلاب اسلامی به جمعآوری اطلاعات بپردازند.
شخصیتهای جعلی ساخته شده به وسیله این هکرها شامل افراد فعالی در مجموعههایی مانند «مرکز تحقیقات پیو»، «موسسه تحقیقات سیاست خارجی»، «موسسه سلطنتی روابط بینالمللی چتمهاوس» و نیز مجله «نیچر» است.
گفته میشود تکنیک جدید به کار رفته در این کارزار از اواسط ماه ژوئن سال ۲۰۲۲ اجرایی شده است.
آنچه این کارزار فیشینگ را از دیگر حملهها در گذشته متمایز میکند، استفاده از شیوهای است که آن را «جعل هویت چند شخصیتی» نامگذاری کردهاند.
هکرها در این شیوه به جای استفاده از یک هویت جعلی، همزمان چند هویت جعلی تحت کنترل را برای ارتباط با قربانی به کار میگیرند تا از این طریق شانس موفقیت حمله را افزایش دهند.
هدف از اعمال این ایده که بر اساس اصل روانشناسی «اثبات اجتماعی» عمل میکند این است که اعتبار مکاتبات با قربانی هدف را افزایش و احتمال کشف ساختگی بودن موضوع، افراد و گفتوگوها را کاهش دهد.
نکته قابل توجه در این تکنیک، نیازمندی آن به استفاده از منابع بیشتر به ازای هر هدف و احتمالا لو دادن هویتهای جعلی بیشتر است.
این شیوه همچنین نیازمند هماهنگی بالاتری برای مدیریت همزمان چندین هویت جعلی است.
هکرها در این شیوه، هنگام ارسال ایمیل خود از طرف یک هویت جعلی، چند هویت جعلی دیگر را نیز به آن ایمیل اضافه میکنند. پس از آن که مخاطب هدف به ایمیل ارسالی اول پاسخ میدهد، هکرها در ایمیلهای بعدی، لینک یک سند آلوده مایکروسافت آفیس را برای او ارسال میکنند.
این فایل با استفاده از راهکاری که به آن «تزریق قالب از راه دور» (Remote Template Injection) میگویند، پس از اجرا به هکر اجازه میهد تا به نامهای کاربری، فهرستی از فعالیتهای در حال اجرای سیستم و نیز آدرس آیپی قربانی دسترسی پیدا کند.
در یکی از نمونهها، هکرها با جا زدن خود به جای آرون استین (Aaron Stein)، مدیر پژوهش در موسسه تحقیقات سیاست خارجی، سعی میکنند از قربانی سوالاتی درباره اسرائیل، عراق، کشورهای حاشیه خلیج فارس و پیمان ابراهیم بپرسند. در حالی که این گونه پرسشها عموما برای ایجاد بهانهای به منظور ارسال لینک فیشینگ یا فایل مخرب در مراحل بعدی کاربرد دارند، این احتمال نیز وجود دارد که چنین سوالاتی مستقیما از طرف سپاه با اهداف اطلاعاتی از قربانی پرسیده شوند.
در این نمونه مورد اشاره، به جز هویت جعلی اولیه، نام ریچارد وایک (Richard Wike)، مدیر تحقیقات نگرشهای جهانی در مرکز تحقیقات پیو به عنوان هویت جعلی دوم دیده میشود.
یک روز پس از ارسال ایمیل از سوی آرون استین، ریچارد وایک جعلی نیز وارد گفتوگو شده و از قربانی خواهش میکند تا نظراتش را در رابطه با موضوع یاد شده با آنها به اشتراک بگذارد.
گزارش منتشر شده شرکت امنیت سایبری پروفپوینت نشان میدهد هکرها در این شیوه صرفا به استخراج دادهها بسنده میکنند و هیچ بهرهبرداری دیگری پس از نفوذ در سیستم انجام نمیشود.
این رفتار مشکوک احتمال حمله مجدد به قربانی را به کمک اطلاعات جمعآوری شده، افزایش میدهد.
هفته گذشته نیز شرکت امنیت سایبری مندیانت، از یک گروه هکری وابسته به سازمان اطلاعات سپاه پرده برداشته بود.
همچنین واحد امنیت شرکت مایکروسافت در گزارشی از حملههای باجافزاری گروه هکری دِوْ۰۲۷۰ (DEV-0270) خبر داده بود که تحت نامهای مستعار عمومی سکنرد (Secnerd) و لایفوب (Lifeweb) فعالیت میکند.
حملههای سایبری هکرهای سپاه پاسداران در حالی است که نمایندگی دائم آلمان در سازمان ملل به تازگی در واکنش به حمله سایبری اخیر عوامل جمهوری اسلامی علیه آلبانی، بر لزوم پاسخگو کردن ایران در ارتباط با این حمله به زیرساختهای آلبانی تاکید کرده است.
تعليقات
إرسال تعليق