شرکت امنیتی فایرآی (FireEye) از یک حمله فیشینگ بزرگ به کاربران سایت لینکدین خبر داده و آن را به گروه هک APT34 نسبت داده است که گفته می‌شود وابسته به ایران است.

سایت لینکدین (Linkedin) از بزرگ‌ترین رسانه‌های اجتماعی است که افراد در آن پروفایل‌هایی با هدف انتشار اطلاعات شغلی و حرفه‌ای ایجاد می‌کنند. اشخاص و شرکت‌ها از لینکدین برای یافتن شغل یا پیدا کردن فرد مناسب برای موقعیت‌های شغلی استفاده می‌کنند.

این حمله کاربران سایت لینکدین را هدف گرفته است و عاملان آن با ارسال پیام‌های دعوت به کار، سیستم‌های کاربران این سایت را با فایلی که به پیام‌ها و ایمیل‌ها ضمیمه شده است آلوده می‌کند. بدین‌ترتیب، با راه نفوذ مخفی که از این طریق در کامپیوتر قربانی ایجاد می‌شود، مدارک و اطلاعات محرمانه را سرقت می‌کند.

بر اساس گزارشی که فایرآی روز پنجشنبه ۲۸ تیرماه، در همین رابطه در وبلاگش منتشر کرده است، این حمله کاربرانی را هدف گرفته است که در صنایع خاصی که ظاهرا مورد‌توجه دولت ایران بوده فعال بوده‌اند. 

بر اساس این گزارش، این گروه هک بخشی از صنایع را که در خاورمیانه فعالیت داشته‌اند مد نظر قرار داده است اما به عقیده فایرآی، APT34 توجه ویژه‌ای به کسب اطلاعات در حوزه‌های مالی، انرژی و حتی دولتی دارد.

در موردی که فایرآی به‌عنوان نمونه آورده است، فردی که خود را از پژوهشگرهای دانشگاه کمبریج جا زده دعوتنامه‌ای تقلبی فرستاده است که در آن لینکی به‌ظاهر معتبر برای دانلود فایل ضمیمه آلوده قرار داده شده است. به گفته فایرآی، این تماس هدفمند را کارمندی با نام ربکا واتس (Rebecca Watts) گرفته و ادعا می‌کرد از پژوهشگرهای دانشگاه کمبریج است. فایرآی خاطرنشان می‌کند که این اولین بار نیست APT34 از عناوین دانشگاهی یا پیشنهادهای شغلی جذاب و متقاعد‌کننده برای پیشبرد اهدافش بهره می‌‌گیرد.

فایرآی در ادامه گزارش، به ارائه جزییات بیشتر در رابطه با بدافزار یاد‌شده پرداخته و اشاره کرده است که این بدافزار با آلوده کردن کامپیوتر قربانی و ایجاد در پشتی، اطلاعات کاربر را جمع‌آوری و سرقت می‌کند. به علاوه، ابزاری نیز در آن تعبیه شده است که اطلاعات محرمانه همچون رمزهای عبور را از کامپیوترهای با سیستم‌عامل ویندوز می‌دزدد. 

با توجه به این‌که احتمال آلودگی کامپیوتر افرادی که در رده‌‌های بالای دولتی مشغول‌اند یا به منابع و صنایع زیرساختی دسترسی دارند وجود دارد، دستیابی به اطلاعات محرمانه به‌منظور نفوذ و یافتن نقاط ضعف برای این گروه هک اهمیت بالایی دارد. 

سایت لینکدین برای APT34 به‌منزله شکارگاه و محلی مناسب است برای جلب توجه کاربران به موقعیت‌های شغلی حساس. فرستنده‌های ناشناس با ارسال این موقعیت‌های کاری توجه مخاطب را برمی‌انگیزند و اعتمادش را جلب می‌کنند. 

فایرآی بستر رسانه‌های اجتماعی را مکانیزمی جایگزین و موثر برای اهدافی به حساب می‌آورد که سازمان آن‌ها روی روش‌های دفاعی در برابر حمله‌های ایمیلی و پیشگیری از نفوذ هکرها تمرکز و توجه دارد. این حمله لینکدینی مثالی دیگر است از تمایل دولت ایران به هدف‌گیری‌های غیرنظامی از طریق جنگ‌های سایبری علیه غرب.

در گزارش فایر‌آی آمده است که این نوع فعالیت‌ها از روش‌های شناخته‌شده و تهدید‌آمیز ایرانی‌ها است که با کمک تکنیک‌های آزمایش‌شده و نتیجه‌بخش برای دستیابی به سازمان‌های هدف، برنامه‌ریزی و اجرا می‌شود. 

ماه گذشته، آژانس امنیت سایبری و زیرساختی ایالات متحده آمریکا (CISA)، هم‌راستا با سازمان امنیت ملی آمریکا (DHS)، در خصوص افزایش فعالیت‌های خطرناک سایبری ایران و نیروهای نیابتی‌‌اش در حمله به صنایع زیرساختی و آژانس‌های دولتی آمریکا اخطار داد. این دو سازمان روی افزایش چشمگیر حمله‌های سایبری خرابکارانه در مقایسه با حمله‌های سایبری برای سرقت اطلاعات یا پول تاکید کردند.

این آژانس همچنین اشاره کرده است که استفاده از روش‌های معمول همچون فیشینگ، که با ارسال ایمیل جعلی از سوی آشنایان یا دسترسی به تعداد زیادی حساب کاربری از طریق وارد کردن رمزهای‌ عبور ساده و معمول میان کاربران صورت می‌گیرد، برای رسیدن به سیستم‌های هدف نتیجه‌بخش بوده است. ممکن است تصور شود دسترسی به حساب فقط به دزدی اطلاعات منجر می‌شود، اما در واقع می‌تواند به کنترل کل شبکه بینجامد.

فایرآی پیش‌بینی می‌کند این احتمالا آخرین اقدام APT34 در استفاده از ابزارهای تازه برای حمله به اهدافش نیست. به گفته این شرکت، هکرها معمولا با تغییر ترفندها و روش‌ها، از شناسایی نوع حمله‌ پیشگیری می‌کنند، خصوصا در مواردی که رسیدن به سیستم هدف برای آن‌ها اهمیت ویژه‌ای داشته باشد. به همین دلیل، توصیه می‌شود سازمان‌ها کماکان نسبت به مقابله با انواع حمله‌ها هشیار باشند و در حوزه امنیت دیجیتال همه جوانب را در نظر بگیرند.