هکرهای دولتی ایران با فعالسازی دوباره دامنههای خود به انتشار بدافزارهای جاسوسی میپردازند
بر اساس گزارشی که شرکت امنیتی رکوردد فیوچر (Recorded Future) منتشر کرده است، فعالیت تیم هک APT33 که به دولت ایران وابسته است و به نام الفین (Elfin) نیز شناخته میشود، بهشدت افزایش یافته است. این گروه هک پیش از این، در جریان انتشار بدافزار شمعون و حملههای خرابکارانه و جاسوسی دیگر از مظنونهای اصلی بوده است.
شرکت رکوردد فیوچر اعلام کرده است که این تیم از بیش از ۱۲۰۰ دامنه اینترنتی برای کنترل و انتشار بدافزارهایش استفاده میکند. بررسیها همچنین نشان داده است برخی اشخاص که پیشتر در جریان حمله به چند شرکت سعودی و یک شرکت رسانهای هندی مظنون شناخته شدند بهنحوی وابسته به این گروهاند.
اکثر حملههای این تیم با بدافزاری انجام شده است که امکان دسترسی از راه دور، موسوم RAT یا Remote Access Tools، را دارند.
در ماه مارس، پس از اینکه شرکت سیمانتک (Symantec) از بعضی ابزارها و زیرساختهایی رونمایی کرد که تیم APT33 به کار برده بود، این تیم هک بخش قابلتوجهی از دامنههای خود را روی دامنههایی تازه پارک کرد و فقط برخی از آنها را فعال نگه داشت.
بخش اعظمی از کاربری بدافزارهایی که APT33 منتشر کرده است برای عملیاتهای کنترل زیرساختها به کار میروند.
به گزارش آرستکنیکا (ArsTechnica)، اغلب عملیات سایبری ایران تحت قراردادهای سلسلهمراتبی با «موسسه نصر» به انجام میرسند، که وابسته به دولت ایران است. گفته میشود این موسسه عملا نماینده دولت ایران و سپاه پاسداران جمهوری اسلامی در امور یاد شده است.
بر اساس گزارش گروه تحقیقاتی اینسیکت (Insikt Group)، عملیاتهای یادشده با قرارداد بین ۵۰ سازمان مختلف انجام میشوند. در نتیجه، در برخی مواقع، فعالیتهای گروه اِلفین با سایر گروههای هک وابسته به دولت ایران همپوشانی پیدا میکند.
فعالیتهای این شرکتها تحقیق در خصوص نقاط آسیبپذیر، توسعه بدافزار و همچنین شناسایی، نفوذ و حمله به زیرساختهای شبکه را شامل میشود. به گزارش اینسیکت، هر بخش از این شبکه گسترده هک تواناییهای مختلفی در تهاجم سایبری دارند که بهصورت هدفمند و با همکاری و حفاظت سایر گروههای همدسته، برای عملیات خرابکارانه یا نفوذ، مشغول فعالیتاند.
بر اساس تحقیقات انجامشده، «مرکز امنیتی کاوش» از دیگر پیمانکارهای این شبکه هک و از مظنونهای اصلیِ عملیات جاسوسی علیه زیرساختهای الکترونیک ارتش ترکیه است که در ماه مارس سال جاری اتفاق افتاد.
استفاده از بدافزارهای مخفی به این گروهها اجازه میدهد از لحاظ فنی، عملیاتشان را بهصورتی انجام دهند که قابل شناسایی و ردیابی نباشند. بسیاری از این حملهها بر پایه فیشینگ یا ورود بهزور از مبادی احراز هویت کارکنان مراکز زیرساختی انجام میشود و برای رسیدن به هدف از تاکتیکهای تبهکارانه بهره میگیرد.
گروه اینسیکت در مطلبی اعلام کرده است که کلیه سازمانها و صنایع از جمله صنایع هوایی، نظامی، شرکتهای تولیدکننده انرژی و غیره که پیش از این مورد حمله یا هدف APT33 بودهاند باید توان امنیتی و حفاظتی خود را با تمرکز روی شناسایی و جلوگیری از ورودهای غیرمجاز افزایش دهند. شایان ذکر است که این یادداشت همسو است با بیانیه هشدارآمیز سازمان امنیت ملی سایبری و آژانس امنیت زیرساختی (یا CISA) که اخیرا منتشر شد.