شناسایی گروه هکری جدید وابسته به اطلاعات سپاه با ماموریت جاسوسی و پخش بدافزار

شرکت امنیت سایبری Mandiant در گزارش تازه خود از یکی از گروه‌های هکری وابسته به سازمان اطلاعات سپاه پرده برداشت. عمده عملیات این گروه شامل جمع‌آوری اطلاعات حساب‌های آنلاین افراد از طریق حملات فیشینگ، جاسوسی از فعالیت‌های آنلاین قربانیان و تولید و پخش بدافزار بوده است.

اولین ردپاهای فعالیت‌های این گروه که APT42 نامگذاری شده‌اند دست کم به سال ۲۰۱۵ میلادی برمی‌گردد. اهداف این گروه بیشتر علیه طیف مختلفی از اشخاص و سازمان‌هایی است که جاسوسی از آن‌ها با اولویت‌ها ومنافع جمهوری اسلامی ایران همسویی استراتژیک دارد.

عملیات گروه APT42 که با هدف ایجاد اعتماد در قربانی هدف طراحی شده‌اند، شامل دسترسی به حساب‌های شخصی و سازمانی مقامات دولتی، چهره‌های سیاسی یا سیاست‌گذاران سابق ایرانی، فعالان گروه‌های ضد نظام، خبرنگاران و اساتید دانشگاهی که درباره ایران تحقیقات می‌کردند بوده است.

این گروه پس از آن که موفق به سرقت اطلاعات حساب قربانیان خود می‌شد، در مواردی اقدام به نصب بدافزار روی دستگاه‌های ویندوزی یا گوشی اندرویدی آن‌ها می‌کرد.

این بدافزار قادر بود تا موقعیت مکانی فرد را گزارش کند، به ضبط مکالمات تلفنی بپردازد، به تصاویر و ویدیوهای روی گوشی دسترسی پیدا کند و کلیه پیامک‌های موجود در دستگاه را به مهاجم ارسال کند.

دنبال کردن ردپاهای APT42 در بیش از ۳۰ عملیات در ۱۴ کشور مختلف از جمله استرالیا، کشورهای اروپایی، خاورمیانه و ایالات متحده آمریکا نشان داده این گروه در بازه‌های مختلف زمانی تمرکز عملیات خود را بسته به اولولیت‌های جمهوری اسلامی تغییر داده است.

در یکی از حملات APT42 که در سال ۲۰۲۰ و در دوره ابتدایی همه‌گیری کرونا در جهان اتفاق افتاده است، این گروه با ارسال ایمیل‌های جعلی تحت عنوان یک متخصص واکسن از دانشگاه آکسفورد، تلاش داشت تا شرکت‌های دارویی خارجی را هدف حمله و سرقت اطلاعات قرار دهد.

اعضای این گروه همچنین سال گذشته با استفاده از آدرس ایمیل‌های لو رفته از سازمان‌های رسانه‌ای آمریکایی، با ارسال درخواست‌های مصاحبه جعلی، پیش از آن که لینک صفحات فیشینگ را برای سرقت اطلاعات قربانیان بفرستند، با برخی از آن‌ها برای مدت ۳۷ روز در تماس و گفتگو بوده‌اند.

محققان شرکت Mandiant بر این باورند که با توجه به نفوذ ناپذیری APT42 در برابر گزارش‌های عمومی یا از میان بردن زیرساخت‌های فنی، این گروه در بلندمدت کماکان عملیات جاسوسی خود را برای منافع جمهوری اسلامی ایران ادامه خواهد داد.

علاوه بر این، الگوهای رفتاری و تکنیکی این گروه در سال‌های گذشته نشان می‌دهد APT42 با یکی دیگر از گروه‌های هکری جمهوری اسلامی که با نام APT35 یا «بچه گربه‌های دلربا» شناخته می‌شوند ارتباط دارد.