ادعای حمله زنجیره تأمین گروه هکری APT34 به اهداف دولتی امارات

به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان ادعا کردند که گروه تهدید دائمی پیشرفته مرتبط با ایران به نام «APT34»، بار دیگر در حال انجام یک حمله زنجیره تأمین با هدف نهایی دستیابی به اهداف دولتی در امارات متحده عربی است.

ماهر یاموت (Maher Yamout)، محقق ارشد امنیت مرکز تحقیقات کسپرسکی (Kaspersky) در اروپای شرقی، خاورمیانه و آفریقا (EEMEA)، گفت که مهاجمان از فرم استخدام مخرب فناوری اطلاعات به عنوان فریب استفاده کردند. وی مدعی شد که APT34، با نام مستعار «OilRig» و «MuddyWater»، یک وب‌سایت جعلی ایجاد کرد تا خود را به عنوان یک شرکت فناوری اطلاعات در امارات متحده عربی نشان دهد، فرم استخدام را به یک شرکت فناوری اطلاعات هدف ارسال و هنگامی که قربانی سند مخرب را باز کرد تا احتمالاً برای شغل آگهی شده فناوری اطلاعات درخواست دهد، اطلاعات سرقت بدافزار اجرا شده است.

یاموت مدعی شد که این بدافزار اطلاعات حساس و اعتبارنامه‌هایی را جمع‌آوری کرده که به APT34 اجازه دسترسی به شبکه‌های مشتریان شرکت فناوری اطلاعات را می‌دهد. او توضیح داد که مهاجم به طور خاص به دنبال هدف قرار دادن مشتریان دولتی با استفاده از زیرساخت ایمیل گروه فناوری اطلاعات قربانی برای ارتباطات فرماندهی و کنترل (C2) و استخراج داده‌ها بوده است. کسپرسکی نتوانست تأیید کند که حملات دولتی به دلیل دید محدود در پایین‌دست آن موفقیت‌آمیز بوده یا خیر، اما یاموت اظهار داشت :

«ما با توجه به میزان موفقیت معمولی گروه، آنها را با اطمینان متوسط به بالا ارزیابی می‌کنیم.»

براساس تحقیقات کسپرسکی، نمونه‌های بدافزار مورد استفاده در کمپین امارات متحده عربی شبیه نمونه‌های مورد استفاده در حمله قبلی زنجیره تأمین APT34 در اردن است که از تاکتیک‌ها، تکنیک‌ها و رویه‌های مشابه (TTPs) از جمله هدف قرار دادن نهادهای دولتی استفاده می‌کرد. در آن نمونه، محقق ارشد امنیت مرکز تحقیقات کسپرسکی ادعا کرد که ظاهراً از لینکدین برای ارائه یک فرم شغلی استفاده شده، در حالیکه جعل هویت تلاش‌های استخدام یک شرکت فناوری اطلاعات است.

گامبیت (gambit) استخدام‌کننده شغلی تاکتیکی است که در طول سال‌ها از سوی گروه‌های حمله سایبری متعددی از جمله گروه لازاروس (Lazarus) متعلق به کره شمالی در بیش از یک مورد و مهاجمان سایبری که ادعا می‌کنند استخدام‌کنندگان نظامی هستند، استفاده شده است.

بنابر ادعای کارشناسان، APT34 یک گروه تهدید ایرانی است که عمدتاً در خاورمیانه با هدف قرار دادن سازمان‌هایی در این منطقه در صنایع مختلف فعالیت می‌کند و قبلاً با سایر فعالیت‌های نظارت سایبری مانند حمله به امارات در اوایل سال جاری مرتبط بوده است.

محققان مدعی شدند که این گروه هکری اغلب حملات زنجیره تأمین را انجام می‌دهد، جایی که گروه تهدید از رابطه اعتماد بین سازمان‌ها برای حمله به اهداف اصلی خود استفاده می‌کند و به طور سیستماتیک سازمان‌های خاصی را که به نظر می‌رسد با دقت برای اهداف راهبردی انتخاب شده‌اند، هدف قرار می‌دهد.

طبق تحقیقات ماندیانت (Mandiant)، APT34 حداقل از سال 2014 عملیاتی شده است، از ترکیبی از ابزارهای عمومی و غیر عمومی استفاده می‌کند که اغلب عملیات‌های اسپیر فیشینگ را با استفاده از حساب‌های در معرض خطر انجام می‌دهد که گاهی اوقات با تاکتیک‌های مهندسی اجتماعی همراه است.

ماندیانت در گزارش خود ادعا کرد :

«ما ارزیابی می‌کنیم که APT34 از طرف دولت ایران براساس جزئیات زیرساختی که حاوی ارجاع به ایران، استفاده از زیرساخت‌های ایران و هدف‌گیری مطابق با منافع دولتی است، کار می‌کند.»

این ارزیابی به‌وسیله دولت آمریکا به اشتراک گذاشته شده که سال گذشته ایران را به دلیل فعالیت‌های APT34 تحریم کرد.