هک وب‌سایت‌های شرکت‌های لجستیک و کشتیرانی اسرائیل

به گزارش کارگروه حملات سایبری سایبربان؛ براساس گزارش شرکت امنیت سایبری «ClearSky» مستقر در تل‌آویو، چندین وب‌سایت حمل و نقل، کشتیرانی و تدارکات در اسرائیل برای جمع‌آوری اطلاعات درباره کاربرانشان هک شدند.

ClearSky این حملات را با اعتماد پایین به گروه هکرهای دولتی ایرانی «Tortoiseshell»، که «TA456» و امپریال کیتن (Imperial Kitten) نیز نامیده می شود، نسبت داد و گفت که تهدید حداقل از ژوئیه 2018 فعال بوده است.

کمپین هک حداقل 8 وب‌سایت اسرائیلی از جمله شرکت حمل و نقل «SNY Cargo»، شرکت تدارکات Depolog و تأمین کننده تجهیزات رستوران «SZM» را با یک حمله چاله آبیاری (watering hole) هدف قرار داد. ClearSky اعلام کرد که اکثر وب‌سایت‌ها پیش از 18 آوریل از کد مخرب پاک شده بودند.

در یک حمله چاله آبیاری، هکرها وب‌سایتی را که اغلب از سوی گروه خاصی از مردم مانند مقامات دولتی، روزنامه‌نگاران یا مدیران شرکت‌ها بازدید می‌شود، به خطر می‌اندازند. پس از هک کردن، مهاجمان می‌توانند کد مخرب را به وب‌سایت تزریق کنند که با بازدید کاربران از سایت فعال می‌شود.

بنابر ادعای محققان ClearSky، حملات چاله آبیاری از سال 2017 به‌وسیله هکرهای ایرانی مورد استفاده قرار گرفته است. به عنوان مثال، سال گذشته یک عامل تهدید مظنون ایرانی که از سوی ماندیانت (Mandiant) با نام «UNC3890» معرفی ‌شد، از این روش برای هدف قرار دادن شرکت‌های کشتیرانی، مراقبت‌های بهداشتی، دولتی و انرژی اسرائیل استفاده کرد.

در حمله اخیر، هکرها از جاوا اسکریپت مخرب استفاده کردند. ClearSky مدعی شد :

«داده‌های جمع‌آوری شده شامل آدرس آی‌پی (IP) کاربر، وضوح صفحه نمایش و «URL» صفحه وب قبلاً بازدید شده است. هکرها همچنین سعی کردند ترجیح زبان رایانه کاربر را برای سفارشی کردن حملات خود در آینده تعیین کنند. اکثر وب‌سایت‌های در معرض خطر از سرویس میزبانی «uPress» استفاده می‌کردند که در سال 2020 از سوی گروه ایرانی «Emennet Pasargad» هدف قرار گرفت؛ درنتیجه، هزاران سایت اسرائیلی تخریب شدند.»

ایران و رژیم صهیونیستی اغلب در فضای سایبری با تنش سیاسی روبرو هستند. کارشناسان ادعا کردند که هدف برخی از حملات ایران ربودن داده‌های کاربران یا از بین بردن سیستم‌ها و برخی دیگر به منظور انتشار اطلاعات نادرست است.

جنگ سایبری مخفی بین 2 طرف در 2 سال گذشته تشدید شده است. بنابر ادعای مایکروسافت، اگرچه عوامل دولتی ایران به اندازه همتایان روسی و چینی خود پیشرفته نیستند، اما در حال افزایش قابلیت‌های سایبری خود هستند. مثلاً آنها به سرعت از آسیب‌پذیری‌های افشا شده اخیر برای نفوذ به سازمان‌ها و استفاده از ابزارهای متناسب با اهداف خود بهره‌برداری می‌کنند.

Tortoiseshell قبلا از بدافزارهای سفارشی و غیرقابل استفاده برای هدف قرار دادن ارائه دهندگان فناوری اطلاعات در عربستان سعودی با حمله زنجیره تأمین با هدف به خطر انداختن مشتریان ارائه دهندگان فناوری اطلاعات استفاده کرده است.

این شرکت اسرائیلی ادعا کرد که در حمله اخیر، هکرها از دامنه « jquery-stack[.]» آنلاین استفاده کردند که قبلاً به Tortoiseshell نسبت داده شده بود. این دامنه جعل چارچوب قانونی جاوا اسکریپت جی‌کوئری (jQuery) را جعل کرد تا هر کسی را که کد وب‌سایت را بررسی می‌کند، فریب دهد.

محققان ClearSky قبلاً در یک کمپین ایرانی در سال 2017 با استفاده از یک حمله watering hole، نام دامنه‌هایی را دیده‌اند که جی‌کوئری جعل کرده‌اند.