هک متخصصان فناوری و امنیت سایبری رژیم صهیونیستی

به گزارش کارگروه تروریسم سایبری سایبربان؛ کارشناسان ادعا کردند که یک گروه هکری ایرانی مرتبط با سپاه پاسداران انقلاب اسلامی با یک کمپین فیشینگ هدفمند روزنامه‌نگاران، متخصصان امنیت سایبری برجسته و اساتید علوم کامپیوتر در سرزمین‌های اشغالی را هدف قرار دادند.

شرکت امنیت سایبری چک پوینت (Check Point) در گزارشی ادعا کرد:

«در برخی از این کمپین‌ها، مهاجمانی که خود را به عنوان دستیاران ساختگی مدیران فناوری یا محققان از طریق ایمیل و پیام‌های واتس‌اپ معرفی می‌کردند، به متخصصان فناوری و امنیت سایبری اسرائیل نزدیک می‌شدند. عوامل تهدید، قربانیانی را که با آنها تعامل داشتند، به صفحات ورود جعلی جی‌میل (Gmail) یا دعوت‌نامه‌های گوگل میت (Google Meet) هدایت می‌کردند.»

چک پوینت این فعالیت را به یک خوشه تهدید نسبت داد که آن را با عنوان «Educated Manticore» ردیابی می‌کند و با ییییی«APT35» و زیرشاخه آن «APT42»، «CALANQUE»، «Charming Kitten»، «CharmingCypress»، «Cobalt Illusion»، «ITG18»، «Magic Hound»، «Mint Sandstorm»، که قبلاً فسفوروس (Phosphorus) نام داشت، «Newscaster»، «TA453» و «Yellow Garuda» همپوشانی دارد.

این گروه تهدید پایدار پیشرفته (APT) سابقه طولانی در سازماندهی حملات مهندسی اجتماعی با استفاده از فریب‌های پیچیده دارد و با استفاده از شخصیت‌های ساختگی به اهداف در پلتفرم‌های مختلف مانند فیس‌بوک و لینکدین نزدیک می‌شود تا قربانیان را برای نصب بدافزار روی سیستم‌هایشان فریب دهد.

چک پوینت مدعی شد که موج جدیدی از حملات را از اواسط ژوئن 2025 پس از وقوع جنگ ایران و رژیم صهیونیستی مشاهده کرده که افراد اسرائیلی را با استفاده از طعمه‌های جعلی جلسات یا از طریق ایمیل یا پیام‌های واتس‌اپ هدف قرار داده است. اعتقاد بر این است که این پیام‌ها با استفاده از ابزارهای هوش مصنوعی (AI) ساخته شده‌اند.

یکی از پیام‌های واتس‌اپ که توسط این شرکت علامت‌گذاری شده، از تنش‌های ژئوپلیتیکی فعلی بین دو طرف سوءاستفاده کرده تا قربانی را به پیوستن به یک جلسه ترغیب کند و ادعا کرد که برای مقابله با افزایش حملات سایبری که از 12 ژوئن امسال رژیم صهیونیستی را هدف قرار داده است، به کمک فوری آنها در یک سیستم تشخیص تهدید مبتنی بر هوش مصنوعی نیاز دارد.

پیام‌های اولیه، مانند پیام‌های مشاهده شده در کمپین‌های قبلی بچه گربه جذاب، عاری از هرگونه اثر مخرب هستند و در درجه اول برای جلب اعتماد اهداف خود طراحی شده‌اند. پس از اینکه عوامل تهدید در طول مکالمه با یکدیگر ارتباط برقرار کردند، حمله با به اشتراک گذاشتن لینک‌هایی که قربانیان را به صفحات فرود جعلی هدایت می‌کند و قادر به جمع‌آوری اطلاعات حساب گوگل آنها هستند، به مرحله بعدی می‌رود.

چک پوینت گفت:

«قبل از ارسال لینک فیشینگ، عوامل تهدید از قربانی آدرس ایمیل خود را درخواست می‌کنند. سپس این آدرس در صفحه فیشینگ اطلاعات از قبل پر می‌شود تا اعتبار را افزایش داده و ظاهر یک جریان احراز هویت قانونی گوگل را تقلید کند. کیت فیشینگ سفارشی صفحات ورود به سیستم آشنا مانند صفحات گوگل را با استفاده از فناوری‌های وب مدرن مانند برنامه‌های تک صفحه‌ای مبتنی بر React  (SPA) و مسیریابی صفحه پویا، به دقت تقلید می‌کند. همچنین از اتصالات «WebSocket» در زمان واقعی برای ارسال داده‌های سرقت شده استفاده می‌کند و طراحی آن به آن اجازه می‌دهد تا کد خود را از بررسی‌های بیشتر پنهان کند.»

بنابر ادعای محققان، این صفحه جعلی بخشی از یک کیت فیشینگ سفارشی است که نه تنها می‌تواند اطلاعات آنها را ضبط کند، بلکه کدهای احراز هویت دو عاملی (2FA) و حملات رله احراز هویت دو عاملی را تسهیل می‌کند. این کیت همچنین شامل یک کی‌لاگر غیرفعال است تا تمام کلیدهای فشرده شده توسط قربانی را ضبط و در صورتی که کاربر فرآیند را در میانه راه رها کند، آنها را استخراج کند.

برخی تلاش‌های مهندسی اجتماعی همچنین شامل استفاده از دامنه‌های «Google Sites» برای میزبانی صفحات جعلی گوگل میت با تصویری است که صفحه جلسه قانونی را تقلید می‌کند. کلیک روی هر نقطه از تصویر، قربانی را به صفحات فیشینگ هدایت می‌کند که فرآیند احراز هویت را آغاز می‌کنند.

چک پوینت عنوان کرد:

«Manticore تحصیل‌کرده همچنان یک تهدید مداوم و با تأثیر بالا، به ویژه برای افراد در اسرائیل در طول مرحله تشدید درگیری ایران و اسرائیل، محسوب می‌شود. این گروه همچنان به طور پیوسته فعالیت می‌کند و با اسپیر فیشینگ تهاجمی، راه‌اندازی سریع دامنه‌ها، زیر دامنه‌ها و زیرساخت‌ها و حذف سریع در صورت شناسایی مشخص می‌شود. این سرعت به آنها اجازه می‌دهد تا تحت نظارت دقیق، مؤثر باقی بمانند.»