متهم شدن هکرهای ایرانی به جاسوسی از افراد برجسته در اراضی اشغالی

به گزارش کارگروه بین‌الملل سایبربان؛ تیم اطلاعات تهدید مایکروسافت در گزارشی ادعا کرد که افراد برجسته‌ای که در دانشگاه‌ها و سازمان‌های تحقیقاتی در بلژیک، فرانسه، غزه، اراضی اشغالی، بریتانیا و ایالات متحده در امور خاورمیانه کار می‌کنند، از نوامبر 2023 هدف یک گروه هکری ایرانی به نام «Mind Sandstorm» قرار گرفته‌اند.

مایکروسافت مدعی شد که گروه هکری از فریب‌های فیشینگ سفارشی در تلاش برای مهندسی اجتماعی و دانلود فایل‌های مخرب استفاده می‌کند و آن را به عنوان یک زیرگروه کامل از لحاظ فنی و عملیاتی Mind Sandstorm توصیف کرد؛ این حملات، در موارد منتخب، شامل استفاده از درب پشتی غیرمستند قبلی به نام «MediaPl» می‌شود که نشان‌دهنده تلاش‌های مداوم عوامل تهدید برای اصلاح تجارت پس از نفوذ است.

Mint Sandstorm که با نام‌های «APT35»، «Charming Kitten»، «TA453» و «Yellow Garuda» نیز شناخته می‌شود، به‌خاطر کمپین‌های مهندسی اجتماعی ماهر خود معروف است و حتی به حساب‌های قانونی اما در معرض خطر برای ارسال ایمیل‌های فیشینگ سفارشی به اهداف احتمالی متوسل می‌شود. کارشناسان مدعی شدند که این سازمان وابسته به سپاه پاسداران انقلاب اسلامی ایران است.

این زیرمجموعه، به گفته ردموند (Redmond)، در مهندسی اجتماعی با منابع فشرده شرکت می‌کند تا روزنامه‌نگاران، محققان، اساتید و سایر افراد را با بینش‌هایی در مورد مسائل امنیتی و سیاستی مورد علاقه تهران متمایز کند.

آخرین مجموعه نفوذ با استفاده از فریب‌های مربوط به جنگ رژیم صهیونیستی و حماس، ارسال ایمیل‌های بی‌ضرر تحت پوشش روزنامه‌نگاران و سایر افراد برجسته برای ایجاد رابطه با اهداف و ایجاد سطح اعتماد قبل از تلاش برای ارسال بدافزار به اهداف توصیف شد.

مایکروسافت ادعا کرد که به احتمال زیاد این کمپین تلاشی است که از سوی یک عامل تهدید دولتی برای جمع‌آوری دیدگاه‌ها در مورد رویدادهای مربوط به جنگ انجام شده است.
استفاده از اکانت‌های نقض شده متعلق به افرادی که به دنبال جعل هویت برای ارسال پیام‌های ایمیل هستند، تاکتیک جدید Mind Sandstorm است که قبلاً دیده نشده است، همانطور که استفاده از دستور «curl» برای اتصال به زیرساخت کنترل و فرماندهی (C2) است.

اگر اهداف با عامل تهدید درگیر شوند، یک ایمیل بعدی حاوی یک پیوند مخرب برای آنها ارسال می‌شود که به یک فایل بایگانی RAR اشاره می‌کند که پس از باز شدن، منجر به بازیابی اسکریپت‌های ویژوال بیسیک از سرور کنترل و فرماندهی می‌شود تا در محیط‌های اهداف آن باقی بماند؛ زنجیره‌های حمله بیشتر راه را برای ایمپلنت‌های سفارشی مانند «MischiefTut» یا MediaPl هموار می‌کنند که اولین بار توسط مایکروسافت در اکتبر 2023 فاش شد.

به گفته کارشناسان، MischiefTut که در PowerShell پیاده‌سازی شده، یک درب پشتی اولیه است که می‌تواند دستورات شناسایی را اجرا کند، خروجی‌ها را در یک فایل متنی بنویسد و ابزارهای اضافی را روی یک سیستم در معرض خطر دانلود کند. اولین استفاده ثبت شده از این بدافزار به اواخر سال 2022 برمی‌گردد.

از سوی دیگر، MediaPl به عنوان «Windows Media Player» ظاهر می‌شود و برای انتقال ارتباطات رمزگذاری شده به سرور فرماندهی و کنترل خود و راه‌اندازی دستورهایی که از سرور دریافت کرده، طراحی شده است.

مایکروسافت مدعی شد :

«Mint Sandstorm به بهبود و اصلاح ابزار مورد استفاده در محیط‌های اهداف ادامه می‌دهد، فعالیتی که ممکن است به گروه کمک کند در یک محیط آسیب‌دیده باقی بماند و بهتر از شناسایی فرار کند. توانایی به دست آوردن و حفظ دسترسی از راه دور به سیستم یک هدف می تواند Mint Sandstorm را قادر به انجام طیف وسیعی از فعالیت هایی کند و بر محرمانه بودن یک سیستم تأثیر منفی بگذارد.»
 

این مطالب در حالی منتشر شد که روزنامه هلندی «De Volkskrant» در اوایل این ماه اعلام کرد که اریک ون سابن (Erik van Sabben)، یک مهندس هلندی که از سوی رژیم صهیونیستی و سرویس‌های اطلاعاتی ایالات متحده استخدام شده، احتمالاً از یک پمپ آب برای استقرار نوع اولیه بدافزار استاکس‌نت در تأسیسات هسته‌ای ایران در سال 2007 استفاده کرده است.