به گزارش کارگروه بینالملل سایبربان؛ بر اساس گزارش امنیتی شرکت سیمنتک، گروه هکری جاسوسی سایبری «Elfin» موسوم به «APT 33»، حملات سایبری را روی شرکتهای راهبردی در ایالات متحده و عربستان سعودی ترتیب داده است.
کارشناسان غربی معتقدند که الفین از سال 2015، بهطور فعال درگیر چنین حملاتی بوده و در مجموعه عملیات اخیر خود، طیف وسیعی از سازمانهای تحقیق و توسعه، شیمیایی، مهندسی، تولیدی، مشاوره، مالی، مخابراتی و حتی دولتی را هدف قرار داده است.
طبق شواهد نظارتی ارائه شده ازسوی سیمنتک، الفین از ابتدای سال 2016، تهاجماتی داشته است. این گروه، کمپینی هدفمند علیه سازمانهای متعددی تشکیل داده است. 42 درصد حملات نام برده، روی عربستان سعودی و 34 درصد علیه ایالات متحده بوده است.
به گفته کارشناسان آمریکایی، این گروه ایرانی، در مجموع 18 شرکت آن کشور را در بخشهای مهندسی، شیمی، پژوهش، مشاوره انرژی، امور مالی، فناوری اطلاعات و مراقبتهای بهداشتی هدف قرار داده است. از این میان، برخی شرکتها، در لیست «Fortune 500» بودند.
سوء استفاده از نقض «WinRAR»
گروه سیمنتک، همچنین آسیبپذیری نرمافزار فشردهسازی WinRAR را شناسایی کرد که باعث شد هکرها فایلهای ویرانگر را از یک فایل آرشیو بیضرر به پوشه استارتآپ ویندوز انتقال دهند. درنتیجه آنها میتوانستند کد دلخواه خود را روی کامپیوتر هدف اجرا کنند.
با وجود تشخیص زودهنگام آسیبپذیری برنامه کاربردی بهوسیله WinRAR، اما خیلی زود پس از عمومی شدن، کد اکتسابی اثبات مفهوم (PoC) ازسوی گروههای هکری مختلف مورد استفاده قرار گرفت.
سیمنتک توضیح داد که از آسیبپذیری یادشده، در هک یک سازمان شیمیایی عربستانی استفاده شد و در آن، 2 کاربر، فایلی را از طریق ایمیل فیشینگ دریافت کردند. به غیر از سیمنتک، شرکت «FireEye» نیز 4 پویش جداگانه شناسایی کرد که از این آسیبپذیری، برای نصب بدافزارهای سرقت کننده رمزهای عبور، تروجانها و دیگر نرمافزارهای مخرب استفاده میکردند.
دیگر ابزار استفاده شده ازسوی APT33
APT33 از ابزار متنوعی در مجموعه ابزارهای مخرب خود مانند: درِ پشتی «Notestuk» (TURNEDUP)، تروجان «Stonedrill» و بدافزار ویرانگر نوشته شده در «AutoIt» استفاده کرده است. این گروه، همچنین ابزارهایی ازجمله: «Remcos»، «DarkComet»، «Quasar RAT»، «Pupy RAT»، «NanoCore» و «NetWeird» را همراه با بسیاری از ابزارهای هک موجود مانند: «Mimikatz»، «SniffPass»، «LaZagne» و «Gpppassword» بهکار گرفت.
پیوندهای ایجاد شده با حمله شمعون به الفین/ APT33
در دسامبر 2018، سیمنتک ارتباطی میان الفین/ APT33کشف کرد. گروه APT33، به وسیله موجی از حملات شمعون، با هدف بخش انرژی مرتبط بود. یکی از این تهاجمات، روی شرکتی در عربستان اثر گذاشت که از بدافزار «Stonedrill» بهکار رفته ازسوی الفین استفاده کرده بود.
شرکت سیمتک اظهار داشت:
یکی از قربانیان شمعون، در عربستان سعودی اخیراً بهوسیله الفین مورد حمله قرار گرفت و با استفاده از بدافزار Stonedrill آلوده شد. از آنجا که حملات الفین و شمعون علیه این سازمان با هم در ارتباط بودهاند، ادعاهایی مبنی بر ارتباط میان این 2 گروه وجود دارد.
تا امروز، هیچ شاهدی مبنی بر مسئولیت الفین برای حملات شمعون وجود ندارد. با این حال، شرکت FireEye مدعی است که شواهدی از فعالیت گروه APT33 از طرف دولت ایران (بهصورت تجاری و نظامی) همراه با سازمانهایی در بخش انرژی پیدا کرده است که نشان میدهد تهران در خاورمیانه و جهان، رشته عملیات جاسوسی سایبری انجام میدهد.
