انتشار شده در تاریخ 1396/07/23 - 14:25

اتهام جدید شرکت امنیت سایبری پالو آلتوی آمریکا به ایران

شرکت امنیت سایبری پالو آلتوی آمریکا در گزارش جدیدی، مدعی شد که گروه جاسوسی سایبری اویل ریگ، با استفاده از یک تروجان جدید، اهدافی در خاورمیانه را هدف قرار داده است.

به گزارش کارگروه بین الملل سایبربان؛ در گزارش پالو آلتو در این زمینه، آمده است که این گروه هکری، مجدداً آغاز به فعالیت کرده و با بهره‌گیری از مدل جدیدی تروجان، اهدافی در منطقه غرب آسیا را هدف قرار داده است.
در گزارش پالو آلتو که در این زمینه منتشر شد، آمده که این گروه هکری که پیش‌تر از این به جمهوری اسلامی ایران منتسب شده بود، با استفاده از تروجانی جدید، به اهداف دولتی در امارات متحده عربی حمله‌ور شده است. در گزارش متعددی، شرکت‌های امنیت سایبری غربی، این گروه هکری را وابسته به دولت ایران می‌دانند که از سال 2015، آغاز به فعالیت کرد.

در بخشی از گزارش پالو آلتو، به این موضوع اشاره شده است که از ماه‌ها پیش، فعالیت گروه هکری اویل ریگ را تحت نظر داشته و گزارش‌هایی را در مورد حمله این گروه هکری، به شرکت‌های دولتی، مؤسسات مالی و شرکت‌های فناوری در عربستان سعودی، آمریکا، اسرائیل، امارات متحده عربی، لبنان، کویت و قطر و همچنین ترکیه، منتشر کرده است.

ظاهراً در مدل جدید حمله، این گروه از روش آلوده کردن صفحات اکسل به بدافزاری به نام (Clayslide) و یک درب پشتی به نام (Helminth)، استفاده کرده و به قربانیان خود حمله کرده است. همچنین با بررسی الگوی حمله این گروه هکری، متخصصان شرکت پالو آلتو، مدعی بهره‌برداری اویل ریگ، از تروجان کنترل از راه دور (ISMDoor) شده‌اند که پیش‌تر توسط یک گروه ایرانی دیگر، به نام Greenbug، مورداستفاده قرار گرفت.

پالو آلتو مدعی است که از جولای 2017، گروه اویل ریگ، استفاده از نوعی درب پشتی به نام ISMAgent را آغاز کرده که بر پایه ISMDoor، طراحی شده است. به‌علاوه، گروه مذکور، از آگوست 2017، از بدافزاری به نام ISMInjector، بهره‌برداری کرده‌اند.
کارشناسان پالو آلتو مدعی هستند: «همان‌طوری که از اسم این بدافزار می‌توان متوجه شد، ISMInjector، تروجانی است مسئولیت انتقال یک تروجان دیگر به فرایند خاصی را بر عهده دارد. محموله‌ای که توسط این تروجان منتقل می‌شود، نوعی خاصی از درب پشتی ISMAgent است که پیش‌تر در مورد آن بحث صورت پذیرفته است و قبلاً هم یک شرکت فناوری را در عربستان سعودی، موردتهاجم قرار داد.» کارشناسان امنیتی مدعی هستند که این بدافزار، حالت پیچیده‌ای دارد که پیش‌تر، گروه اویل ریگ از آن بهره‌برداری نکرده بود.

به ادعای کارشناسان امنیتی، یکی از نکات جالب این حمله، انجام نوع خاصی از حمله اسپیر-فیشینگ و ارسال پیام‌هایی از دامنه اختصاصی سازمان‌های قربانی این حمله است. ظاهراً هکرها موفق شده‌اند که یک دسترسی اوت لوک (Outlook Web Access)، از طریق اطلاعات قربانیانی ایجاد نمایند که این اطلاعات را، از حمله قبلی خود به دست آورده‌اند. در سازمان‌دهی این حمله از Outlook Web Access، متعلق به نسخه 36 مرورگر فایرفاکس، بهره‌برداری شده است.