ادعایی تازه از فعالیت هکرهای ایران در شبکه های اجتماعی

به گزارش کارگروه حملات سایبری سایبربان؛ شرکت فایرآی به تازگی مدعی شد گروه هکری «APT 34» موج جدید فعالیت‌های خود را آغاز کرده است. این شرکت ادعا می‌کند گروه یاد شده وابسته به ایران بوده و از قربانیان خود درخواست می‌کند به شبکه‌ی اجتماعی آن‌ها ملحق شوند.

فایرآی ادعا می‌کند هکرهای مذکور با هدف جلب اعتماد قربانیان، خود را به‌عنوان اساتید و کادر دانشگاه کمبریج معرفی و یک صفحه در لینکداین راه‌اندازی کرده‌اند. پس از عضو شدن افراد در این بستر، از آن‌ها در خواست می‌شود، فایل‌های آلوده را باز کنند.

گروه APT34 با نام‌های دیگر مانند ایل ریگ (OilRig) و گرین باگ (Greenbug) نیز شناخته می‌شوند. کارشناسان ادعا می‌کنند این گروه سازمان‌های فعال در حوزه‌های مختلف مانند مالی، انرژی و دولتی را در خاورمیانه هدف قرار می‌دهند.

فایرآی در گزارش خود ادعا کرده است:

هکرها به منظور جمع‌آوری داده‌های راهبردی در جهت منافع ملی کشور ایران، ترکیبی از ابزارهای عمومی و غیرعمومی را به کار می‌برند. این داده‌ها به حوزه‌های مالی و ژئوپلیتیک مربوط می‌شوند.

کارشناسان شرکت مذکور اظهار کردند، ابزارهای غیرعمومی شامل 3 خانواده‌ی جدید از بدافزارهای پیک پکت (Pickpocket Malware) هستند. کمپین فیشینگ یاد شده شرکت‌های حوزه انرژی، کارمندان دولتی و نهادهای مختلف را هدف قرار داده است.

بدافزار یاد شده از طریق فایلی آلوده و به‌واسطه‌ی پیام لینکداینی از سوی کارمندان بخش تحقیقات دانشگاه کمبریج ارسال می‌گردید. محتوای این پیام شامل درخواست رزومه برای فرصت‌های شغلی بالقوه است.

تحلیلگران بیان کردند:

این اولین بار نیست که ایل ریگ در کمپین‌های مختلف از مکالمات و فرصت‌های شغلی و دانشگاهی بهره می‌گیرد. این گفتگوها در بستر شبکه‌های اجتماعی صورت می‌گیرند؛ زیرا این روش بسیار مؤثرتر واقع می‌شود، به خصوص اگر سازمانی روی امنیت سایبری خود به خصوص از سمت ایمیل تمرکز کرده باشد.

بدافزار اول «Tonedeaf» نام داشته و یک درب پشتی را فعال می‌کند که با یک سرور فرماندهی و کنترل (C2) ارتباط برقرار می‌گردد. این نرم‌افزار مخرب دارای عملکردهای متنوعی مانند جمع‌آوری اطلاعات سیستم، آپلود و دانلود محتوا از آن و اجرای دستوران شل (Shell) دلخواه است.

2 بدافزار دیگر «ValueVault» و «Longwatch» نام دارند. همچنین یک ابزار سرقت اعتبارنامه مرورگر اینترنت نیز شناسایی شده است. بدافزار اول به منظور سرقت اعتبارنامه و دومین آن‌ها نوعی کی لاگر (Key Logger) است.

فایرآی ادعا می‌کند، هکرها، به منظور جلوگیری از شناسایی شدند، راهبردهای خود را تغییر داده از مجموعه‌ی بدافزارها و رویکردهای مهندسی اجتماعی تازه‌ای بهره می‌گیرند. همچنین به نظر می‌رسد نوع فعالیت گرین باگ تغییر کرده است. این مسئله می‌تواند به علت تأثیرات جانبی رویدادها و افزایش تنش‌ها در آسیای غربی رخ داده باشد.