انتشار شده در تاریخ 1398/11/19 - 09:42

ادعای حمله ایران به روزنامه‌نگاران توسط کارشناسان امنیتی

کارشناسان امنیتی با بیان اتهامی تکراری علیه ایران، مدعی شدند هکرهایی این کشور در حال حمله به روزنامه‌نگاران و فعالان سیاسی سرتاسر جهان هستند.

به گزارش کارگروه حملات سایبری سایبربان؛ عده‌ای از کارشناسان امنیتی به تازگی گزارش دادند یک کمپین جاسوسی سایبری جدید را شناسایی کرده‌اند. این افراد ادعا می‌کنند که این کمپین توسط گروهی هکری چارمینگ کیتن (Charming Kitten) نام داشته و وابسته به دولت ایران هستند. آن‌ها مدعی شدند هدف کمپین یاد شد روزنامه‌نگاران، فعالان سیاسی و حقوق بشر هستند. از این گروه هکری با نام‌های دیگر مانند «APT35»، «Phosphorus»، «Newscaster» و «Ajax Security» نیز یاد می‌کنند.

آن‌ها ادعا می‌کنند که APT35 در گذشته نیز حملاتی را علیه کاندیدای ریاست‌جمهور آمریکا، مقامات آن و مهاجران ایرانی انجام داده است.

تحلیلگران در گزارش خود ادعا کرده‌اند:

ما مجموعه جدیدی از حملات فیشینگ را شناسایی کرده‌ایم. این کار توسط گروه هکری چارمینگ کیتن که با دولت و سرویس‌های اطلاعاتی ایران در ارتباط است، انجام می‌گیرد. با توجه به نتایج تحقیقات ما، اهداف این گروه را روزنامه‌نگاران، فعالان سیاسی و حقوق بشر در بر می‌گیرند. این حملات فیشینگ با اقدامات شناسایی شده در گذشته توسط مایکروسافت و کلیراسکای (ClearSky) مطابقت دارند.

شرکت «iSight» در گذشته ادعا کرده بود که هکرهای ایرانی با استفاده شبکه‌های اجتماعی یک کمپین جاسوسی گسترده را راه‌اندازی کرده‌اند. همچنین مایکروسافت نیز در گزارشی جداگانه مدعی شده بود که حداقل سال 2013، گروه APT35 در حال حمله به فعالان و روزنامه‌نگاران آسیای غربی، سازمان‌های واقع در آمریکا و نهادهای انگلیسی، اسرائیلی، عراقی و عربستان سعودی هستند.

تحلیلگران مدعی شدند، هکرهای ایرانی همچنان در حال هدف قرار دادن مؤسسات خصوصی و دولتی، اندیشکده‌ها، دانشگاه‌ها، سازمان‌های مرتبط با بهاییت، بسیاری از کشورهای اروپایی، آمریکا، انگلیس و عربستان سعودی هستند.

در گزارش مذکور نوشته شده است مهاجمان یک حساب کاربری جعلی با نام فرناز فصیحی، روزنامه‌نگار فعلی نیویورک‌تایمز و سابق وال‌استریت ژورنال ایجاد کرده‌اند. هکرها با استفاده از این حساب، درخواست‌های پیشنهاد مصاحبه جعلی یا دعوت‌نامه‌ای برای حضور در یک وبینار را برای اهداف خود ارسال می‌کردند تا به سمت وبگاه‌های فیشینگ هدایت شوند.

پیام‌های ارسال شده دارای لینک‌های کوتاه شده‌ای از شبکه‌های اجتماعی، وبگاه‌های وال‌استریت ژورنال و دائو جونز بودند. پس از این که قربانی روی لینک‌ها کلیک می‌کند، به آدرسی جعلی هدایت شده و هکرها اطلاعاتی مانند آدرس IP، نوع سیستم‌عامل و مرورگر مورد استفاده دست پیدا می‌کنند تا بتوانند در حملات خود از آن‌ها بهره ببرند. سپس مهاجمان یک لینک را به صفحه‌ای دارای محاسبه ارسال می‌کنند که توسط وبگاه‌های گوگل میزبانی می‌شوند تا از شناسایی شدن جلوگیری کنند. زمانی که قربانی روی لینک مذکور کلیک کند به صفحه‌ای هدایت می‌شود که اطلاعاتی مانند رمز عبور ایمیل و احراز هویت دو مرحله‌ای از وی درخواست می‌شود.

تحلیلگران ادعا می‌کنند که چارمینگ کیتن در حملات خود از درب پشتی با نام «pdfreader.exe» بهره می‌گیرند که امکان جمع‌آوری اطلاعات از سیستم قربانی را فراهم می‌کند.