به گزارش کارگروه بینالملل سایبربان؛ شبکههای نوزومی (Nozomi Networks Labs) از افزایش ۱۳۳ درصدی حملات سایبری مرتبط با گروههای تهدید شناختهشده ایرانی در ماههای می و ژوئن امسال، همزمان با آخرین درگیری در خاورمیانه، خبر دادند. محققان نوزومی اعلام کردند که شرکتهای آمریکایی اهداف اصلی بودهاند و گروههایی از جمله مادیواتر (MuddyWater)، «APT33»، «OilRig»، انتقامجویان سایبری (CyberAv3ngers)، «FoxKitten» و عدالت میهن (Homeland Justice) حملات خود را بر بخشهای حمل و نقل و تولید متمرکز کردهاند. در این خصوص شبکههای نوزومی مقالهای منتشر کرده که به شرح زیر است:
«از سازمانهای زیرساخت صنعتی و حیاتی در ایالات متحده و خارج از کشور خواسته میشود که هوشیار باشند و وضعیت امنیتی خود را بررسی کنند. مشتریان نوزومی نتورکز میتوانند اطلاعات تهدید نوزومی خود را برای هرگونه نشانهای از فعالیت این گروهها بررسی کنند. اگر در فید اطلاعات تهدید نوزومی نتورکز، شامل یک بسته توسعه فناوری اطلاعات ماندیانت جداگانه، مشترک شوید، تحت پوشش قرار میگیرید، زیرا امضاها مدتی است که در دسترس بودهاند.
نوزومی در مجموع ۲۸ حمله سایبری مرتبط با عوامل تهدید ایرانی را در طول ماههای می و ژوئن سال جاری مشاهده کرد که افزایش قابل توجهی در مقایسه با ۱۲ حادثه ثبت شده در ماههای مارس و آوریل است. این نشان دهنده افزایش ۱۳۳ درصدی فعالیت در طول 2 ماه است. این افزایش در ماه می امسال با ۱۸ هشدار تأیید شده مرتبط با ایران به اوج خود رسید و سپس در ماه ژوئن به ۱۰ هشدار کاهش یافت.
جای تعجب نیست که این حملات سازمانهایی را در ایالات متحده هدف قرار دادند.
مادیواتر به عنوان فعالترین عامل تهدید ایرانی شناخته شده که در 2 ماه گذشته حداقل به 5 شرکت مختلف آمریکایی، عمدتاً مرتبط با حمل و نقل و تولید، حمله کرده است. پس از آن APT33 قرار داشت که مسئول حملات علیه حداقل 3 شرکت مختلف آمریکایی بود. در نهایت، ما توانستیم OilRig، انتقامجویان سایبری، Fox Kitten و Homeland Justice را که هر کدام با حملات علیه حداقل دو شرکت مختلف آمریکایی مرتبط بودند، مشاهده کنیم که باز هم عمدتاً متعلق به بخشهای حمل و نقل و تولید بودند.
این بار انتقامجویان سایبری تصمیم گرفت از یک آدرس آیپی مرتبط با حمله قبلی خود دوباره استفاده کند و از بدافزار «OrpaCrab» با نام مستعار آیاُکنترل (IOCONTROL) استفاده کرده که در دسامبر سال گذشته کشف شد. صرف نظر از اینکه دامنههای فناوری عملیاتی، اینترنت اشیا یا فناوری اطلاعات هدف قرار گیرند، نوزومی به نظارت دقیق بر همه این عوامل ادامه میدهد و اطمینان حاصل خواهد کرد که مشتریان محافظت میشوند.
محققان نوزومی زیرساخت حمله مادیواتر را شناسایی کردند که سازمانهایی را در چندین قاره، از جمله آمریکای شمالی، اروپا، آسیا و خاورمیانه هدف قرار میدهد. گسترش جغرافیایی گسترده به یک کمپین هماهنگ با هدف ایجاد اختلال در بخشهای حیاتی بسیار فراتر از منطقه نزدیک ایران اشاره دارد. آنها از سال ۲۰۱۷ فعال بودهاند و عمدتاً کشورهای خاورمیانه، به ویژه عربستان سعودی، عراق و ترکیه را هدف قرار دادهاند. تمرکز اصلی آنها بر نهادهای دولتی، مخابرات و بخشهای انرژی است.
به نظر میرسد ایالات متحده به همراه کشورهایی مانند بریتانیا، آلمان، عربستان سعودی، هند و روسیه هدف اصلی هستند. تمرکز خطوط حمله از ایران، تمرکز این گروه بر رقبای ژئوپلیتیکی استراتژیک و عوامل منطقهای حیاتی را برجسته میکند و نشاندهنده یک کمپین هماهنگ است که بخشهایی را در مناطق جغرافیایی متنوع هدف قرار میدهد.
محققان با شناسایی توزیع جهانی حملات سایبری منتسب به APT33، خاطرنشان کردند که زیرساختهای حمله مرتبط با این گروه هکری به عملیاتهایی مربوط است که کشورهای آمریکای شمالی، اروپا، خاورمیانه و آسیا را هدف قرار میدهند. اهداف قابل توجه شامل ایالات متحده، آلمان، فرانسه، ایتالیا، عربستان سعودی، کره جنوبی و ژاپن هستند. منشأ متمرکز مسیرهای حمله در ایران، دسترسی بینالمللی این گروه و تمرکز آن بر کشورهای مهم استراتژیک در مناطق مختلف را برجسته میکند. این الگو نشاندهنده تلاش عمدی برای جمعآوری اطلاعات و مختل کردن عملیاتها در مراکز کلیدی ژئوپلیتیکی و اقتصادی است.
نوزومی اعتقاد دارد که زیرساختهای حمله سایبری با گروه تهدید ایرانی OilRig مرتبط است و عملیاتهایی را با هدف قرار دادن نهادها در سراسر خاورمیانه، اروپا و آمریکای شمالی انجام میدهد. مسیرهای حمله از ایران سرچشمه میگیرند و به کشورهایی از جمله ایالات متحده، اسپانیا، ترکیه، عربستان سعودی، امارات متحده عربی، عمان و سوریه گسترش مییابند. تمرکز اهداف در منطقه خلیج فارس، تمرکز مداوم OilRig بر بخشهای استراتژیک مانند انرژی، دولت و مخابرات را برجسته میکند. وجود خطوط حملهای که به ایالات متحده و اروپا میرسند، نشاندهنده یک کمپین گستردهتر با اهداف ژئوپلیتیکی و جمعآوری اطلاعات است.
محققان همچنین زیرساختهای حمله منتسب به گروه تهدید سایبری انتقامجویان سایبری وابسته به ایران را برجسته کردند. به نظر میرسد عملیاتهای این گروه از ایران سرچشمه میگیرد و به سمت چندین کشور، از جمله ایالات متحده، اوکراین، عراق و قبرس، هدایت میشود. پراکندگی جغرافیایی اهداف، نشاندهندهی کمپینی با هدف تضعیف زیرساختهای حیاتی و رقبای ژئوپلیتیکی، به ویژه در بخشهای انرژی و صنعتی است. مسیر حمله مستقیم به ایالات متحده، دسترسی فراملی این گروه و تمرکز فزاینده بر اهداف غربی را بیشتر برجسته میکند.
نوزومی زیرساختهای حمله سایبری مرتبط با گروه تهدید ایرانی FoxKitten را به تفصیل شرح داد. فعالیتهای حملهای که از ایران سرچشمه میگیرند، سازمانهایی را در اسرائیل، یونان و مقدونیه شمالی هدف قرار دادهاند. تمرکز مسیرهای حمله در مناطق مدیترانه شرقی و خاورمیانه، نشاندهندهی تمرکز استراتژیک این گروه هکری بر اهداف حساس سیاسی و منطقهای مهم است. این الگو با علاقهی شناختهشدهی این گروه به جاسوسی و دسترسی بلندمدت به زیرساختهای حیاتی و شبکههای دولتی سازگار است.
دادهها نشان میدهد که دامنه جهانی حملات سایبری منتسب به گروه هکری ایرانی عدالت میهن که از ایران سرچشمه میگیرد، با هدف قرار دادن سازمانهایی در سراسر آمریکای شمالی، خاورمیانه، آسیای جنوبی و منطقه آسیا و اقیانوسیه مرتبط بوده است. اهداف قابل توجه شامل ایالات متحده، کانادا، عربستان سعودی، هند و استرالیا هستند. الگوی فعالیت نشان میدهد که عدالت میهن به دنبال ایجاد اختلال با انگیزه سیاسی در مجموعهای متنوع از کشورها و بخشها، از جمله زیرساختهای حیاتی و نهادهای دولتی است.
چندی پیش، آژانسهای امنیتی ایالات متحده از اپراتورهای زیرساختهای حیاتی خواستند که نسبت به حملات سایبری احتمالی توسط گروههای هکری تحت حمایت دولت یا وابسته به ایران هوشیار باشند، ضمن اینکه داراییهای فناوری عملیاتی و سیستمهای کنترل صنعتی (ICS) را از اینترنت عمومی شناسایی و قطع کنند. با توجه به تنشهای ژئوپلیتیکی فعلی، این گروهها میتوانند در کوتاه مدت شبکهها و دستگاههای ایالات متحده را هدف قرار دهند. این آژانسها همچنین بر خطرات فزاینده برای شرکتهای پایگاه صنعتی دفاعی (DIB) تأکید کردند که با شرکتهای تحقیقاتی یا دفاعی اسرائیل ارتباط دارند.»
