ITanalyze

به گزارش عصر ارتباط این در حالیست که در قضیه ادعای دخالت ایران در انتخابات آمریکا، مسوولان ایران در سازمان ملل خواستار ارایه مستندات رسمی شدند که چنین اتفاقی رخ نداد. در خصوص انتساب حملات سایبری به ایران نیز تا کنون ادله مشخصی ارایه نشده و صرفا به عملیات گروه‌های هکری استناد می‌شود که به ایران منتسب شده‌اند. این در حالیست که در جریان بزرگترین حمله سایبری دنیا (استاکس‌نت) که به ایران انجام شد، دولت‌های آمریکا و اسراییل که عامل این حملات بودند هنوز مسوولیت آن را به عهده نگرفته‌اند.

در همین راستا سایت رجیستر در گزارشی نوشت: گروه‌های سایبری که ادعا می‌شود مورد حمایت دولت ایران است، اخیرا شبکه‌های ایالات متحده و کشورهای دیگر را هک کرده‌اند تا داده‌های حساس را سرقت کرده و باج‌افزارها را مستقر کنند. آنها از طریق دستگاه‌های آسیب‌پذیر VPN و فایروال شرکت‌های  Check Point، Citrix، Palo Alto Networks  و دیگر تولیدکنندگان به این شبکه‌ها نفوذ کرده‌اند.

در مشاوره امنیتی مشترک ارائه‌شده دفتر تحقیقات فدرال (FBI)، آژانس امنیت سایبری و زیرساخت  (CISA)و مرکز جرایم سایبری وزارت دفاع آمریکا (DC3)، به مدافعان شبکه هشدار داده شده، Pioneer Kitten همچنان به بهره‌برداری از مدارس، بانک‌ها، بیمارستان‌ها، سازمان‌های بخش دفاع و دولتی آمریکا و اهدافی در اسرائیل، آذربایجان و امارات متحده عربی ادامه می‌دهد.

این حملات، شامل نفوذ به شبکه‌ها برای سرقت داده‌های فنی حساس از پیمانکاران دفاعی آمریکا و همچنین سازمان‌های مستقر در اسرائیل و آذربایجان به منظور حمایت از دولت ایران است. با این حال، بیشتر حملات علیه اهداف آمریکایی، انگیزه مالی دارند و از سوی دولت تحریم نشده‌اند.

بنا به اعلام هشدار مشترک نهادهای فدرال: «اف‌بی‌آی ارزیابی می‌کند که درصد قابل‌توجهی از عملیات این بازیگران تهدید، علیه سازمان‌های آمریکایی به منظور دستیابی و توسعه دسترسی به شبکه و سپس همکاری با بازیگران وابسته به باج‌افزار برای استقرار آن است.»

اخیرا سازمان‌های مجری قانون فدرال مشاهده کرده‌اند Pioneer Kitten (که با نام‌های مستعار Fox Kitten، UNC757، Parisite، RUBIDIUM و Lemon Sandstorm نیز شناخته می‌شود) با گروه‌های باج‌افزار به عنوان سرویس NoEscape، Ransomhouse و ALPHV/BlackCat همکاری می‌کند.

طبق اعلام آژانس‌های آمریکایی، «مشارکت عوامل سایبری ایرانی در این حملات باج‌افزاری فراتر از ارائه دسترسی است؛ آنها با وابستگان باج‌افزار به ‌طور نزدیک همکاری می‌کنند تا شبکه‌های قربانیان را قفل و استراتژی‌هایی برای اخاذی از آنها طراحی کنند.» اف‌بی‌آی ارزیابی می‌کند که این عوامل، ملیت و محل استقرار خود در ایران را به وابستگان باج‌افزار افشا نمی‌کنند و به ‌طور عمدی، درباره ملیت و مکان حضور خود مبهم عمل می‌کنند.

این هشدار جدید در پی چندین مورد اتهام‌زنی علیه ایران برای فعالیت‌های مخرب سایبری صادر شده است. در هفته‌های اخیر، مقامات آمریکایی ایران را به عنوان منبع احتمالی حمله و افشای اطلاعات علیه دونالد ترامپ، رئیس‌جمهور سابق آمریکا و کاندیدای فعلی معرفی کردند. گزارش‌های متعدد دیگر نیز مدعی هستند تیم‌های ایرانی تلاش‌ خود را برای دخالت در انتخابات تشدید کرده‌اند.

اوایل ماه آگوست، شرکتOpenAI ، حساب‌های ChatGPT مرتبط با یک گروه ایرانی را که به انتشار اخبار جعلی در سایت‌های شبکه‌های اجتماعی درباره کمپین‌های انتخاباتی ریاست جمهوری آمریکا متهم بود، مسدود کرد. همچنین گوگل و مایکروسافت هشدار داده‌اند حملات مستمر علیه کاندیداهای هر دو حزب سیاسی در حال انجام است. با این حال، هشدار اخیر روی یک گروه دولتی دیگر تمرکز دارد که CISA و FBI می‌گویند از سال 2017 فعال بوده است.

• معرفی گروه Pioneer Kitten

گروه هکری Pioneer Kitten که به عنوان یکی از گروه‌های هکری موردحمایت دولت ایران شناخته می‌شود، در سال 2020 نیز توسط CISA و FBI در قالب یک هشدار مشابه مورد توجه قرار گرفت. این هشدار نشان می‌داد که این گروه در حال نفوذ به طیف گسترده‌ای از بخش‌های صنعتی آمریکا برای سرقت اطلاعات حساس و معتبر است.

این گروه در سایت‌های دارک‌وب (Tor) و شبکه‌های اجتماعی با نام‌های «Br0k3r» و «xplfinder» فعالیت می‌کند و از یک شرکت فناوری اطلاعات ایرانی «د.س»، به عنوان پوشش فعالیت‌های مخرب سایبری خود بهره می‌برد.

این گروه، طبق پیشینه خود از آسیب‌پذیری‌های قدیمی در دستگاه‌ (CVE-2019-19781 and CVE-2023-3519) و نیز دستگاه  BIG-IP F5 (CVE-2022-1388)سوءاستفاده کرده تا دسترسی اولیه به سازمان‌های قربانی پیدا کند. از ژوئیه امسال، این گروه، موتور جستجوی Shodan را برای آدرس‌های IP که دستگاه‌های Check Point Security Gateways  آسیب‌پذیر به CVE-2024-24919 را میزبانی می‌کنند، اسکن کرده است. این آسیب‌پذیری توسط فروشنده نرم‌افزار در ژوئن تحت هشدار بهره‌برداری فعال قرار گرفت.

چند ماه قبل، در آوریل، نهادهای فدرال متوجه شدند هکرهای ایرانی در حال اسکن دستگاه‌های آسیب‌پذیر Palo Alto Networks PAN-OS  و GlobalProtect VPN هستند. این گروه، احتمالا در حال شناسایی و بررسی دستگاه‌هایی بودند که برای آسیب‌پذیری CVE-2024-3400 که یک نقص حیاتی در تزریق فرمان است و امتیاز 10 از 10 را در رتبه‌بندی شدت CVSS دریافت کرده، به‌روزرسانی نشده‌اند.

نکته جانبی: چندین نمونه از اکسپلویت‌های اثبات مفهومی (PoC) برای CVE-2024-3400 وجود دارد، بنابراین اگر فایروال یا VPN شبکه Palo Alto خود را هنوز به‌روزرسانی نکرده‌اید، چنانچه ایران، در حال حاضر روی دستگاه شما ننشسته باشد، احتمالا شخص دیگری این کار را انجام داده است.

پس از بهره‌برداری موفق از یک دستگاه آسیب‌پذیر، گروه Pioneer Kitten فعالیت‌های مجرمانه معمول خود را انجام می‌دهد. این گروه با استفاده از webshellها، اطلاعات ورودی را سرقت کرده و دسترسی خود به شبکه را حفظ می‌کند. آنها با استفاده از مدارک معتبر سرقت‌شده با سطح دسترسی ادمین، نرم‌افزارهای آنتی‌ویروس و دیگر نرم‌افزارهای امنیتی را غیرفعال می‌کنند.

آنها همچنین حساب‌های جدیدی ایجاد می‌کنند که از نام‌های مشاهده‌شده می‌توان به “sqladmin$,” “adfsservice,” “IIS_Admin,” “iis-admin,” و “John McCain” اشاره کرد. سپس برای ابزارهایی که قصد استفاده از آنها را دارند، درخواست معافیت از سیاست‌های امنیتی و برنامه‌های مبتنی بر اعتماد صفر (zero-trust) می‌دهند. پس از آن، درب‌های پشتی (backdoors)  را نصب کرده تا بدافزارها را بارگذاری و داده‌ها را استخراج کنند.

در هشدار مشترک نهادهای فدرال، فهرستی از نشانی‌های IP و دامنه‌هایی که Pioneer Kitten در سال جاری از آنها استفاده کرده، ارائه شده است. توصیه می‌شود این فهرست را بررسی کرده و سپس هر یک از این آدرس‌ها مسدود یا حداقل بررسی شود. با این حال، هکرهای ایرانی به نفوذ به محیط‌های ابری شرکت‌ها نیز معروف هستند و از این زیرساخت‌ها برای انجام عملیات جاسوسی سایبری علیه سازمان‌های دیگر استفاده می‌کنند.

در این هشدار آمده است: «اف‌بی‌آی استفاده از این روش را علیه بخش‌های دانشگاهی و دفاعی ایالات متحده مشاهده کرده اما این روش می‌تواند علیه هر سازمانی به کار گرفته شود.»

اف‌بی‌آی و CISA هشدار می‌دهند اگر این عوامل به سازمان شما نفوذ کرده باشند، ممکن است از حساب‌ سرویس ابری برای انجام فعالیت‌های مخرب سایبری و هدف قرار دادن قربانیان دیگر استفاده کنند.

• بدافزار ویژه گروه Peach Sandstorm

گروه Peach Sandstorm که به نهادهای نظامی ایران منتسب شده، نیز با یک بکدور کاملا جدید به حالت حمله بازگشته است. این گروه که ادعا می‌شود به دولت ایران مرتبط است از یک بدافزار سفارشی جدید به نام Tickler بین ماه‌های آوریل و ژوئن استفاده کرده است.

شکارچیان بخش تهدیدات مایکروسافت، این گروه را با نام Peach Sandstorm دنبال می‌کنند و معتقدند این بدافزار جدید برای حملاتی که بخش‌های ماهواره، تجهیزات ارتباطی، نفت و گاز و دولت‌های فدرال و ایالتی در آمریکا و امارات متحده عربی را هدف قرار داده، استفاده شده است.

این جاسوس‌های سایبری از زیرساخت ابری Azure که در اشتراک‌های جعلی و تحت کنترل مهاجمان در Azure میزبانی شده بود، برای فرماندهی و کنترل (C2) استفاده کرده‌اند.

اولین نمونه بدافزار Tickler مشاهده‌شده، از طریق یک فایل آرشیو به نام Network Security[.]zip ارسال شد که همراه با فایل‌های PDF بی‌ضرر به عنوان اسناد فریبنده بود. به گفته تیم اطلاعات تهدیدات مایکروسافت، «این نمونه، اطلاعات شبکه را از هاست جمع‌آوری کرده و از طریق درخواست HTTP POST به URI فرماندهی و کنترل (C2) احتمالا به عنوان راهی برای آشنایی مهاجم با شبکه‌ مورد نفوذ ارسال می‌کند.»

به نظر می‌رسد Peach Sandstorm از آن زمان بدافزار را بهبود بخشیده، زیرا نمونه دوم، sold[.]dll، یک Trojan dropper  است که payloadهای اضافی را از سرور فرماندهی و کنترل (C2) دانلود می‌کند. این payloadها شامل یک  بکدور، یک اسکریپت دسته‌ای برای ایجاد تداوم برای این بکدور و فایل‌های قانونی msvcp140[.]dll، LoggingPlatform[.]dll، vcruntime140[.]dll و Microsoft.SharePoint.NativeMessaging[.]exe هستند.

اینها همه باینری‌های امضاشده ویندوز هستند که مایکروسافت حدس می‌زند برای بارگذاری جانبی DLL (DLL sideloading) استفاده می‌شوند.