ITanalyze

آزاده کیاپور – جاناتان رید در گزارشی در سایت securityintelligence نوشت: مرکز هماهنگی امنیت سایبری بخش سلامت وزارت بهداشت و خدمات انسانی (DHHS) آمریکا اوایل نوامبر، یک خلاصه امنیتی منتشر کرد که نشان می‌داد چگونه بازیگرانی که به ادعای این مرکز، تحت حمایت تهران هستند، بخش‌های دفاع، بهداشت و درمان و سایر حوزه‌ها را هدف قرار داده‌اند.

یک حادثه مربوط به کمپین یک گروه تهدید به نام Tortoiseshell بود. این گروه، کاربران فیس‌بوک را در بخش‌های پزشکی، روزنامه‌نگاری و سایر صنایع هک می‌کرد. آنها قربانیان آمریکایی و اروپایی را فریب دادند تا فایل‌های آلوده به بدافزار را دانلود کنند. در سایر موارد، اهداف خود را فریب ‌می‌دادند تا اعتبار سایت‌های فریبکار را واگذار کنند.

هرچند گروه‌های تهدید مستقر در ایران به توانایی‌های فنی پیشرفته شهرت ندارند اما تاکتیک‌های خلاقانه مهندسی اجتماعی آنها را قادر می‌سازد حملات موفقی انجام دهند.

• فیس‌بوک و ادعای ردپای ایران در تهدیدات
  در سال 2021، فیس‌بوک، گزارشی درباره نقش خود در حذف گروه Tortoiseshell که به زعم این شرکت، مستقر در ایران است، منتشر کرد. فیس‌بوک مدعی است بازیگران این گروه، پیش از این، بر صنعت فناوری اطلاعات در خاورمیانه متمرکز بودند و سپس به مناطق و صنایع دیگر معطوف شدند.

فیس‌بوک متوجه شد این گروه، صنایع دفاعی و هوافضای ایالات متحده، بریتانیا و اروپا را هدف قرار داده و از این مجموعه، به عنوان بخشی از عملیات جاسوسی گسترده‌تر بین‌پلتفرمی استفاده کرده‌اند.

همچنین گروه مذکور از ایمیل، سرویس‌های پیام‌رسان و وب‌سایت‌های تقلبی برای استقرار بدافزار بهره می‌برد. طبق ادعای فیس‌بوک، کمپین‌های پیچیده مهندسی اجتماعی گروه Tortoiseshell پرسونای آنلاین جعلی واقع‌گرایانه برای تماس مستقیم با اهداف ایجاد می‌کند. این گروه برای افزایش اعتبار، پروفایل‌ها را در چندین پلتفرم رسانه‌های اجتماعی مدیریت کرد. در برخی موارد، بازیگران چند ماه با اهداف درگیر می‌شوند تا اعتماد ایجاد کرده و آنها را فریب دهند روی لینک‌های مخرب کلیک کنند.

این گروه‌های هکری اغلب به عنوان استخدام‌کنندگان و کارمندان سازمان‌های دفاعی، هوافضا، مهمان‌نوازی، پزشکی، روزنامه‌نگاری و سازمان‌های غیرانتفاعی ظاهر می‌شدند. سپس از پلتفرم‌های مختلف همکاری و پیام‌رسانی استفاده می‌کنند تا مکالمات را به خارج از پلتفرم تغییر دهند و بدافزار را به اهداف ارسال کنند.

طبق گزارش DHHS، بازیگران در یکی از این حملات، ایمیلی ارسال کردند که به عنوان مدیر تحقیقات موسسه تحقیقات سیاست خارجی (FRPI) ظاهر شدند. در این ایمیل پرسیده شد که آیا گیرنده علاقه‌مند است در کنفرانسی درباره موقعیت عراق در جهان عرب شرکت کند؟

این بازیگر مخرب حتی مدیر تحقیقات نگرش‌های جهانی در مرکز تحقیقات پیو (Pew) را با استفاده از یک آدرس ایمیل جعلی مورد حمله قرار داد.

پل پرودوم، تحلیلگر سابق تهدیدات وزارت دفاع مدعی شد بازیگران مستقر در ایران، معمولا چندین اکانت رسانه‌های اجتماعی یا عناصر دیگری از ردپای اینترنتی ایجاد می‌کنند. این اکانت‌ها در حالی که مستقیما در حمله استفاده نمی‌شوند، بخشی از تلاش برای ساخت واقعی‌ترین شخصیت ممکن است.

وی می‌گوید: «یک شکل رایج مهندسی اجتماعی ایرانی، استفاده از اکانت جعلی لینکدین برای فریب از طریق فرصت‌های شغلی در رشته‌های مربوطه است.»

• طرح‌های سرقت
  مدارک فیس‌بوک مدعی شده‌اند بازیگران ایرانی دامنه‌های غیرقانونی ایجاد کرده‌اند که برای جذب اهداف در صنایع هوافضا و دفاعی طراحی شده‌اند. برخی از سایت‌های با اهداف مخرب از ‌سایت‌های استخدام برای شرکت‌های دفاعی تقلید کرده‌اند. آنها همچنین پلتفرمی ایجاد کردند که از یک سایت کاریابی قانونی وزارت کار ایالات متحده تقلید می‌کرد.

هدف اصلی این تاکتیک‌ها، سرقت اطلاعات از طریق ورود به ایمیل شرکتی و شخصی، ابزارهای همکاری و رسانه‌های اجتماعی بود. موضوع دیگر، هدف قرار دادن سیستم‌های دیجیتال برای کسب اطلاعات درباره دستگاه‌ها و شبکه‌های قربانیان به منظور ارائه بدافزار بود.

بر اساس ادعای فیس‌بوک، حملات گروه Tortoiseshell بدافزار سفارشی را مستقر کردند. فیس‌بوک گزارش داد ابزارهای مخرب شامل تروجان‌های دسترسی از راه دور، ابزارهای شناسایی دستگاه و شبکه و نیز ثبت‌کننده‌های ضربه زدن به کلید است. علاوه بر این ابزارها، این گروه، بدافزاری را برای ویندوز ایجاد کرد که به نام Syskit شناخته می‌شود. این بدافزار حاوی لینک‌هایی به صفحات گسترده مایکروسافت اکسل بود که دستورات مختلف سیستم را برای نمایه کردن دستگاه قربانی فعال می‌کرد.

در این روش، پروفایل دستگاه، اطلاعاتی مانند تاریخ، زمان و درایورها را بازیابی می‌کند. سپس مهاجم می‌تواند اطلاعات سیستم، سطوح وصله‌ها، پیکربندی‌های شبکه، سخت‌افزار، نسخه‌های میان‌افزار، کنترل‌کننده دامنه و نام‌های مدیریت را ببیند. همه این اطلاعات باعث می‌شود مهاجم به خوبی برای انجام حملات اضافی آماده شود. فیس‌بوک مدعی شد برخی بدافزارهای مورد استفاده توسط شرکت ت.م.ر.ا در تهران که با نهادهای نظامی ایران ارتباط دارد، ساخته شده است.

• چگونگی برجستگی تهدیدات
  بدیهی است بازیگران مقیم ایران، درجاتی از پیچیدگی فنی دارند. با این حال، آنها در منحنی فنی نسبت به سایر مهاجمان عقب هستند اما با کمپین‌های مهندسی اجتماعی پیچیده، آن را جبران می کنند.

آدام مایرز از CrowdStrike  می‌گوید که حملات بازیگران تهدیدکننده ایرانی که مراقبت‌های بهداشتی را هدف قرار می‌دهند، مخرب‌تر از حملاتی هستند که توسط دولت‌های ملی دیگر مانند چین حمایت می‌شوند. حملات مرتبط با ایران، ممکن است شامل «قفل و نشت» باشد که در آن عوامل تهدید باج‌افزار را آزاد و سپس داده‌ها را افشا می‌کنند.

هدف این حملات در درجه اول، بی‌اعتبار ساختن سازمان‌ها به جای منفعت مالی است. بازیگران ممکن است توسط دولت ایران یا از سوی باندهای جرایم سایبری ایران حمایت و هدایت شوند. در عین حال، حملات دولت چین به بخش مراقبت‌های بهداشتی، غالبا کمتر مخرب بوده و بیشتر بر سرقت مالکیت معنوی دستگاه‌های پزشکی، داروها و سایر نوآوری‌ها متمرکز است.

• نحوه توقف حملات مهندسی اجتماعی
  مهندسی اجتماعی، یک روش حمله متداول است که مجرمان برای فریب دادن افراد، از دانلود بدافزار استفاده می‌کنند. استفاده از بهانه‌های واقع‌بینانه، بازدارندگی این نوع حمله را دشوار می‌کند.

آموزش و آزمایش مستمر کارکنان می‌تواند به طور موثری حملات مهندسی اجتماعی را متوقف کند. این امر، آموزش کارکنان درباره انواع مختلف تاکتیک‌های مهندسی اجتماعی که مجرمان ممکن است استفاده کنند، شامل می‌شود.

آزمایش می‌تواند شامل ارسال عمدی ایمیل‌های جعلی و پیام‌های رسانه‌های اجتماعی برای ارزیابی واقعی آمادگی کارکنان باشد. با ارائه بهترین آموزش‌ها و آزمایش‌ها، ممکن است برخی حملات از بین بروند. به همین دلیل سایر ابزارهای امنیتی یک پشتیبان ضروری هستند. به عنوان مثال، با مدیریت دسترسی به امتیاز (PAM)، دسترسی به طور مداوم بررسی، نظارت و تجزیه و تحلیل می‌شود تا از منابع محافظت شود. (منبع:عصرارتباط)