ITanalyze

علی شمیرانی – هفته قبل انتشار گزارشی از سوی مایکروسافت با به روزرسانی گزارش قبلی خود بر اساس یافته‌های جدید، انتشار گزارشی از سوی شرکت متا و همچنین گزارشی دیگر از سوی چک پوینت، اتهامات جدیدی متوجه ایران شد

و در این گزارش‌ها که تقریبا همزمان منتشر شدند، این ادعا مطرح شد که فعالیت‌های خرابکارانه و تهاجمی سایبری ایران به دیگر کشورها به سرعت در حال افزایش است.

اگرچه تجربه سال‌ها حملات سایبری انجام شده در دنیا از سوی کشورهایی نظیر آمریکا و اسراییل به ویژه در ماجرای حمله به تاسیسات اتمی ایران که از طریق استاکس‌نت انجام شد و بعدها از آن با عنوان نخستین سلاح سایبری دنیا نام برده شد، دو موضوع را روشن و لاینحل باقی گذاشت.

نخست آنکه تعیین دقیق و عامل حملات سایبری در دنیا یک موضوع لاینحل و تقریبا غیر قابل اثبات است و متخاصمان می‌توانند با انتساب خود به کشورهای مختلف، عملیات نفوذ و هک را پیش ببرند و از هر گونه عقوبت و پیگیری و جبرانی در امان باشند.

نکته دوم آنکه نهادها و مراجع بین‌المللی نیز همچنان در نحوه مواجهه و ورود به پدیده حملات و جنگ‌های سایبری کاملا بلاتکلیف و دست بسته هستند. خواه این عملیات‌های خطرناک به وسعت ویروس استاکس‌نت باشد و خواه در حد تخریب و دستکاری در سایت‌های دولتی کشورها باشد.

با تمام این تفاسیر یک رویه در تمامی گزارش‌های منابع اطلاعاتی و شرکت‌های مستقر در آمریکا و کشورهای غربی و متحد آمریکا، به کرات و به شکلی واحد در حال پمپاژ در رسانه‌هاست و آن اینکه هر کجا اسمی از حملات و خرابکاری‌های سایبری شنیده می‌شود، بدون ارایه مستنداتی، معمولا نام چهار کشور در کنار یکدیگر تکرار می‌شوند:

چین، روسیه، ایران و کره شمالی.

به عبارت دیگر در سال‌های اخیر یک کمپین گسترده و جهانی در حال پیشبرد است که ایران و سه کشور دیگر را محور و عامل تمامی تهدیدهای سایبری دنیا معرفی می‌کنند.

موضوعی که نیازمند توجه متولیان عرصه سایبری، دیپلماسی و رسانه‌ای کشور است تا نسبت به رویه مذکور و پنهان شدن سایر کشورها در پس حملات منتسب به کشور اقدامات لازم را به عمل آورند.

با این مقدمه ابتدا باید نگاهی به گزارش مایکروسافت و طرح اتهاماتی به ایران پرداخت.

• گزارش مایکروسافت

بنا به ادعای مایکروسافت که گزارش چند هفته پیش خود را به روزرسانی و بازنشر کرده است، ایران همچنان یک عامل تهدیدکننده مهم در حوزه سایبری است و اکنون در حال تکمیل حملات سنتی خود با مدل‌های بازی جدید است.

در ادامه گزارش مایکروسافت با طرح اتهاماتی آمده است: «ایران از عملیات نفوذ سایبری (IO)، برای دستیابی به اهداف ژئوپلیتیکی خود استفاده می‌کند.

مایکروسافت اعلام کرده که از ژوئن 2022 به سرعت فعالیت‌های ایران را شناسایی کرده است.

طبق ادعای این شرکت، در سال گذشته میلادی، 24 عملیات نفوذ سایبری منحصربه‌فرد به دولت ایران نسبت داده می‌شود؛ 17 مورد این عملیات از ژوئن تا دسامبر 2022 صورت گرفته، در مقایسه با تنها 7 مورد که مربوط به سال 2021 بوده است.

ارزیابی مایکروسافت نشان می‌دهد بیشتر عملیات‌ سایبری فعال در ایران، عملیات نفوذ است که توسط Emennet Pasargad مدیریت می‌شود.

از این گروه به عنوان طوفان شن پنبه‌ای (Cotton Sandstorm) یا نپتونیوم سابق (NEPTUNIUM) یاد می‌شود؛ یک بازیگر منتسب به دولت ایران که به دلیل تلاش برای تضعیف یکپارچگی انتخابات ریاست جمهوری (2020)، توسط وزارت خزانه‌داری ایالات متحده تحریم شده است.

طبق گزارش مایکروسافت، اگرچه ممکن است تکنیک‌های ایران تغییر کرده باشد اما اهداف آن تغییر نکرده است. این عملیات همچنان بر اسرائیل، شخصیت‌ها و گروه‌های اپوزیسیون برجسته ایرانی و نیز دشمنان این کشور در خلیج فارس تمرکز دارد.

در ادامه این گزارش ادعا شده: به طور کلی، ایران نزدیک به یک چهارم (23 درصد) عملیات سایبری خود را بین اکتبر 2022 تا مارس 2023 علیه اسرائیل انجام داد و ایالات متحده، امارات متحده عربی و عربستان سعودی نیز بیشترین دفعات این عملیات را متحمل شده و تجربه کردند.

بازیگران سایبری ایران در خط مقدم IO فعالیت سایبری بوده‌اند. آنها عملیات سایبری تهاجمی را با عملیات نفوذ چندجانبه ترکیب می‌کنند تا تغییرات ژئوپلیتیکی را در راستای اهداف حکومت تقویت کنند.

طبق ادعای مایکروسافت، اهداف IO با قابلیت سایبری در ایران، شامل تلاش برای تقویت مقاومت فلسطین، دامن زدن به ناآرامی در بحرین و مقابله با عادی‌سازی مداوم روابط اعراب و اسرائیل، با تمرکز ویژه بر ایجاد وحشت و ترس در بین شهروندان اسرائیلی است.

ایران همچنین از IO فعال سایبری استفاده کرده تا با افشای اطلاعاتی که هدف آن شرمسار کردن چهره‌های برجسته اپوزیسیون حکومت یا افشای روابط «فاسد» آنهاست، شتاب اعتراضات را کاهش دهد.

بیشتر این عملیات‌ نفوذ، بازی‌های قابل پیش‌بینی هستند که در آن، ایران از یک شخصیت سایبری برای تبلیغ و اغراق یک حمله سایبری که ساده است، استفاده می‌کند. شخصیت‌های آنلاین ظاهرا نامرتبط، تاثیر حملات را تقویت کرده و غالبا بیشتر تبلیغات  می‌کنند.

همچنین تکنیک‌های جدید نفوذ ایران، شامل استفاده از پیامک و جعل هویت قربانی برای افزایش اثربخشی تقویت پیام‌هاست.

اینها تعدادی از مواردی است که در گزارش جدید اطلاعات تهدیدات مایکروسافت درباره IO با قابلیت سایبری ایران ذکر شده است.

این گزارش نشان می دهد که چگونه ایران از عملیات نفوذ برای مقابله به مثل در برابر تهدیدهای خارجی و داخلی به طور  موثر استفاده می‌کند.

گزارش مایکروسافت همچنین به بررسی اقداماتی می‌پردازد که ممکن است در ماه‌های آینده از جانب ایران صورت گیرد مانند افزایش سرعت عملیاتی کردن اکسپلویت‌ها (کدهای مخرب) گزارش‌شده جدید. از آنجا که برخی از گروه‌های تهدیدکننده ایرانی به IO  فعال سایبری روی آورده‌اند، کاهش مشابه استفاده ایران از باج‌افزار یا حملات حذف‌کننده‌  طی دو سال گذشته، که بسیار پرکار بوده، شناسایی شده است.

در عین حال، تهدید آتی حملات سایبری ویرانگر فزاینده ایران، به ویژه علیه اسرائیل و ایالات متحده همچنان وجود دارد، زیرا برخی از گروه‌های ایرانی، احتمالا به دنبال قابلیت‌های حمله سایبری، علیه سیستم‌های کنترل صنعتی هستند. حملات سایبری و عملیات نفوذ ایران، احتمالا بر تلافی حملات سایبری خارجی و موارد مربوط به تحریک اعتراضات داخل ایران، متمرکز خواهد بود.

مایکروسافت در ردیابی و اشتراک‌گذاری اطلاعات در IO با قابلیت سایبری ایرانی سرمایه‌گذاری می‌کند تا به ادعای این شرکت، مشتریان و کشورهای دموکراتیک در سراسر جهان، در برابر حملات ایران از خود محافظت کنند.

مایکروسافت اعلام کرده به‌روزرسانی‌های نیمه ‌سالانه را درباره این بازیگران و سایر بازیگران دولت- ملت منتشر می‌کند تا به زعم خود، به مشتریان و جامعه جهانی درباره تهدید ناشی از این عملیات هشدار دهد و بخش‌ها و مناطق خاص را که در معرض خطر هستند، بیشتر شناسایی کند.

• گزارش متا

همزمان با به روزرسانی گزارش مایکروسافت، شرکت متا که مالکیت پلتفورم‌هایی نظیر فیس‌بوک، اینستاگرام و واتس‌اپ را در اختیار دارد نیز با اشاره به انتشار «گزارش تهدیدات خصمانه»، سه‌ماهه اول 2023 اعلام کرد این شرکت، علیه سه عملیات جاسوسی سایبری جداگانه در جنوب آسیا اقدام کرده است: گروه اول، هکرهای معروف در صنعت امنیت به نام Bahamut APT، گروه دوم به نام Patchwork APT و گروه سوم بازیگران مرتبط با دولت پاکستان.

طبق اعلام متا، این شرکت، همچنین شش شبکه رفتار غیراصیل هماهنگ (CIB) را از بین برده است. بنا به اعلام متا، این شبکه‌ها در ایالات متحده، ونزوئلا، ایران، چین، گرجستان، بورکینافاسو و توگو بوده‌اند که مردم جهان و بسیاری از خدمات حوزه اینترنت را هدف قرار داده‌اند.

در حال حاضر، بخشی از گزارش‌ سه‌‌ماهه تهدیدها و به‌روزرسانی امنیتی، از جمله «گزارش تهدیدات خصمانه» سه‌ماهه اول 2023 و اطلاعاتی درباره فعالیت علیه کمپین‌های بدافزار ارایه شده است.

البته در طول پنج سال گذشته، یافته‌ها درباره تهدیدهایی که در فناوری‌ها، شناسایی و از بین برده شده، اشتراک‌گذاری شده است.

در این گزارش، اطلاعاتی درباره سه عملیات جاسوسی سایبری و نیز شش شبکه ارایه شده که به دلیل نقض خط‌مشی‌ها و رفتار غیراصیل هماهنگ (CIB) از بین برده شده‌اند.

در گزارش تهدیدات خصمانه سه‌ماهه اول 2023، همچنین اطلاعاتی درباره یافته‌ها با شرکای صنعتی، محققان و سیاستگذاران، اشتراک‌گذاری شده است. در ادامه آن، بینش‌های کلیدی گزارش ذکر شده است.

متا علیه سه عملیات جاسوسی سایبری در جنوب آسیا اقدام کرده که عبارتند از:

اول- گروهی از هکرها که در صنعت امنیت به نام Bahamut APT  (تهدید دائمی پیشرفته) شناخته می‌شوند.

دوم: گروهی به نام Patchwork APT

سوم: گروه مرتبط با بازیگران وابسته به دولت پاکستان.

- تنوع بخشیدن به تلاش‌های مهندسی اجتماعی
این تهدیدات دائمی پیشرفته  (APTها)، به‌شدت متکی بر مهندسی اجتماعی بودند. از این‌رو، برای برخی از حساب‌های جعلی که در اینترنت ایجاد کرده‌اند تا با استفاده از شخصیت‌های ساختگی، خود را متنوع‌تر و پیچیده‌تر جلوه دهند، سرمایه‌گذاری فراوانی انجام دادند.

بنابراین آنها می‌توانند در برابر بررسی دقیق پلتفرم‌ها و محققان اهداف خود مقاومت می‌کنند. تهدیدات دائمی پیشرفته، در حالی که  همچنان به استفاده از فریب‌های سنتی مانند زنانی که به دنبال یک رابطه عاشقانه هستند، ادامه می‌دهند،  همچنین به عنوان استخدام‌کننده، روزنامه‌نگار یا پرسنل نظامی ظاهر می‌شوند.

- اتکای مداوم به بدافزارهای ساده
 این سرمایه‌گذاری در مهندسی اجتماعی به این معناست که بازیگران تهدید، چندان مجبور به سرمایه‌گذاری در بدافزارها نیستند. بررسی درباره APTها نشان داد بدافزار ارزان‌تر و ساده‌تر می‌تواند همراه با مهندسی اجتماعی، برای هدف قرار دادن افراد موثر باشد. برای دو مورد از این عملیات، کاهش قابلیت‌های مخرب در برنامه‌های آنها مشاهده شد. با این اقدام، احتمالا اطمینان حاصل می‌شود که می‌توان آنها را در اپلیکیشن‌های فروشگاه‌های معتبر منتشر کرد.

- تأثیر اختلالات عمومی و گزارش‌دهی تهدید
اینAPTها، در پاسخ به ادامه اختلال اجتماع امنیتی، مجبور به راه‌اندازی زیرساخت‌های جدید، تغییر تاکتیک‌ها و سرمایه‌گذاری بیشتر در مخفی کردن و تنوع بخشیدن به عملیات خود شده‌اند تا همچنان حضور داشته باشند.

طبق اعلام متا، این مجموعه همچنین شش عملیات نفوذ مخفی را به دلیل نقض خط‌مشی‌‌ها و فعالیت در زمینه رفتار غیراصیل هماهنگ (CIB) از بین برد.

این شبکه‌های CIB غیرمرتبط، از ایالات متحده، ونزوئلا، ایران، چین، گرجستان، بورکینافاسو و توگو سرچشمه می‌گرفتند و بیش از نیمی از آنها، مخاطبان خارج از کشور خود را هدف قرار می‌دادند. بیشتر این عملیات‌‌ها، قبل از اینکه مخاطبان معتبری ایجاد کنند، حذف شدند و از بین رفتند. در اینجا خلاصه ای از تحقیقات مرتبط با تهدید برجسته شده است:

- ایجاد نهادهای ساختگی در سراسر اینترنت
تقریبا همه عملیات‌ها، به منظور کسب اعتبار، در عرصه ایجاد نهادهای جعلی مانند سازمان‌های رسانه‌های خبری، گروه‌های هکری و سازمان‌های غیردولتی سرمایه‌گذاری کردند. آنها در بسیاری از سرویس‌های شبکه‌های اجتماعی مانند فیس‌بوک، توییتر، تلگرام، یوتیوب، مدیوم، تیک‌تاک، بلاگ‌اسپات، ردیت، وردپرس، فریلنسر دات کام، انجمن‌های هک و وب‌سایت‌های خود فعالیت ‌کردند.

- هکرهای جعلی ایران
این عملیات‌ها از ایران، ادعاهایی را منتشر کرد که بیانگر هک سازمان‌ها در اسرائیل، بحرین و فرانسه، در حوزه‌ رسانه‌های خبری، شرکت‌های لجستیک و حمل‌ونقل، موسسات آموزشی، یک فرودگاه، یک سرویس دوست‌یابی و یک موسسه دولتی بود.

این، اولین بار نیست که یک عملیات که ایران مبدأ آن است، ادعا می‌کند سیستم‌های دولتی را هک کرده است؛ ادعای مشابهی توسط شبکه CIB  دیگر که قبل از انتخابات 2020 ایالات متحده از بین برده شد، نیز مطرح شده است.

- عملیات در پوشش استخدام
در ادامه این گزارش آمده است: همان‌طور که در گزارش‌های قبلی متا اشاره شده، همچنان شاهد سازمان‌های استخدامی در پشت عملیات نفوذ مخفی در سراسر جهان هستیم. نیمی از شبکه‌های موجود در این گزارش، به نهادهای خصوصی نسبت داده شده است.

این امر، یک شرکت فناوری اطلاعات در چین، یک شرکت بازاریابی در آمریکا و یک مشاوره بازاریابی سیاسی در جمهوری آفریقای مرکزی را شامل می‌شود.

- سیر تکاملی عملیات با مبدأ چین
در این گزارش، همچنین تمام شبکه‌های CIB چینی که از سال 2017 از بین برده شده، ارایه شده است. این شبکه‌ها، به شش مورد رسید که نیمی از آنها در هفت ماه گذشته گزارش شده‌اند.

آخرین حذف‌ها، نشان‌دهنده تغییر در ماهیت فعالیت CIB مستقر در چین است. اکنون با عوامل تهدید جدید، هدف‌گیری جغرافیایی جدید و تاکتیک‌های متخاصم جدید مواجه هستیم. با این حال، متا همچنان به یافتن و حذف این شبکه‌ها، قبل از اینکه مخاطب خود را پیدا کنند، ادامه می‌دهد.

این شبکه‌ها، طیفی از تاکتیک‌ها را آزمایش کرده‌اند که قبلا در عملیات‌های مستقر در چین مشاهده نشده بود؛ اگرچه سال‌ها پیش در نقاط دیگر دیده شده است مانند جمله در عملیات‌های مرتبط با   troll farmsو شرکت‌های بازاریابی و روابط عمومی.

- شرکت رسانه‌ای با استخدام نویسندگان فریلنسر
آخرین گروه، ایجاد یک شرکت رسانه‌ای در غرب، در زمینه استخدام نویسندگان آزاد فریلنسر در سراسر جهان را شامل می‌شود که پیشنهاد استخدام معترضان و همکاری با یک سازمان غیردولتی در آفریقا را داده است.

بدیهی است تهدیدات خصمانه در پاسخ به واکنش‌های متا، به تکامل خود ادامه می‌دهند و رفتارهای بدخواهانه جدید ظاهر می‌شوند. با این حال، متا همچنان به اصلاح مقررات خود ادامه می‌دهد و یافته‌هایش را به اشتراک عمومی می‌گذارد. این، یک تلاش مداوم است و ما متعهد به بهبود مستمر فعالیت‌ها هستیم تا پیشتاز و رو به جلو بمانیم.

• گزارش چک پوینت

قبل از ورود به محتوای گزارش چک پوینت که در آن به ادعای تکنیک‌های منحصربه‌فرد گروه‌های هکری ایران برای هدف قرار دادن اسرائیل اشاره شده است، باید گفت چک پوینت یک ارایه دهنده چند ملیتی آمریکایی-اسرائیلی نرم‌افزار و محصولات سخت افزاری و نرم افزاری ترکیبی برای امنیت فناوری اطلاعات، از جمله امنیت شبکه، امنیت نقطه پایانی، امنیت ابر، امنیت تلفن همراه، امنیت داده ها و مدیریت امنیت است. این شرکت از سال 2021، تقریباً 6000 کارمند در سراسر جهان دارد.

در گزارش اخیر این شرکت نیز ادعا شده که بررسی‌های چک‌پوینت (Check Point) از کشف تکنیک‌های منحصر‌به‌فردی حکایت دارد که عوامل تهدید وابسته به ایران، برای هدف قرار دادن نهادهای اسرائیلی استفاده می‌کنند.

طبق پژوهشCheck Point Research (CPR) ، یافته‌های جدید از فعالیت‌های یک گروه نزدیک به هکرهای   Phosphorusخبر می‌دهد. این پژوهش زنجیره‌ای از یک ویروس جدید و بهبودیافته‌ را ارایه می‌دهد که توسط مهاجمان استفاده می‌شود.

پژوهش چک‌پوینت، با دنبال کردن مسیر حمله، توانست با  Phosphorusبه عنوان گروه تهدیدکننده مستقر در ایران که در آمریکای شمالی و خاورمیانه فعالیت می‌کند، ارتباط برقرار کند. این گروه قبلا با طیف وسیعی از فعالیت‌ها، از باج‌افزار گرفته تا فیشینگ نیزه‌ای، از افرادی با مشخصات یادشده مرتبط بوده است.

حملات شرح‌داده‌شده در این گزارش، نشان می‌دهد عامل تهدید، مکانیسم‌های خود را به طور قابل‌توجهی بهبود بخشیده و از تکنیک‌های بسیار نادر استفاده می‌کند مانند بهره‌مندی از فایل‌های باینری دات‌نت ایجادشده در حالت ترکیبی با کد اسمبلی. نسخه جدید کشف‌شده احتمالا برای حملات فیشینگ متمرکز در عراق، با استفاده از یک فایل ISO برای شروع زنجیره، لحاظ شده است.

سایر اسناد داخل فایل ISO به زبان‌های عبری و عربی بود که نشان می‌دهد این تله‌ها به سمت اهداف اسرائیلی بوده است. واحد پژوهش چک‌پوینت، تصمیم گرفت این خوشه فعالیت را با عنوان Educated Manticore دنبال کند.

از سال 2021، مجموعه جدیدی از فعالیت‌ها که پیوند مشخصی با ایران دارد، توجه جامعه هوشمند تهدید (threat intelligence community) را به خود جلب کرده است. ماهیت تهاجمی تهدید جدید، در ترکیب با پیوند آنها با استقرار باج‌افزار، منجر به تجزیه و تحلیل کامل فعالیت‌ها شد.

با تکامل فعالیت‌ها، ایجاد پیوند بین خوشه‌های مختلف سخت‌تر شده است. در حالی که دو سر طیف این فعالیت‌ها به طور قابل توجهی متفاوت است، جامعه هوشمند تهدید حتی یک بار به فعالیتی برخورد نکرده که به راحتی با خوشه‌های شناخته‌شده مطابقت داشته باشد.

گزارش قبلی CPR، یکی از نمونه‌ها و هم‌پوشانی‌های بهره‌برداری Log4J را با یک برنامه اندرویدی که قبلا به APT35 مرتبط بود، توصیف کرد. گونه‌ای که در این گزارش توضیح داده شده، با استفاده از فایل‌های ISO تحویل داده شده که این امر نشان می‌دهد احتمالا ناقل ویروس اولیه است.

در پایان این گزارش نیز آمده است: از آنجا که نسخه به‌روزشده، بدافزاری است که قبلا گزارش شده، این نوع ویروس (PowerLess)، مرتبط با برخی عملیات باج‌افزار  phosphorousممکن است تنها مراحل اولیه آلودگی را نشان دهد و بخش قابل توجهی از فعالیت‌های پس از آلودگی، هنوز کشف‌نشده باقی بماند. (منبع:عصرارتباط)