ITanalyze

به گفته محققان، یک گروه هکر ایرانی تمرکز خود را بر روی سیاست‌مداران آمریکایی و زیرساخت‌های حیاتی این کشور گسترش می‌دهد. پژوهشگران شرکت امنیت سایبری پروف پوینت (Proofpoint)، حمله سایبری به وابستگان نزدیک جان بولتون مشاور سابق امنیت ملی آمریکا را که اوت 2022 در واشنگتن مشاهده شد، به یک گروه هکر ایرانی موسوم به TA453 نسبت دادند.

به گزارش عصر ارتباط اج ویسنس در سایبر اسکوپ (cyberscoop) نوشت بر اساس ادعای شرکت امنیت سایبری پروف پوینت، یک گروه هکر ایرانی که قبلا تصور می‌شد عمدتا روی دانشگاهیان، روزنامه‌نگاران و کارکنان حقوق بشر تمرکز می‌کند، اکنون سیاستمداران، زیرساخت‌های حیاتی و محققان پزشکی ایالات متحده را در فهرست اهداف خود قرار داده است.

در گزارش اخیر، گروهی که به نام TA453 شناخته می‌شود، در دو سال گذشته، بی‌سروصدا حملات غیرطبیعی را به مجموعه خود اضافه کرده و ظاهرا با همکاری نزدیک‌تر با بازیگران ایرانی، کار خود را پیش می‌برد.

در این زمینه، شرود دگریپو، معاون تحقیقات و کشف تهدید شرکت امنیت سایبری پروف پوینت مدعی شد این فعالیت بازتاب حمایت موقت احتمالی از عملیات خصمانه بازیگران دولتی ایران، است.

او می‌گوید: این گروه طی چند سال گذشته بسیار پرمشغله بوده است و تنها در سال 2022، محققان ما این گروه را با استفاده از تکنیک مهندسی اجتماعی که آن را «جعل هویت چندشخصی» نامیده‌ایم، مشاهده کرده‌‌اند. اکنون مشاهدات خود را درباره کمپین‌های غیرعادی به اشتراک می‌گذاریم که در آن، گروه هکریTA453 ، از تکنیک‌های فیشینگ استاندارد و شناسایی قربانیان هدف، به سمت‌وسوی دیگر تغییر مسیر داده است.

یافته‌های بیشتر محققان نشان می‌دهد گروه TA453 که به نام‌های Charming Kitten، فسفر و APT42 نیز شناخته می‌شود، ممکن است بیش از آنچه قبلا تصور می‌شد نگران‌کننده باشد و به ابزار مهم برای دولت ایران به منظور اجرای کمپین‌های جاسوسی دیجیتال در حمایت از سایر عملیات‌ها تبدیل شود.

به گفته محققان، با تنظیم رویکردها در راستای پاسخ به اولویت‌های همیشه در حال تغییر و گسترش، کمپین‌های مشاهده‌شده توسط Proofpoint احتمالا ادامه می‌یابد.

حملات متفرقه و پراکنده که گروه امنیت سایبری پروف پوینت به TA453 نسبت داده، کمپین‌هایی برای هدف قرار دادن محققان پزشکی، آژانس‌های مسافرتی، یک مهندس هوافضا و یک مشاور املاک است که در فروش خانه‌های متعدد در نزدیکی مقر فرماندهی مرکزی ایالات متحده در تامپا واقع در ایالت فلوریدا نقش داشته است.

به گفته وزارت دادگستری ایالات متحده، پروف پوینت، همچنین از بدافزاری نام برده که منحصرا توسط TA453 برای هدف قرار دادن وابسته نزدیک به جان بولتون مشاور امنیت ملی پیشین آمریکا استفاده شده است. این گروه همچنین بر اهداف ایران مانند برنامه فضایی نوپای کشور، آژانس‌های مسافرتی و محققانی که در دانشگاه‌های آمریکای شمالی در زمینه زنان و مطالعات جنسیتی تحقیق می‌کنند، متمرکز است.

تکنیک‌ها و تاکتیک‌های مورد استفاده در کمپین‌های متفرقه نیز توجه محققان را به خود جلب کرد.

در سال 2021، پس از اظهارنظر یک مقام دولت ایالات متحده درباره برجام (برنامه جامع اقدام مشترک)، گروه TA453 با استفاده از یک حساب ایمیل در معرض خطر متعلق به یک خبرنگار محلی ناشناس، دبیر مطبوعاتی این مقام را هدف قرار داد. تاکتیک قابل توجه دیگر، شامل استفاده از نام سامانتا ولف، شخصیتی بود که گروه در کمپین‌های مهندسی اجتماعی از آن استفاده می‌کند.

محققان می‌گویند از شخصیت ولف، حداقل سه بار در سال 2022 استفاده شده و از فوریه یا مارس از طریق ایمیل‌، مکالمه‌ به یک شرکت انرژی خاورمیانه ناشناس و همچنین ایمیل متخاصم به یک دانشگاه مستقر در ایالات متحده ارسال شده است.

به گفته این پژوهشگران، در اواخر ماه آوریل، سامانتا یک proofpoint دانشگاهی مستقر در ایالات متحده را هدف قرار داد که قبلا توسط مجموعه‌های نفوذی ایران از جمله رویکردهای سنتی TA453 هدف قرار گرفته بود. این فریب، قالب معمولی TA453 را شکست و از تاکتیک‌های مقابله‌ای استفاده کرد.