هکرهای ایرانی در دوران پسااستاکسنت

سمیه مهدویپیام
برای سالها، ایران سعی کرده از طریق حملات سایبری و کمپینهای اطلاعاتی، بر سیاست خارجی ایالات متحده تأثیر بگذارد. در حالی که هکرهای ایرانی، به اندازه هکرهای کشورهای دیگر با حمایت دولتی، مانند کرهشمالی، چین یا روسیه، شناختهشده و توانمند نیستند، اما همچنان، تهدید تلقی میشوند و عملیات سایبری آنها، روزبهروز، پیچیدهتر میشود.
در حالیکه در طول سالها راهبری پروژه ایرانهراسی سایبری و درخواست مقامات کشور برای ارایه مستندات از حملات هکری منتسب به ایران، بیپاسخ مانده است، سایت سایبر نیوز در گزارشی نوشت، طبق ادعاهای مطرحشده، در انتخابات ریاستجمهوری اخیر آمریکا، هکرهای ایرانی موفق شدند به کمپینهای دو حزب جمهوریخواه و دموکرات نفوذ کنند. آنها مسئول بزرگترین حمله و افشای اطلاعات پس از نفوذ روسیه به کمپین هیلاری کلینتون در سال ۲۰۱۶ بودند.
• آغاز حملات سایبری ایران
یک رویداد مهم که به تلاشهای سایبری ایران کمک کرد و آنها را به سمت کشورهای خارجی سوق داد، استفاده از استاکسنت بود؛ کرمویروسی که توسط ایالات متحده و اسرائیل، حدود سال ۲۰۰۷، توسعه یافت و علیه ایران استفاده شد. این عملیات منجر به خرابکاری در سانتریفیوژهای غنیسازی اورانیوم ایران شد، در حالی که حملات سایبری بعدی توسط آمریکا و متحدانش، زیرساختهای مختلف کشور، از جمله بخش مالی را هدف قرار داد.
ایران در سال ۲۰۱۰، استاکسنت را کشف کرد و در نتیجه، فرماندهی دفاع سایبری را تشکیل داد که دپارتمان جدیدی برای حفاظت از سیستمهای اطلاعاتی داخلی در برابر نفوذ دشمنان خارجی به شبکههای کلیدی بود. با این حال، ایران همچنین منابع اطلاعاتی، امنیتی و صنعتی خصوصی خود را به سمت هدف قرار دادن و نفوذ به شبکههای دشمنان، هدایت کرد.
• مداخله در انتخابات آمریکا
طبق ادعاهای مطرحشده، بخش قابلتوجهی از تلاشهای سایبری ایران، تا به امروز، معطوف به تأثیرگذاری بر دشمنان، از جمله ایالات متحده، اسرائیل و متحدان آنها بوده است. چندین گروه هکری تحت حمایت دولت ایران، سال گذشته به کمپینهای انتخابات ریاستجمهوری آمریکا حمله کردند و موفق شدند ایمیلهای هر دو حزب دموکرات و جمهوریخواه را هک کنند.
در سپتامبر، ایالات متحده سه هکر منتسب به ایران را، به دلیل هدف قرار دادن اعضای کمپین انتخاباتی دونالد ترامپ، متهم کرد. طبق کیفرخواست، این هکرها با شبیهسازی خود به عنوان مقامات دولتی آمریکا، از طریق فیشینگ هدفمند، مدارک و ارتباطات را بهدست آوردند و سپس برای افشای آنها در رسانهها تلاش کردند.
گزارش قبلی سرویس اطلاعات تهدید گوگل (GTI) Google Threat Intelligence پیش از کیفرخواست، حملات به کمپینهای ریاستجمهوری آمریکا را به گروه هکری APT42 نسبت داده بود که منتسب به ایران است. گروه APT42، به دلیل انجام کمپینهای هدفمند علیه افراد برجسته، از جمله مقامات دولتی، دیپلماتها و کمپینهای سیاسی، بهویژه در ایالات متحده و اسرائیل، شناخته شده است.
طبق ادعای گوگل، گروه APT42، از تاکتیکهای مختلف، مانند میزبانی بدافزار، صفحات فیشینگ و تغییر مسیرهای مخرب، در کمپینهای فیشینگ ایمیل استفاده میکند. این گروه، معمولاً سعی میکند از سرویسهایی مانند گوگل، دراپباکس، واندرایو و دیگر موارد، برای این اهداف استفاده کند.»
• گروه APT33 و دیگر بازیگران تهدید
گروه هکری دیگر منتسب به ایران، APT33 است که به نامهای دیگر مانند Elfin، NewsBeef،Holmium و Peach Sandstorm نیز شناخته میشود. محققان امنیتی، اغلب بر اساس تحلیلهای خود، برچسبهای مختلفی به بازیگران تهدید اختصاص میدهند.
گروهElfin ، از سال ۲۰۱۳ فعالیت خود را آغاز کرده و عمدتاً آمریکا، اروپا و خاورمیانه را هدف قرار میدهد. در یکی از حملات اخیر گزارششده، Elfin از Tickler، به عنوان یک درب پشتی چندمرحلهای سفارشی جدید، برای هدف قرار دادن سازمانهایی در بخشهای دفاعی، فضایی، آموزشی و دولتی ایالات متحده و استرالیا، استفاده کرده است.
طبق ادعای مایکروسافت، گروه Elfin، پروفایلهایی در لینکدین ایجاد میکند که در آن، افراد خود را به عنوان دانشجویان، توسعهدهندگان و مدیران جذب استعدادهای مستقر در ایالات متحده و اروپای غربی، معرفی و عمدتاً از این ابزار، برای جمعآوری اطلاعات استفاده میکنند.
گروه دیگری به نام Olirig، که با نامهای APT34،Earth Simnavaz و Helix Kitten نیز شناخته میشود، اخیراً تلاشهای خود را برای هدف قرار دادن زیرساختها در منطقه خاورمیانه تشدید کرده است. در سالهای اخیر، Olirig حملات برجستهای را به زیرساختهای حیاتی، بهویژه در بخشهای انرژی و مخابرات، انجام داده است. برای مثال، در سال ۲۰۲۰، این گروه به نقض عمده در یک شرکت انرژی در امارات متحده عربی متهم شد؛ جایی که بدافزار سفارشی برای دسترسی به شبکه، نفوذ به دادههای حساس و اختلال در عملیاتها، استفاده شده است.
• بیشترین مصرفکنندگان هوش مصنوعی
در ادامه این گزارش ادعا شده، اخیراً برخی از هکرهای ایرانی مشاهده شدهاند که به طور فعال از جدیدترین ابزارهای هوش مصنوعی بهرهبرداری میکنند. اگرچه استفاده هکرهای سایبری و مجرمان دولتی از ابزارهای هوش مصنوعی، موضوع پنهانی نیست، اما به نظر میرسد ایران با شدت خاصی از این ابزارها استفاده میکند.
گوگل در گزارش اخیر خود، هشدار داد مجرمان سایبری تحت حمایت دولتها مانند ایران، از کاربران پرمصرف چتبات Gemini هستند. این شرکت، متوجه شد ۲۰ کشور از جمله کرهشمالی، روسیه، چین و گروههای هکری تحت حمایت دولت ایران، از پرتعدادترین کاربران این ابزار بودهاند.
طبق ادعای گوگل: «استفاده آنها، بازتاب منافع استراتژیک ایران، از جمله تحقیقاتی است که بر سازمانها و کارشناسان دفاعی، سیستمهای دفاعی، دولتهای خارجی، مخالفان فردی، درگیری اسرائیل- حماس و مسائل اجتماعی ایران، متمرکز بود.»
در مجموع، گوگل، 10 گروه هکری تحت حمایت دولت را شناسایی کرد که از Gemini استفاده میکنند. بیش از ۳۰ درصدِ این استفادهها، به گروه APT42 مربوط میشد؛ همان گروهی که پشت هکهای کمپینهای دموکراتها و جمهوریخواهان در انتخابات ریاستجمهوری اخیر آمریکا قرار داشت.
در گزارش گوگل آمده است: «علاوه بر جمعآوری اطلاعات، APT42، از قابلیتهای تولید و ویرایش متنGemini ، برای تولید مطالبی به منظور کمپینهای فیشینگ، از جمله تولید محتوا با مضامین امنیت سایبری و تطبیق خروجیها برای یک سازمان دفاعی ایالات متحده استفاده کرد.» (منبع:عصرارتباط)
زنده باد گروه سایبری ایران عزیز