3 هکر ایرانی در فهرست تحتتعقیبترین FBI
تحت تعقیبترین هکرهای ایرانی جهان چه کسانی هستند؟ شاید کسانی که برای دستگیریشان، 10 میلیون دلار جایزه تعیین شده است.
فهرست افراد تحت تعقیب اداره تحقیقات فدرال (FBI) به لیست بلندبالایی از هکرهای و بازیگران تهدید دولت- ملت از سراسر جهان افزایش یافته است.
بروس ساسمن و دیوید اشتاینبرگ زویرک، با ارایه گزارش کوتاهی در بلکبری با پرداختن به جدیدترین گزارش و افراد تحت تعقیب FBI به انتشار عکس و نام سه ایرانی به نامهای م.ا، ا.خ.ع و ا.ح.ن.آ.ر پرداخت (در ترجمه نام افراد خلاصه شده است) که از جدیدترین بازیگران این حوزه هستند که نام آنها در صفحه «تحتتعقیبترین بازیگران سایبری» وجود دارد.
بر اساس این گزارش یک هیات منصفه بزرگ فدرال ایالات متحده این سه نفر را در آگوست 2022 متهم کرد اما آنها هنوز آزاد هستند.
باجافزار و قانونشکنی
وزارت دادگستری ایالات متحده آمریکا معتقد است این بازیگران سایبری، طیف گستردهای از سازمانهای مستقر در ایالات متحده، بریتانیا، اسرائیل و نقاط دیگر، حتی داخل ایران را نیز هدف قرار دادند.
آنها متهم به حملات باجافزار علیه مشاغل کوچک، سازمانهای دولتی، غیرانتفاعی و مؤسسات آموزشی و مذهبی هستند.
قربانیان همچنین شامل چندین بخش زیرساخت حیاتی، از جمله مراکز مراقبتهای بهداشتی، خدمات حملونقل و ارایهدهندگان خدمات بودند. بر اساس اسناد دادگاه، این سه نفر و همکارانشان دسترسی غیرقانونی به شبکه پیدا کردند، دادهها را استخراج کردند، آنها را رمزگذاری کردند و سپس از صدها قربانی اخاذی کردند.
شرکتهای حسابداری در ایلینویز و نیوجرسی، یک شرکت مسکن عمومی در ایالت واشنگتن، پناهگاهی در پنسیلوانیا برای قربانیان خشونت خانگی، شرکتهای برق منطقهای در میسیسیپی و یک شرکت ساختمانی واقع در ایالت واشنگتن که روی پروژههای زیرساختی حیاتی کار میکند و انجمن وکلای ایالتی، مورد حملات سایبری این افراد قرار گرفتند.
ارتباط با گروه APT تحت حمایت دولت
دفتر کنترل داراییهای خارجی وزارت خزانهداری ایالات متحده (اوفک)، مدعی شده این سه نفر وابسته به یک نهاد در ایران هستند و گروه وابسته به آنها با حملاتی مرتبط بوده که بدافزار را برای منافع مالی و همچنین جمعآوری اطلاعات مستقر میکند.
اهداف بازیگران تهدید سایبری
افبیآی، آژانس امنیت سایبری و امنیت زیرساخت (CISA)، مرکز امنیت سایبری استرالیا (ACSC) و مرکز امنیت سایبری ملی (NCSC) معتقدند این بازیگران به جای هدف قرار دادن بخشهای خاص، روی بهرهبرداری از آسیبپذیریهای شناختهشده تمرکز دارند.
در ادامه این گزارش ادعا شده: بازیگران وابسته به دولت میتوانند از این دسترسی برای عملیاتهای بعدی، مانند استخراج یا رمزگذاری دادهها، باجافزار و اخاذی برای اهداف بالقوه جاسوسی، اختلال و سود مالی استفاده کنند.
ToolsBitLocker قابل توجه برای رمزگذاری اسکریپتهای PowerShel عبارتند از:
بدافزار TunnelFish، یک کلاینت پروکسی معکوس سریع (FRP) که برای دسترسی اولیه استفاده میشود، DiskCryptor برای رمزگذاری، Mimikatz برای سرقت اعتبار، WinPEAS برای افزایش امتیاز SharpWMI ابزار مدیریت ویندوز و WinRAR برای بایگانی دادههای جمعآوریشده و FileZilla برای انتقال فایل.
فعالیتهای این بازیگر تهدیدکننده سایبری که توسط FBI و CISA مشاهده شده، عبارتند از:
مارس 2021: این گروه، پورتهای 4443، 8443 و 10443 را برای دستگاههای آسیبپذیر در برابر آسیبپذیریهای Fortinet FortiOS CVE-2018-13379، CVE-2020-12812 و CVE-2019-5591 اسکن کرد.
می 2021: این گروه از یک محصول Fortigate، برای دسترسی به وبسروری که دامنه را برای یک شهرداری ایالات متحده میزبانی میکند، بهرهبرداری کرد.
ژوئن 2021: این گروه از یک محصول Fortigate، برای دسترسی به شبکههای کنترل محیطی، مرتبط با بیمارستان متخصص مراقبتهای بهداشتی برای کودکان در ایالات متحده، بهرهبرداری کرد.
در این زمینه، FBI و CISA، مدعی هستند که بازیگران APT احتمالا از یک سرور فرمان و کنترل (C2) مختص به آدرسهای IP مرتبط با فعالیتهای سایبری دولت ایران، برای فعال کردن فعالیتهای مخرب علیه شبکه بیمارستان استفاده کردهاند.
سپتامبر و اکتبر 2021: بازیگران از آسیبپذیری Microsoft Exchange ProxyShell – CVE-2021-34473 و همچنین یک آسیبپذیری Log4j برای استقرار TunnelFish برای دسترسی اولیه به سیستمها، قبل از عملیات بعدی استفاده کردند. (منبع:عصرارتباط)