هکرهای ایرانی، مظنون اول نشت اطلاعات محرمانه یک شرکت مالی در اسرائیل

احمد باطبی

شرکت اسرائیلی «کی‌اس‌ال کپیتال» (K.L.S. Capital Ltd) که در حوزه اعطای وام و امور مالی فعالیت می‌کند اعلام کرد که دهم مارس (۲۰ اسفند) سِرورهایش توسط یک گروه هکری به نام «سایه سیاه» (Black Shadow) هک شده و اطلاعات محرمانه‌ مشتریانش، مانند عکس‌های خصوصی، تصاویر کارت‌های شناسایی و گواهینامه، اسکن چک و اطلاعات وام، به سرقت رفته است.

این شرکت در بیانیه کوتاهی که در وبسایت خود منتشر کرد عامل این نفوذ و هک را گروه سایه سیاه «وابسته به یک دولت متخاصم» معرفی کرده است.

این شرکت همچنین گفته بخشی از این اطلاعات محرمانه در کانال تلگرامی آن گروه منتشر شده است.

هکرهای سایه سیاه در این کانال تلگرامی خطاب به شرکت اسرائیلی نوشته است که با هک سِرورهای این شرکت، اطلاعات محرمانه آن استخراج شده و اگر مبلغ ۱۰ بیت‌کوین (در حال حاضر حدود ششصد هزار دلار آمریکا) به این گروه پرداخت نشود این اطلاعات در اختیار عموم قرار خواهد گرفت.

پس از آنکه شرکت اسرائیلی با پرداخت این مبلغ مخالفت کرد، بخشی از اطلاعات سرقت‌شده در تلگرام به صورت عمومی منتشر شد. هکرها گفته‌اند که اگر این شرکت ظرف ۷۲ ساعت آینده مبلغ درخواست شده را پرداخت نکند، انتشار تدریجی اطلاعات محرمانه ادامه خواهد داشت. 

شرکت کی‌اس‌ال کپیتال یک شرکت مالی ارائه‌کننده وام خودرو با حدود ۱۷ سال سابقه است که دست‌کم بیست کارمند و بیش از ۲۶ هزار مشتری دارد. گمان می‌رود که گروه سایه سیاه اطلاعات تمامی مشتریان را به سرقت برده باشد.

نشریه جروزالم پست نوشت که مدیر این شرکت اسرائیلی در یکی از ایمیل‌هایش به هکرها گفته: «این کار ساده‌ای است. لطفا بگویید که محمد پیامبر نیست، چون اگر این طور پول‌ها [باج گیری اینترنتی] را می‌خورید یا مسلمان نیستید یا به جمهوری اسلامی وابستگی ندارید».

مدیرعامل این شرکت به جروزالم پست گفت: ما از هکرهای ایرانی ضربه‌های فراوانی خورده‌ایم. آنها به شکل سنتی به دنبال ضربه زدن به دولت اسرائیل هستند و کمتر دیده شده که با این شیوه‌ها به دنبال اخاذی اینترنتی باشند. این آسیب پذیری در مقابل هکرها نشانگر آن است که ما زیاد هم قوی نیستیم.

به نوشته این نشریه اسرائیلی، هکرها در پاسخ به مدیر کی‌اس‌ال کپیتال گفته‌اند که آنها واقعا به دنبال پول هستند و بهتر است که وقت تلف نکنند.

گروه هکری سایه سیاه دسامبر گذشته نیز سِرورهای شرکت بیمه «شیربیت» در اسرائیل را هک کرد و اطلاعات محرمانه مشتریان آن را که عموما از کارکنان دولت و بخش نظامی اسرائیل هستند، به سرقت برد.

شرکت شیربیت یکی از شرکت‌های مهم و سرشناس صنعت بیمه در اسرائیل محسوب می‌شود و این گروه هکری بخش زیادی از اطلاعات محرمانه آن را در کانال تلگرامی خود منتشر کرده است.

سایه سیاه برای متوقف کردن انتشار اسناد محرمانه یک میلیون بیت‌کوین از شرکت شیربیت درخواست کرد. اما پس از عدم توافق برای دریافت این مبلغ، اطلاعات سرقت شده را در معرض فروش قرار داد.

کانال ۱۲ اسرائیل نیمه دسامبر گذشته اعلام کرد بسته اول از اطلاعات محرمانه شرکت شیربیت توسط گروه سایه سیاه فروخته شده و این گروه قصد دارد که بسته دوم را هم به فروش برساند. نقل و انتقالات بیت‌کوین در کیف اینترنتی این گروه هکری در آن زمان ظن فروش اطلاعات را تقویت می‌کرد.

اندکی بعد «اینات میرون»، از مشاوران امنیت سایبری در اسرائیل، در گزارشی اعلام کرد که به احتمال فراوان گروه هکری سایه سیاه با استفاده از ضعف امنیتی موجود در سرویس شبکه مجازی خصوصی (VPN) که از سوی شرکت‌هایی همچون Fortinet و Pulse ارائه می‌شد توانسته‌اند به شبکه داخلی شرکت بیمه شیربیت نفوذ کند و اطلاعات محرمانه آنها را به سرقت ببرد.

آسیب پذیری‌های مربوط به وی‌پی‌ان در دو سال اخیر باعث هک شدن شبکه بسیاری از شرکت‌های خصوصی و دولتی در سراسر جهان شده است.

برخی از سازمان‌های رصد کننده تحرکات سایبری بنا به دلایل مختلف معتقدند که سیاه سیاه از جمله گروه‌های هکری است که از سوی جمهوری اسلامی تامین و هدایت می‌شود. از جمله این دلایل شباهت عملکرد این گروه در هک شرکت شیربیت با حملات باج‌افزاری موسوم به Pay2Key است.

در آخرین مورد از این دست حملات سایبری، ابتدای اکتبر گذشته هکرهای ایرانی با استفاده از باج‌افزاری به نام پی‌توکی اهدافی را در اسرائیل و اروپا مورد حمله قرار داده و مبالغ هنگفتی مطالبه کردند.

شرکت آمریکایی-اسرائیلی «چک‌پوینت»، کاشف این حمله باج‌افزاری، در گزارشی اعلام کرد که رهگیری باج دریافت شده توسط هکرها به یکی از کیف‌های اینترنتی در وبسایت ایرانی excoino متعلق به «شرکت دانش‌بنیان اکسکوینو» ختم شده که بیانگر حضور گردانندگان این باج‌افزار در خاک ایران است. شرکت اکسکوینو از جمله شرکت‌های فعال در حوزه پول اینترنتی است که از سال ۱۳۹۶ کار خود را به صورت رسمی در ایران آغاز کرده و در حوزه دور زدن تحریم‌های ایالات متحده از طریق تبدیل پول به بیت‌کوین نقش پررنگی داشته است.

پس از هک شرکت بیمه شیربیت، خبرگزاری فارس، نزدیک به سپاه پاسداران انقلاب اسلامی، بدون اظهار نظر در خصوص وابستگی هکرها از جمله منابع منتشرکننده خبر حمله به شرکت بیمه شیربیت بود.

وبسایت Iranian Cyber News Agency نیز در همان زمان مدعی شد که از طریق ایمیل با گروه هکری سایه سیاه گفت‌وگو کرده و از آنها پرسیده که آیا حمله به وبسایت‌ها و شرکت‌های اسرائیلی از سوی این گروه و با هدف انتقام خون محسن فخری‌زاده، سردار سپاه پاسداران انقلاب اسلامی، معاون وزیر دفاع و ریاست سازمان پژوهش‌های نوین دفاعی صورت گرفته است. این وبسایت نوشته گفت‌وگو با این گروه نشان داد که آنها مجرمان سایبری هستند که برای سود مالی اقدام به نفوذ و هک کرده و هیچ ارتباطی با موضوع انتقام سخت از اسرائیل ندارند.

گروه سایه سیاه تنها گروه هکری است که یک وبسایت اخبار سایبری مدیریت‌شده در داخل ایران به هویت و انگیزه آنها برای حمله به اهداف اسرائیلی علاقه نشان داده است.

تاکنون هیچ مدرک قابل استنادی در خصوص ایرانی بودن هکرهای گروه سایه سیاه از سوی سازمان‌های رصد کننده تحرکات سایبری این گروه منتشر نشده است.

«اوهد زایدنبرگ»، محقق ارشد اطلاعات سایبری در شرکت امنیتی کلیراسکای، به وبسایت بلیپینگ کامپیوتر گفت که این شرکت هنوز هیچ ارتباطی بین باج‌افزار Pay2Key و گروه هکری سایه سیاه پیدا نکرده است.