حملات گسترده هکرهای وابسته به حکومت ایران در تعطیلات کریسمس

گزارش مراکز رصد امنیت سایبری نشان از آن دارد که گروه هکری وابسته به جمهوری اسلامی، موسوم به «بچه گربه‌های جذاب» در دو ماه اخیر و به ویژه در تعطیلات آخر سال میلادی اقدام به حملات گسترده‌ای برای نفوذ به رایانه‌ها و ایمیل‌های شمار زیادی از اندیشکده‌ها و همچنین اساتید دانشگاه‌ها و فعالان مختلف در جهان کردند. شیوه اصلی این گروه هکری نیز استفاده از فیشینگ بوده است.

***

یک گروه از هکرهای وابسته به جمهوری اسلامی، موسوم به «بچه گربه‌های جذاب» (Charming Kitten) همزمان با تعطیلات سال نو میلادی ده‌ها فرد و نهاد را در سراسر جهان از طریق حملات «فیشینگ» هدف قرار دادند.

مرکز «سرتفا» که موضوع امنیت سایبری و تهدید‌های مرتبط با هکرهای وابسته به جمهوری اسلامی را رصد می‌کند، در گزارشی فاش کرد که گروه هکری «بچه‌ گربه‌های جذاب» از تعطیلات کریسمس و روزهای آخر سال میلادی استفاده کرد و حملات خود را به بالاترین سطح گسترش داد.

در این گزارش گفته شده که مهاجمان با اطلاع از اینکه بسیاری از شرکت‌ها و سازمان‌ها به دلیل تعطیلات پایان سال در حال تعطیلی یا نیمه‌تعطیلی هستند و دسترسی کاملی به بخش‌های پشتیبانی ندارند، اقدام به حمله کردند.

بنابر این گزارش، بسیاری از اندیشکده‌ها، مراکز تحقیقات سیاسی، اساتید دانشگاه‌ها، روزنامه‌نگاران و فعالان محیط زیست در کشورهای مختلف، از آمریکا گرفته تا اروپا و کشورهای حاشیه خلیج فارس را هدف قرار دادند.

این حملات که از پاییز ۲۰۲۰ آغاز شده بود عملا در زمستان ۲۰۲۰ به اوج رسید و شیوه هک کردن‌ها عمدتا بر اساس «فیشینگ» بود.

فیشینگ (phishing) به نوعی از حملات سایبری گفته می‌شود که مهاجم از طریق فریب قربانی و تشویق او به دریافت فایل آلوده یا اجرای لینک آلوده، به سیستم کامپیوتر، موبایل، ایمیل و دیگر دستگاه‌ها و مخازن اطلاعات قربانی دسترسی می‌یابد و آن را سرقت می‌کند. در مرسوم‌ترین شکل این حمله، «فیشر» یا مهاجم با ایجاد یک صفحه جعلی، مشابه صفحات سرویس‌های ایمیل (مانند جی‌میل و یاهو) یا شبکه‌های اجتماعی یا وبسایت‌های خرید مجازی قربانی را تشویق می‌کند که نام کاربری، رمز عبور یا اطلاعات بانکی خود را وارد کند. به این ترتیب، مهاجم به این اطلاعات دسترسی می‌یابد و آن را سرقت می‌کند.

در نوع دیگر فیشینگ نیز مهاجم با فریب دادن قربانی، او را به کلیک روی پیوندی آلوده سوق می‌دهد و پس از آن، گزینه دسترسی از راه دور فعال می‌شود و مهاجم می‌تواند کد‌های مخرب را در کامپیوتر قربانی اجرا کند.

گروه «بچه گربه‌های جذاب» که در صنعت امنیت سایبری با عنوان‌های APT35 و Phosphorus نیز شناخته می‌شود، حملات اخیر خود را از طریق اشکال مختلف فیشینگ سامان می‌داد.

یکی از این اشکال فرستادن پیامک‌های جعلی به تلفن همراه قربانی بود. به این ترتیب که هکرها با ارسال یک پیامک جعلی که به ظاهر از طرف گوگل فرستاده شده بود، از قربانی می‌خواستند برای بازیابی حساب کاربری‌اش روی یک لینک کلیک کند تا در آنجا هویت او احراز شود. لینک ارسالی برای قربانی در واقع با استفاده از یکی از سرویس‌های گوگل ساخته شده بود و در ظاهر بدون ایراد به نظر می‌آید. اما قربانی با یک بار کلیک بر روی این پیوند، به صورت زنجیره‌ای به چند آدرس دیگر منتقل می‌شد تا در نهایت به پیوند اصلی مربوط به صفحه فیشینگ برسد. تصویر یکی از این پیامک‌ها را در زیر می‌بینید:

نمونه‌ای از حملات با استفاده از آدرس گوگل را نیز می‌توانید اینجا ببینید.

در مورد ایمیل‌های جعلی نیز روشی مشابه به کار رفته بود. مهاجمان با ارسال ایمیل‌هایی حاوی لینک‌های آلوده، با عباراتی فریبنده مانند «سال نو مبارک»، «امسال تصمیم گرفتم دوستانم را با آخرین کتابم خوشحال کنم» یا «این هم از هدیه کریسمس من برای شما» می‌فرستادند. نمونه‌ای از این ایمیل‌های فیشینگ را در زیر می‌بینید:

مهاجمان برای دوری از جلب توجه و به جا نگذاشتن رد پا، حتی پس از هک کردن ایمیل قربانی نیز دسترسی او به ایمیل‌ها را قطع نمی‌کردند.

کارشناسان مرکز سرتفا در رصدهای خود دریافته‌اند که هکرها به شکل ویژه‌ای تحرکات قربانیان خود را زیر نظر داشته و در مواقع مناسب و طبق برنامه برای آنها ایمیل‌های دوم یا سوم را ارسال می‌کردند.

استفاده از سرویس‌های مجاز و قانونی برای پنهان سازی خلافکاری‌های سایبری یکی از شیوه‌های مرسومی است که هکرها، به طور مشخص در حملات نوع فیشینگ، از آنها بهره می‌گیرند.

گروه هکری «بچه‌گربه‌های جذاب» از سال ۲۰۱۹ تاکنون بارها از سرویس‌های قانونی برای پنهان کردن صفحات فیشینگ استفاده کرده‌اند. دو سرویس گوگل، شامل site.google.com و script.google.com، از جمله این سرویس‌هاست. 

اما این گروه هکری در حملات اخیر خود از ترکیب script.google.com و iplogger.org استفاده کرده است. تصویر زیر مجموعه‌ای از پیوند‌های زنجیره‌ای را که در این حمله از آن‌ها استفاده می‌شد را نشان می‌دهد.

این گروه هکری وابسته به جمهوری اسلامی پیشتر برای جلب اعتماد قربانیان از نام‌ها و نشان‌های معتبری مانند نشریه وال‌استریت جورنال، سی‌ان‌ان و دویچه‌وله استفاده کرده بود. این گروه در حملات اخیر نیز از اسامی و نشانی‌های مشابه، نظیر «نیوز ۱۲»، «نیویورکر»، و recover-session-service.site استفاده کرد.

بررسی‌های سرتفا همچنین نشان می‌دهد که گروه «بچه گربه‌های جذاب» علاوه بر حمله به کاربران سرویس‌هایی همچون گوگل، یاهو یا اوت‌لوک، به سرویس‌های دیگری همچون «پلنت» نیز حمله کرده‌اند؛ سرویس‌هایی که کارشان ارائه خدمات ماهواره‌ای آنلاین به دولت‌ها، ارتش‌ها و شرکت‌ها است. این موضوع نشانگر دامنه گسترده اهدافی است که در دستور کار این گروه از هکرهای حکومتی قرار گرفته است.

مرکز سرتفا می‌گوید بررسی «Reverse IP/DNS lookup» و انطباق آن با تاریخچه موجود، بررسی اطلاعات ثبتی دامنه‌های عادی و محافظت شده، به کارگیری موازی «DNS» پویا و تطبیق آن با سوابق نشان می‌دهد که گروه هکری «بچه گربه‌های جذاب» در ماه‌های اخیر به شکل دائم فعال بوده و دامنه فعالیت‌های آنها از کارزار قبلی‌شان در سال‌ ۲۰۱۹ نیز گسترده‌تر شده است.

«سرتفا» نتیجه گرفته است که این گروه هکری وابسته به حکومت ایران، علاوه بر گسترش فعالیت‌ها و به کارگیری شیوه‌های جدید و پیچیده، در مسیری حرکت می کند که نیازها و علاقه‌های نهاد‌های اطلاعاتی جمهوری اسلامی برآورده شود. «سرتفا» به کاربران توصیه کرده از شیوه‌های احراز هویت ایمن‌تر استفاده کنند از ابزارهای احراز هویت دومرحله‌ای برای حساب‌های آنلاین خود کمک بگیرند. پرهیز از باز کردن لینک‌های مشکوک و همچنین اجتناب از دانلود فایل‌های ناشناخته نیز از دیگر توصیه‌های مورد تاکید این مرکز است.

سرتفا همچنین در انتهای گزارش خود گوشزد کرده که حملات گروه هکری «بچه گربه‌های جذاب» همچنان ادامه دارد و حتی در روزهای اخیر نیز شدت یافته است.

از همین بلاگ بخوانید

بزرگ‌ترین فروشگاه غیرقانونی در وب تاریک شناسایی و حذف ش

عوامل سایبری جمهوری اسلامی، مقام‌های انتخاباتی آمریکا را تهدید می‌کنند