حمله سایبری هکرهای حکومتی ایران به محققان حوزه درمان در آمریکا و اسرائیل

احمد باطبی

گروه امنیت سایبری پروف‌پوینت خبر داده است در ماه‌های اخیر هکرهایی که احتمالا وابسته به حکومت ایران هستند با حملات سایبری علیه برخی محققان آمریکایی و اسرائیلی تلاش کردند اطلاعات آنها را سرقت کنند. حوزه فعالیت این محققان عمدتا امور پزشکی و درمانی است.

***

هکرهای وابسته به جمهوری اسلامی دست‌کم ۲۵ تن از محققان آمریکایی و اسرائیلی را که در حوزه امور پزشکی و درمانی تحقیق می‌کنند مورد حمله سایبری قرار داده‌اند.

گروه امنیت سایبری «پروف پوینت» چهارشنبه ۱۱ فروردین در یک گزارش مفصل نتیجه تحقیقات خود را درباره این حمله‌ها اعلام کرد و گفت که حملات صورت‌گرفته در ماه دسامبر از نوع «فیشینگ» (Phishing) بوده است.

بنا بر این گزارش، مهاجمان در واقع متخصصان ارشدی را هدف گرفته بودند که در حوزه ژنتیک، عصب‌شناسی و تودینه‌شناسی (انکولوژی) فعالیت می‌کنند یا درباره شیوع ویروس مرگبار کرونا تحقیق می‌کنند.

فیشینگ (phishing) به نوعی از حملات سایبری گفته می‌شود که مهاجم از طریق فریب قربانی و تشویق او به دریافت فایل آلوده یا اجرای لینک آلوده، به سیستم کامپیوتر، موبایل، ایمیل و دیگر دستگاه‌ها و مخازن اطلاعات او دسترسی می‌یابد و داده‌ها را سرقت می‌کند.

در مرسوم‌ترین شکل این حمله، مهاجم یا «فیشر» با ایجاد یک صفحه جعلی، مشابه صفحات سرویس‌های ایمیل (مانند جی‌میل، یاهو، مایکروسافت) یا شبکه‌های اجتماعی یا وبسایت‌های خرید مجازی قربانی را تشویق می‌کند که نام کاربری، رمز عبور یا اطلاعات بانکی خود را وارد کند. به این ترتیب مهاجم به این اطلاعات دسترسی می‌یابد و آن را سرقت می‌کند.

در نوع دیگر فیشینگ نیز مهاجم با فریب دادن قربانی او را به کلیک روی پیوندی آلوده سوق می‌دهد و پس از آن، گزینه دسترسی از راه دور فعال می‌شود و مهاجم می‌تواند کد‌های مخرب را در کامپیوتر قربانی اجرا کند.

کارشناسان گروه امنیت سایبری پروف‌پوینت مسئول حملا اخیر را «تی آ ۴۵۳» (TA453) معرفی کرده‌اند؛ مجموعه‌ای از گروه‌های هکری شناخته‌شده وابسته به جمهوری اسلامی، ازجمله «فوسفورس» (PHOSPHORUS) و «بچه‌گربه‌های جذاب» (CHARMING KITTEN).

در این گزارش گفته شده که این دو گروه بنا بر تاریخچه فعالیت‌هایشان، با سپاه پاسداران انقلاب اسلامی همسو بوده و در سال‌های اخیر بسیاری از مخالفان، دانشگاهیان، دیپلمات‌ها و روزنامه‌نگاران را هدف قرار داده‌اند.

محققان پروف‌پوینت این مجموعه حملات را با توجه به هویت قربانیان و نوع فعالیت‌های آنان در حوزه پزشکی «بد بلاد» (BadBlood) به معنای «خون ناپاک» نامیده‌اند.

این کارزار حملات هکرها ابتدا در ماه دسامبر ۲۰۲۰ و با یک حساب کاربری جی‌میل به آدرس (zajfman.daniel [@] gmail.com) آغاز شد. هکرها با استفاده از نام «دانیل زاجف‌من»، فیزیکدان اسرائیلی، ایمیلی با عنوان «سلاح‌های هسته‌ای در یک نگاه» به قربانیان ارسال می‌کردند که حاوی یک فایل پی‌دی‌اف به نام (CBP-9075.pdf) بود. کلیک کردن روی این فایل قربانی را به یکی از دامنه‌های متعلق به هکرها بنام (1drv [.] casa) منتقل می‌کرد که در نهایت به هک درایو مجازی مایکروسافت (OneDriv) قربانی منتهی می‌شد.

در دامنه متعلق به هکرها صفحه‌ای جعلی مشابه صفحه ورودی کاربران مایکروسافت وجود داشت که از قربانیان می‌خواست برای دیدن محتوای فایل پی‌دی‌اف نام کاربری و رمز عبور خود را وارد کنند. نتیجه این کار به تماشای فایل مذکور منتهی می‌شد، اما در آن سو، هکرها به سادگی مرحله احراز هویت قربانی را رصد کرده و مشخصات او را به سرقت می‌بردند.

تحقیقات انجام‌شده نشان می‌دهد که هکرها بعدها نیز از گواهی‌نامه‌های سرقت‌شده برای ورود به ایمیل قربانیان بهره می‌بردند.

محققان گروه پروف‌پوینت گفته‌اند که نمی‌توان به صورت مستقل وابستگی هکرها به سپاه پاسداران انقلاب اسلامی را تایید کرد، اما روش‌ و فناوری‌های مورد استفاده گروه تی آ ۴۵۳ و نوع محتوایی که هکرها در پی سرقت آن بوده‌اند، این ظن را تقویت می‌کند که تمامی این حملات برای پشتیبانی سپاه پاسداران برای رسیدن به اهدافشان انجام شده است.

بخش بررسی و تحلیل تهدید‌های سایبری پروف‌پوینت که مسئولیت تحقیق در خصوص دامنه‌های مورد استفاده هکرها را برعهده دارد، دامنه‌های متعدد دیگری را در ارتباط با کارزار فیشینگ «خون آلوده» کشف کرده که نشان می‌دهد هکرها در یک طرح منظم و دامنه‌دار تصمیم داشتند تا کارزار خود را وسعت داده و به شکل زنجیره‌ای قربانیان دیگری را به دام خود گرفتار کنند.

اگرچه هدف قرار دادن محققان پزشکی در سنت کاری گروه‌های هکری وابسته به دولت‌ها نیست اما بعید هم نیست که گروه هکری تی آ ۴۵۳ به طور خاص برای سرقت اطلاعات پزشکی از سراسر جهان مامور شده یا برای این هدف از سوی حکومت توسعه و تجهیز شده باشد.

آخرین مورد از حملات فیشینگ مرتبط با هکرهای وابسته به جمهوری اسلامی که به صورت رسمی کشف و مورد تحلیل قرار گرفت به روزهای پایانی سال گذشته میلادی و به طور مشخص به روزهای کریسمس و تعطیلات سال نو باز می‌گردد.

در آن حملات نیز گروه « بچه گربه‌های جذاب» تلاش کرده بود تا از طریق حملات فیشینگ و مهندسی اجتماعی بسیاری از اندیشکده‌ها و همچنین اساتید دانشگاه‌ها و فعالان را در نقاط مختلف جهان هک کند.

در اکتبر سال گذشته میلادی نیز شرکت مایکروسافت اعلام کرده بود گروه هکری فوسفورس تلاش کرده تا از طریق حملات فیشینگ و جعل صفحات و بهره‌برداری از ضعف‌های امنیتی محصولات این شرکت، مدعوین کنفرانس‌های بین‌المللی را هک کند.

مایکروسافت گفته بود که بیش از ۱۰۰ حمله سایبری گروه فوسفورس به کسانی که احتمال شرکت‌شان در «کنفرانس امنیتی مونیخ» می‌رفت را شناسایی و خنثی کرده است.

کنفرانس امنیتی مونیخ یک گردهمایی بین‌المللی است که هر سال در ماه فوریه با موضوع امنیت بین‌المللی در هتل «بایریشر هوف» در شهر مونیخ آلمان برپا می‌شود. به گفته شرکت مایکروسافت، حملات خنثی‌شده بیشتر علیه افرادی بود که احتمال حضورشان در «کنفرانس گروه اندیشمندان تی‌۲۰» (T20) از جمله گروه‌های مهم و خلاق وابسته به «اجلاس سالانه گروه ۲۰» بوده است. گروه اندیشمندان تی‌۲۰، ایده‌پرداز اجلاس جهانی گروه ۲۰ است که در ۶۰ سال اخیر که این اجلاس برپا شده به عنوان اصلی‌ترین گروه این همایش محسوب می‌شد.

مایکروسافت  با اشاره به این که این حملات، جدا از حملات اخیر مرتبط با انتخابات سال ۲۰۲۰ ایالات متحده بود گفته است که هکرهای گروه فسفروس ایمیل‌هایی جعلی حاوی دعوت‌نامه‌های مرتبط با این دو همایش بین‌المللی را برای مقامات سابق دولت‌ها، کارشناسان سیاسی، دانشگاهیان و رهبران سازمان‌های غیردولتی که احتمال دعوت‌شدن‌شان به این همایش وجود داشته ارسال و مباحثی نظیر احتمال برپایی همایش‌ها به صورت مجازی، به دلیل عالم‌گیر شدن ویروس کرونا را نیز مطرح کرده‌اند.

کارشناسان امنیتی مایکروسافت معتقدند که هدف هکرها از ارسال ایمیل‌های جعلی گردآوری اطلاعات بوده است اما آنها در عین حال، در به خطر انداختن سفرای پیشین کشورها و کارشناسان سیاسی که در شکل‌گیری سیاست‌های داخلی و بین‌المللی کشورها موثر هستند موفق بوده‌اند.

مایکروسافت سال ۲۰۱۹ میلادی نیز گزارشی منتشر کرده و گفته بود که گروه هکری فسفروس طی ۳۰ روز بر روی بیش از ۷۰۰ حساب متعلق به شرکت مایکروسافت تست نفوذ انجام داده‌ که دست‌کم ۲۴۱ مورد از این حساب‌های کاربری به کارزار‌های انتخابات ریاست جمهوری آمریکا، مقامات فعلی و سابق دولت ایالات متحده، روزنامه‌نگاران بین‌المللی و چهره‌های ایرانی مطرح در خارج از کشور مربوط بوده‌اند.

در همین سال، مایکروسافت مجموعه‌ای از دامنه‌های اینترنتی شناسایی کرد که از سوی  هکرهای وابسته به جمهوری اسلامی برای حملات نوع فیشینگ مورد استفاده قرار می‌گرفتند. این شرکت با طرح شکایتی در دادگاه فدرال آمریکا در شهر واشینگتن دی‌سی توانست مجوز توقیف ۹۹ مورد از این دامنه‌ها را دریافت کند.

مطالب مرتبط:

هکرهای ایرانی، مظنون اول نشت اطلاعات محرمانه یک شرکت مالی در اسرائیل

نام هکرهای ایرانی در صدر فهرست مجرمان اینترنتی

حملات گسترده هکرهای وابسته به حکومت ایران در تعطیلات کریسمس