هکرهای جمهوری اسلامی چه‌گونه به حساب کارکنان ارتش امریکا حمله کردند؟

احمد باطبی

فیس‌بوک می‌گوید نزدیک به ۲۰۰ حساب کاربری را مسدود کرده است که هکرهای وابسته به جمهوری اسلامی از آن‌ها برای هک کردن کارکنان ارتش ایالات متحده و شرکت‌های دفاعی و هوافضا استفاده می‌کردند.

گروه تحقیقات شرکت فیس‌بوک روز پنج‌شنبه ۲۴ تیر ۱۴۰۰ با انتشار مقاله‌ای در این خصوص، اعلام کرد این مجموعه فعالیت‌های کشف شده از هکرهای ایرانی، بخشی از پروژه جاسوسی سایبری است که مدت‌ها است جمهوری اسلامی در دستور کار خود قرار داده است. 

به گفته این گروه تحقیقاتی، پروژه جاسوسی هکرها یک عملیات مداوم است که ضمن برخورداری از امکاناتی خوب برای انجام حملات سایبری، از روش‌ها و تکنیک‌های مناسبی نیز جهت پنهان کردن هویت و عملکرد هکرها استفاده می‌کند.

در این مقاله گفته شده است که هکرهای حکومتی به نام کارکنان شرکت‌های دفاعی و هوافضا، صفحات جعلی اما به ظاهر معتبری را ایجاد می‌کردند تا قربانیان خود را با آن‌ها فریب دهند. هکرها گاه چندین ماه برای فریب هدف‌های خود زمان صرف می‌کردند تا آن‌ها را متقاعد کنند که روی لینک‌های آلوده کلیک کنند و به این شکل، بدافزارهای جاسوسی روی سیستم‌های کامپیوتری آن‌ها نصب و فعال شوند.

محققان فیس‌بوک این هکرها را با عنوان «ترتس‌شل» (Tortoiseshell) معرفی کرده و گفته‌اند که فعالیت‌های این گروه بیشتر بر خاورمیانه متمرکز بود اما اخیرا دامنه‌ فعالیت‌های آن تا بریتانیا و ایالات متحده نیز گسترش یافته بود. 

ویژگی این گروه این بوده است که پس از شناسایی اهداف، از شیوه‌های مخرب نظیر آلوده‌سازی سیستم و شبکه توسط بدافزارهای جاسوسی علیه قربانیان استفاده می‌کردند.

فیس‌بوک تاکتیک‌ها، تکنیک‌ها و رویه‌های (Tactics, Techniques, and Procedures) (TTPs) هکرها را مورد تحلیل قرار داده و گفته که این شبکه‌ اجتماعی و سرویس‌های ارایه شده در آن، یکی از اصلی‌ترین ابزار هکرها برای به دام انداختن قربانیان بوده است. 

TTPs یکی از موضوعات بنیادین در بحث تروریسم سایبری به شمار می‌رود که در آن، با تحلیل و بررسی تاکتیک‌ها، تکنیک‌ها و رویه‌های مورد استفاده مهاجمان، اهداف، ابزار، استراتژی و خصوصیات دیگر مجرمان سایبری مشخص می‌شود.

«مهندسی اجتماعی» (Social engineering) یکی از اصلی‌ترین شیوه‌های مورد استفاده هکرها در فیس‌بوک بوده است. آن‌ها با استفاده از امکانات آن‌لاین و شیوه پیچیده فریب، اعتماد قربانیان را جلب و آن‌ها را وادار به کلیک بر روی لینک‌های آلوده و بارگیری بدافزارها می‌کردند. هکرها برای عادی سازی، از یک هویت جعلی در چند شبکه اجتماعی، صفحه کاربری با اطلاعات مشترک ایجاد و تحت عنوان کارمندان شرکت‌های دفاعی و هوافضا، افراد وابسته به سازمان‌های مردم‌نهاد، پزشک، روزنامه‌نگار و غیره، قربانی را به بیرون از شبکه‌ اجتماعی هدایت می‌کردند تا به دور از نظارت فنی فیس‌بوک، لینک‌های آلوده را برای آن‌ها ارسال کنند.

«سرقت اعتبار‌نامه» (credential theft) نیز از جمله اقدامات این گروه بوده است که مجموعه‌ای از صفحات و وب‌سایت‌های جعلی را بر روی دامنه‌های اینترنتی برای به‌ دام انداختن افراد فعال در صنعت دفاعی و هوافضا طراحی کرده بودند؛ به عنوان مثال، هکرها با به کارگیری زیرساخت‌های مناسب، یک سایت جعلی جست‌وجوی شغل قانونی وزارت کار ایالات متحده راه‌اندازی کرده بودند. آن‌ها اکثر لینک‌های ارسال شده از طریق ایمیل‌ها را با استفاده از سرویس‌های کوتاه کننده لینک، کوتاه می‌کردند تا در خلال فرایند بازکردن آدرس‌ها، تشخیص مبدا و مقصد، سخت و یا غیرممکن شود.

«بدافزارهای جاسوسی» (Malware) از ابزارهای مورد استفاده این گروه هکری بوده است. فیس‌بوک گفته هکرها به شکل منحصر به فردی بدافزارهایی را شخصی سازی کرده و امکانات کاملی هم‌چون شناسایی و ویژگی‌های مربوط به آسیب‌رسانی به قربانی را به آن افزوده‌اند. 

این گروه کماکان از بدافزار قدیمی خود به نام «Syskit» برای هک سیستم عامل‌های «ویندوز» استفاده می‌کردند و علاوه بر آن، به شکل گسترده‌ای از صفحات مخرب مربوط به «مایکروسافت اکسل» در عملیات‌های خود بهره می‌بردند.

«برون‌سپاری توسعه بدافزار» (Outsourcing malware development) از جمله شاخص‌های فعالیت این گروه بوده است. فیس‌بوک می‌گوید که تحقیقات محققان نشان داده‌اند عوامل پشت پرده این گروه هکری برای توسعه بدافزار خود به شرکت «ماهک رایان افزار» (Mahak Rayan Afraz) (MRA)، از شرکت‌های وابسته به سپاه پاسداران انقلاب اسلامی در تهران مراجعه کرده‌اند. برخی از اعضا و گردانندگان این شرکت به دلیل فعالیت‌های مخرب سایبری، پیش‌تر در لیست تحریم‌های ایالات متحده قرار گرفته‌اند.

گروه هکری «ترتس‌شل» (Tortoiseshell) برای اولین بار در سال ۲۰۱۸ شناسایی و در لیست گروه‌های هکری وابسته به حکومت‌ها قرار گرفت. ترتس‌شل در ابتدای کار خود، دست‌کم ۱۱ شرکت مستقر در عربستان سعودی را مورد حملات سایبری قرار داد و دست‌کم در دو مورد از این حملات، موفق به گرفتن دسترسی در حد مدیر از دامنه‌های شرکت شد.

راه‌اندازی یک وب‌سایت جعلی مخصوص کهنه سربازان امریکایی به آدرس «hxxp: // hiremilitaryheroes [.] com»، فعالیت دیگر این گروه هکری بود. این گروه در سال ۲۰۱۹ با ایجاد این وب‌سایت که بسیار به وب‌سایت واقعی (www.hiringourheroes.org) شباهت داشت، تلاش کرد بدافزارهای مخرب جاسوسی خود را به کامپیوترهای بازدیدکنندگان سایت منتقل کند. این اقدام هکرها به شکل رسمی به عنوان تلاش جمهوری اسلامی برای هک کردن سربازهای امریکایی مطرح و نسبت به آن هشدار داده شد.

برخی کارشناسان سایبری، گروه ترتس‌شل، از جمله زیرمجموعه‌های «تهدید پیشرفته مدام» (APT35) است. 

«APT» یا «Advanced Persistent Threat» در صنعت سایبری اصطلاحی است برای مخاطب قراردادن تهدیدهای مستمر و هدفمند سایبری که از سوی هکرهای تحت حمایت دولت‌ها سازمان‌دهی و اجرا می‌شوند تا به اهدافی مانند دولت‌های دشمن و یا رقیب، مخالفان حکومت، سازمان‌ها و نهاد‌های تاثیرگذار، شرکت‌های تجاری و مراکز علمی حمله کنند. 

هدف اصلی گروه‌های تهدید پیشرفته مدام که با علامت اختصاری APT و ارقام منتسب به آن شناخته می‌شوند، اخلال در روند فعالیت عادی قربانی و یا سرقت اطلاعات و سرمایه‌های معنوی آن است. «APT33» ،«APT34» ،«APT39» از جمله گروه ایرانی تهدید پیشرفته مدام هستند که تحت حمایت جمهوری اسلامی به فعالیت‌های مجرمانه اینترنتی مشغولند.

شرکت امنیتی «FireEye» برای اولین بار در سال ۲۰۱۴ از مجموعه APT35 نام برد. این شرکت در ابتدا گروهی از هکرهای ایرانی به نام «تیمِ نیوزکستر» (Newscaster Team) را عامل پشت برده APT35 معرفی کرد و آن‌ها را عامل حملات مستمر و فشرده‌ای به ارتش ایالات متحده و کشورهایی در خاورمیانه، پرسنل دیپلماتیک و دولتی در کشورهای مختلف، سازمان‌های رسانه‌ای، پایگاه‌های صنعتی و فعال در حوزه انرژی، صنایع دفاعی (DIB) و مهندسی، نهاد‌های فعال در زمینه خدمات بازرگانی و بخش‌های مخابراتی دانست. 

فعالیت‌های این گروه در سال‌های بعد، به‌ویژه از سال ۲۰۱۷ به این سو نشان از توسعه و تقسیم کار در مجمو‌عه فعالیت‌های هکری داشت. کارشناسان معتقدند که ترتس‌شل نیز بخشی از تیم نیوزکستر (Newscaster Team) است که در فرآیند تکاملی این گروه جدا شده اما کماکان در همان راستا و با همان شیوه در خدمت اهداف سیاسی و نظامی جمهوری اسلامی در حوزه سایبری است. 

مطالب مرتبط:

کارکنان دولت آمریکا، اهداف حملات فیشینگ هکرهای وابسته به حکومت ایران

فروش اطلاعات توسط هکرهای وابسته به جمهوری اسلامی

درباره هکرهای ایرانی تحت تعقیب اف‌بی‌آی چه می‌دانیم؟