گزارش ویژه مایکروسافت؛ حمله هکرهای وابسته به رژیم ایران به شرکت‌های فناوری دفاعی

 احمد باطبی

 روز دوشنبه ۱۹ مهر۱۴۰۰، «مایکروسافت»، شرکت چندملیتی فناوری در ایالت واشنگتن امریکا و یکی از بزرگ‌ترین ارایه‌ کننده‌های نرم‌افزارهای رایانه‌ای در وبلاگ خود گزارشی منتشر کرد که بازگو کننده نحوه حمله‌‌های سایبری هکرهای وابسته به جمهوری اسلامی به شرکت‌های فناوری دفاعی در کشورهای غربی و خاورمیانه است. در این گزارش گفته شده است برخی از این حمله‌ها با موفقیت همراه بوده‌اند.

«مرکز اطلاعات تهدید‌های سایبری مایکروسافت» (Microsoft Threat Intelligence Center) (MSTIC)، ناشر این گزارش نام «DEV-0343» را برای این حمله‌ها انتخاب کرده و خبر داده است در اواخر ماه جولای سال جاری میلادی، اولین رد‌پاهای این مجموعه حملات کشف و رصد شدند. 

این رد‌پاها شامل حمله به بیش از ۲۵۰ حساب کاربری محصول «آفیس ۳۶۰» بودند که به شرکت‌های فناوری امریکایی و اسرائیلی، بنادر و گذرگاه‌های تجاری در کشورهای حاشیه خلیج فارس و شرکت‌های تجاری حمل‌ونقل بین‌المللی تعلق داشتند.

بنا بر گزارش شرکت مایکروسافت، تمرکز حملات DEV-0343 بر شرکت‌های دفاعی مستقر در امریکا و اسرائیل بود که به گونه‌ای طرف قرارداد اتحادیه اروپا و دولت اسرائیل محسوب می‌شوند و در حوزه تولید محصولات نظامی، فناوری‌های مرتبط با هواپیما‌های بدون سرنشین و سیستم‌های ماهواره‌ای مربوط به شرایط اضطراری فعال بودند. 

در میان اهداف هکرها، مشتریان «سیستم‌های اطلاعات جغرافیایی» (GPS)، تجزیه و تحلیل فضایی، بنادر، حمل‌ونقل و تجارت در خاورمیانه نیز به چشم می‌خورد.

کارشناسان مایکروسافت معتقدند تکنیک‌ها و زمینه‌های فعالیتی که هکرهای DEV-0343 برای حملات سایبری خود برگزیده‌اند، با سیاست‌ها و علاقه‌مندی‌های جمهوری اسلامی و سوابق موجود از حملات سایبری هکرهای وابسته به رژیم ایران مطابقت دارند. مواردی هم‌چون استفاده گسترده از مرورگر «فایرفاکس» (Firefox) که یکی از مرورگرهای مورد علاقه هکرهای حکومتی است، بهره بردن از شبکه رمزنگاری شده «تور» (Tor) برای پنهان ماندن در فضای مجازی، استفاده از زنجیره آی‌پی‌ها که گاه به ۱۵۰ تا هزار آی‌پی رسیده است و نشان از امکانات گسترده مهاجمان دارد و یا ساعت کاری هفت و نیم صبح تا هشت و نیم شب که ساعت کاری مرسوم در ایران است و بسیاری موارد دیگر، نشانه‌هایی هستند که ظن دست داشتن هکرهای وابسته به جمهوری اسلامی را در این مجموعه حمله‌ها بیش از پیش می‌کنند.

مهاجمان در مجموعه حمله‌های DEV-0343، از یک بدافزار هکری متن باز به نام «o365spray» استفاده کرده‌اند که در مخزن «گیت‌هاب» (GitHub) در دسترس عموم است. 

این بدافزار که با هدف آموزش ایجاد شده و در اختیار کاربران قرار گرفته است، مجموعه‌ای از حملات شناخته شده به محصول آفیس ۳۶۰ شرکت مایکروسافت را در اختیار مهاجمان قرار می‌دهد که در مواردی حتی امکان عبور از مرحله احراز هویت محصولات آفیس را نیز فراهم می‌کند. 

مایکروسافت به کاربران خود توصیه کرده است برای اجتناب از گرفتار شدن به دام این بدافزار، از ویژگی احراز هویت چند مرحله‌ای این شرکت شامل «Microsoft Authenticator» و همین‌طور «Microsoft 365 Defender» استفاده کنند.

مایکروسافت سال ۲۰۱۹ میلادی نیز گزارشی منتشر کرده و گفته بود گروه «فسفوروس» (Phosphorous)، از گروه‌های هکری وابسته به جمهوری اسلامی، طی ۳۰ روز  بر روی بیش از ۷۰۰ حساب متعلق به شرکت مایکروسافت تست نفوذ انجام داده‌ بود که دست‌کم ۲۴۱ مورد از این حساب‌های کاربری به کارزار‌های انتخابات ریاست جمهوری امریکا، مقامات فعلی و سابق دولت ایالات متحده، روزنامه‌نگاران بین‌المللی و چهره‌های ایرانی مطرح در خارج از کشور مربوط بوده‌اند.

در همین سال، مایکروسافت مجموعه‌ای از دامنه‌های اینترنتی شناسایی کرد که از سوی هکرهای وابسته به جمهوری اسلامی برای حملات نوع «فیشینگ» مورد استفاده قرار می‌گرفتند. این شرکت با طرح شکایتی در دادگاه فدرال امریکا در شهر واشنگتن دی‌سی، توانست مجوز توقیف ۹۹ مورد از این دامنه‌ها را دریافت کند.

مایکروسافت با بهره بردن از همین حکم دادگاه، بعدها ۲۵ دامنه‌ دیگر را نیز توقیف کرد تا مجموع دامنه‌های از دسترس خارج شده هکرهای حکومتی به عدد ۱۵۵ برسد.  

به گفته مایکروسافت، هکرهای وابسته به جمهوری اسلامی از برخی از این دامنه‌ها در خلال انتخابات میان‌دوره‌ای امریکا در سال ۲۰۱۸ استفاده کرده‌اند.

در امریکا بر اساس «قانون اختیارات اقتصادی در شرایط اضطراری بین‌المللی» (IEEPA)، این امکان وجود دارد که در شرایط ویژه و یا به دلایل انسان‌دوستانه، شخص، سازمان و یا حتی حکومت ایران با اخذ مجوز از «دفتر کنترل دارایی‌های خارجی»، اقدام به کنار زدن موقت تحریم‌ها کرده و نیازمندی‌های اعلام شده به وزارت خزانه‌داری ایالات متحده را از بازار جهانی تهیه کند. 

دادگستری ایالات متحده با استناد به همین قانون، موضوع عدم اخذ مجوز «دفتر کنترل دارایی‌های خارجی» (OFAC) را برای فعالیت این دامنه‌ها از سوی جمهوری اسلامی مطرح و دستور توقیف این دامنه‌ها را صادر کرد.

ماه سپتامبر سال گذشته نیز مایکروسافت گزارش داد که کارمندان و افراد مرتبط با هر دو حزب جمهوری‌خواه و دموکرات در امریکا مورد حمله هکرهای وابسته به دولت‌های خارجی قرار گرفته‌اند. 

مایکروسافت یکی از عوامل این حملات را گروه هکری ایرانی موسوم به فسفوروس اعلام کرده و گفته بود: «اگرچه اکثر حملات هکری پیش از به ثمر نشستن، شناسایی و دفع شده‌اند اما مهاجمان، مجموعه‌ای از افراد، از کارمندان گرفته تا افراد مرتبط با هر دو حزب جمهوری‌خواه و دمکرات در امریکا را هدف حملات خود قرار داده‌اند. این خود به معنای تلاش گروه‌های خارجی برای تاثیرگذاری بر روند و نتیجه انتخابات ریاست جمهوری در امریکا است.»

در ماه اکتبر سال گذشته میلادی نیز شرکت مایکروسافت اعلام کرد حملات سایبری هکرهای وابسته به جمهوری اسلامی به  شرکت کنندگان احتمالی کنفرانس‌ مونیخ در آلمان را شناسایی و خنثی کرده است. مایکروسافت بار دیگر گروه هکری فسفوروس را عامل این حمله‌ها معرفی کرده که اشاره‌ای است به مجموعه‌ای از گروه‌های هکری موسوم به «ای‌پی‌تی ۳۵» (APT35)، گروه «بچه‌گربه‌های جذاب» (Charming Kitten) و هم‌چنین تیم ‌امنیتی «آژاکس» (Ajax) که همگی از گروه‌های هک حرفه‌ای وابسته به حکومت ایران هستند.

مایکروسافت در آن تاریخ بیش از ۱۰۰ حمله سایبری که از سوی این گروه هکری به شرکت‌کنندگان بالقوه «کنفرانس امنیتی مونیخ»، (کنفرانسی جهانی با موضوع سیاست‌های مرتبط با امنیت بین‌المللی که هرساله در ماه فوریه در هتل «بایریشر هوف» در شهر مونیخ آلمان برپا می‌شود) و «کنفرانس گروه اندیشمندان تی‌۲۰» (T20) (از جمله گروه‌های وابسته به «اجلاس سالانه جهانی گروه ۲۰» (G20) که در سال ۲۰۲۰ عربستان سعودی ریاست آن را بر عهده داشت) انجام شده را شناسایی و خنثی کرده بود.

گروه اندیشمندان تی‌۲۰، ایده‌پرداز اجلاس جهانی گروه ۲۰ محسوب می‌شود و در ۶۰ سال اخیر که این اجلاس در شهر مونیخ آلمان برپا شده، به عنوان اصلی‌ترین گروه این همایش فعال به شمار رفته است.