‌بچه گربه‌های سایبری؛ فعالیت هکرهای جمهوری اسلامی در شش ماه نخست امسال

احمد باطبی

جمهوری اسلامی تاریخ تعامل خود با جهان را با شعار «نه شرقی، نه غربی، جمهوری اسلامی»، حمله به سفارت کشورهای مختلف و گروگان‌گیری آغاز کرد. حمله به کشتی‌های تجاری و نفت‌کش‌های کشورهای بی‌طرف در جنگ هشت‌ساله با عراق و تلاش برای نفوذ به کشورهای همسایه از طریق شبکه‌سازی و توسعه گروه‌های شبه‌نظامی نیابتی و اقداماتی از این دست، ایران را به کشوری غیرقابل اعتماد تبدیل کرد که برای حیات سیاسی و صدور ایدئولوژی مذهبی خود، «جنگ نامتقارن» (Asymmetric Warfare) را با جهانیان در پیش گرفته است. رژیم حاکم بر ایران همین سیاست را با هدف تقابل با دشمنان، رقبا، جاسوسی و آسیب رساندن به مخالفان در فضای مجازی در پیش گرفته است. در این میان، چالش‌هایی همچون حمله سایبری « استاکس‌نت» (Stuxnet) به تاسیسات هسته‌ای نیز جمهوری اسلامی را بیش از پیش به این نتیجه رسانده که در تقابل ایدئولوژیک‌ خود با جهان متمدن، جنگ نامتقارن به مراتب کم‌هزینه‌تر جنگ تمام‌عیار خواهد بود. از این رو با صرف هزینه‌های کلان، به آموزش و تجهیز خود پرداخته و تا کنون ده‌ها حمله به زیرساخت‌های حیاتی و شهری کشور‌های دیگر را طراحی و یا  اجرا کرده که در بسیاری از آن‌ها، شهروندان عادی و غیرنظامی قربانی بوده‌اند. رژیم ایران با نزدیک شدن به چین و روسیه، از فناوری و آموزش آن‌ها نیز بهره برده و با اولویت قرار دادن اسراییل و ایالات متحده به عنوان اهداف اصلی حملات سایبری، دوشادوش این دو کشور و البته در سطحی بسیار پایین‌تر از آن‌ها به ناامن کردن فضای مجازی مشغول است.

آنچه در ادامه می‌خوانید،  بخش اول گزارش فعالیت‌های مجرمانه‌ای سایبری است که در شش ماهه اول سال ۲۰۲۱ توسط هکرهای وابسته به جموری اسلامی طراحی و اجرا شده است.

***

تازه‌ترین فعل مجرمانه کشف شده از هکرهای وابسته به رژیم ایران، کارزار حمله‌های موسوم به «زنجیره تامین» (Supply-Chain Attacks) است که توسط گروه هکری موسوم به «بچه‌گربه‌های سیامی» (Siamesekitten) سازمان‌دهی و اجرا شد. شرکت امنیت سایبری «کلیراسکای» (ClearSky) در گزارش ماه آگوست ۲۰۲۱ به این کارزار پرداخته و گروه هکری بچه گربه سیامی را زیر‌مجموعه‌ای از گروه‌های (APT33) و (APT34)، از مجموعه گروه‌های «تهدید پیشرفته مدام» (APT) معرفی کرده است.

گروه‌های موسوم «ای‌پی‌تی» یا (Advanced Persistent Threat)، به گروه‌های هکری وابسته به حکومت‌ها گفته می‌شود که با پشتیبانی دولتی، علیه دولت‌های دشمن و یا رقیب، مخالفان حکومت، سازمان‌ها و نهاد‌های تاثیرگذار، شرکت‌های تجاری و مراکز علمی وارد عمل شده و از نظر جامعه جهانی یک تهدید مستمر محسوب می‌شوند.

بچه‌گربه‌های سیامی در این کارزار، در بازه زمانی دوماهه، (ماه مه تا  ژوئیه ۲۰۲۱)، با جعل هویت کارکنان شرکت‌های فناوری، کارشناسان و منابع انسانی مرتبط با آن‌ها تلاش کرده‌اند که ضمن نفوذ و جاسوسی، داده‌ها، اطلاعات و سرمایه‌های معنوی اهداف خود را به شکلی برگشت‌ناپذیر نابود کنند. این گروه پیش از این، در سال ۲۰۱۸ نیز اقداماتی مشابه‌ را علیه برخی شرکت‌های نفت و گاز و مخابراتی در دیگر کشورها نیز صورت داده بود.

عملکرد گروه هکری بچه‌گربه‌های سیامی را می‌توان در جدول زیر خلاصه کرد:

گروه هکری «ترتس‌شل» (Tortoiseshell)

پیش از این حمله‌های گروه هکری بچه‌گربه‌های سیامی، شرکت امنیت سایبری «پروف‌پوینت» (Proofpoint) کارزار دیگری را گزارش کرده بود که توسط گروه هکری «ترتس‌شل» (Tortoiseshell) از زیر مجموعه‌های (APT56)، وابسته به جمهوری اسلامی سازمان‌دهی و اجرا شده بود. ترتس‌شل که پیش‌تر در سال ۲۰۱۸ شناسایی شده است، این دوره از حمله‌ها را از سال ۲۰۱۹ آغاز کرده و در آن بسیاری از افراد و پیمان‌کار فعال در صنایع دفاعی و هوا و فضا ایالات متحده را هدف قرار داد. شرکت فیسبوک نیز همزمان در همین خصوص گزارش داده که گروه ترتس‌شل از طریق حملات فیشینگ و بدافزارها حملاتی را به افراد فعال در حوزه پزشکی، روزنامه نگاران، سازمان‌های غیردولتی و خطوط هواپیمایی صورت داده تا از آن‌ها جاسوسی کند. فیسبوک گفته، تمرکز این حملات بیشتر بر کشورهای اروپایی، آمریکایی و کشورهای همسایه ایران بوده و این شرکت حدود ۲۰۰ صفحه جعلی مرتبط با هکرهای ترتس‌شل را که برای فریب قربانیان استفاده می‌شد، مسدود کرده است. فیسبوک ترتس‌شل را از زیرمجموعه‌های (APT34) دانسته و گفته که این گروه از بدافزاری به‌نام «سیس‌کیت» (Syskit) در کارزار هکری خود بهره می‌برد که توسط سپاه پاسداران انقلاب اسلامی توسعه یافته است. فیسبوک گفته، بدافزار سیس‌کیت  توسط شرکت «محک رایان افراز» (MRA) در تهران توسعه یافته که سپاه پاسداران معمولا پروژه‌های «برون‌سپاری توسعه بدافزار» (Outsourcing malware development) را به آن می‌سپارد. برخی از اعضا و گردانندگان محک رایان افراز پیش‌تر به دلیل فعالیت‌های مخرب سایبری توسط ایالات متحده تحریم شده‌اند.

عملکرد گروه هکری ترتس‌شل را می‌توان در جدول زیر خلاصه کرد:

«بچه گربه جذاب» (Charming Kitten)

گروه هکری «بچه گربه جذاب» (Charming Kitten) یکی از شناخته‌شده‌ترین گروه‌‌ها از هکرهای وابسته به جمهوری اسلامی است؛ آخرین فعالیت‌های مخرب آنان در سال ۲۰۲۱ از سوی شرکت‌های سایبری جهان رصد و گزارش شده است. اهداف این گروه عموما فعالان سیاسی و حقوق بشری، مخالفان رژیم حاکم بر ایران، دانشگاهیان و  اصحاب رسانه است. فعالیت‌های این گروه از سال ۲۰۱۴، با تمرکز بر حمله‌های نوع فیشینگ به منظور گردآوری هرچه بیشتر اطلاعات شدت گرفت. این گروه در آخرین اقدام خود، طی یک کارزار مبتنی بر فریب (Phishing) تلاش کرده‌اند که از چهره‌های دانشگاهی فعال در عرصه سیاست‌گذاری بین‌المللی جاسوسی کنند. شرکت امنیت سایبری «پروف پوینت» (Proofpoint) کاشف این حمله‌ها گفته که هکرهای بچه گربه جذاب با جعل هویت یکی از اعضای ارشد تیم تدریس و تحقیق مطالعات شرقی و آفریقایی دانشگاه لندن «سواس» (SOAS)، حدود ۱۰ سازمان در ایالات متحده آمریکا و بریتانیا را هدف قرار داده و با ارسال نامه‌ای جعلی با موضوع دعوت به یک کنفرانس آنلاین در آمریکا تلاش کرده‌اند که با قربانیان خود ارتباط برقرار کرده و از آن‌ها جاسوسی کنند. هکرها عنوان چالش های امنیتی در خاورمیانه را برای موضوع بحث‌های خود برگزیده و قربانیان را تشویق کردند که تا پیوند‌های آلوده به بدافزار آن‌ها را باز کنند. پیوند آلوده هکرها قربانی را به وب‌سایتی هدایت می‌کرد که در آن از قربانی تقاضا می‌شد تا برای ثبت‌نام اطلاعات ایمیل و یا حساب‌های کاربری خود را در شبکه‌های اجتماعی ارائه کند. هکرهای بچه‌گربه‌های جذاب با هدف جلب اعتماد قربانیان خود، حتی به صورت صوتی و ویدیویی با آن‌ها ارتباط برقرار کرده‌اند.

گروه بچه‌گربه‌های جذاب همچنین در ماه مارس امسال نیز کارزار حملات فیشینگی را علیه ۲۵ تن از متخصصان تحقیقات ژنتیک، عصب‌شناسی و سرطان در آمریکا و اسراییل ترتیب داده‌اند که شرکت امنیت سایری «پروف‌پوینت» (proofpoint) آن را (BadBlood) یا «خون کثیف» نامیده است.

شرکت‌های امنیت سایبری همچنین گروه بچه‌گربه‌های جذاب را مسئول حملات مشابه صورت گرفته به مدعوین کنفرانس امنیت مونیخ و اجلاس (T20) در عربستان سعودی و همچنین حمله به کمپین انتخاباتی دونالد ترامپ، رییس‌جمهور پیشین ایالات متحده می‌دانند.

عملکرد گروه هکری بچه گربه‌های جذاب را می‌توان در جدول زیر خلاصه کرد:

گروه هکری «آگریوس» (Agrius)

هکرهای «آگریوس» (Agrius) گروه نوظهوری هستند که در عرصه سایبری به جاسوسی و تخریب داده‌های قربانیان مشهور است. این گروه از هکرهای وابسته به جمهوری اسلامی در سال ۲۰۲۱ به اهدافی در اسراییل حمله کردند، هکرها در این حمله که «برف‌پاک‌کن» (wiper attacks) یا حذف و تخریب غیرقابل بازگشت داده‌های قربانی نام گرفته، گاه نیز از باج‌افزار استفاده کرده‌اند. تحقیق‌ها نشان می‌دهد که گروه هکری آگریوس برای پنهان کردن فعالیت‌های خود از «وی‌پی‌ان» (VPN) و عمدتا وی‌پی‌ان شرکت (ProtonVPN) بهره می‌برد. این گروه یک بدافزار اختصاصی به‌نام (IPsec Helper) دراختیار دارد که از طریق تکنیک (Backdoor) ماندگاری خود را در کامپیوتر قربانی تثبیت کرده و با استفاده از بدافزارهای دیگری به‌نام (Apostle) و (DEADWOOD) نیز عملیات برف کنترل دستگاه قربانی را به دست گرفته و عملیات برف پاک‌کن را اجرا می‌کند. آگریوس پیش‌تر نیز با همین ابزار و شیوه‌ها اهدافی را در خاورمیانه مورد حمله قرار داده بود.

عملکرد گروه هکری آگریوس را می‌توان در جدول زیر خلاصه کرد:

ادامه گزارش عملکرد هکرهای وابسته به جمهوری اسلامی در شش ماه نخست سال ۲۰۲۱ در بخش دوم این مقاله منتشر خواهد شد.