اتهامات سایبری ZDNet به ایرانی‌ ها

به گزارش کارگروه بین‌الملل سایبربان؛ به نقل از «ZDNet»؛ چند سال قبل گروهی به نام کارگزاران سایه (Shadow Brokers) در یک حمله سایبری در سال 2017، ابزارهای هکری NSA را در معرض دید عمومی قرار دادند. به‌تازگی فردی ناشناس با انجام اقدامی مشابه چندین ابزار هکری را در یکی از شبکه‌های اجتماعی پرکاربرد منتشر کرده و ادعا می‌کند متعلق به یکی از گروه‌های جاسوسی سایبری دولت ایران هستند. این فرد مدعی شده است گروه APT34 که با نام‌های ایل‌ریگ (Oilrig) یا هلیکس کیتن (HelixKitten) نیز شناخته می‌شود، با دولت ایران ارتباط دارد.

با توجه به اطلاعات منتشرشده توسط فرد مذکور، ابزارهای هکری منتشرشده از پیچیدگی نمونه‌های NSA برخوردار نیستند؛ اما همچنان بسیار خطرناک به نظر می‌رسند.

فرد یادشده که اقدام به انتشار این اسناد اتهامی در فضای شبکه‌های اجتماعی کرده است، از اواسط مارس، با نامی مستعار، فعالیت خود را در تلگرام آغاز کرده و ابزارهای هکری را منتشر می‌کند. این فرد علاوه بر ابزارها، اطلاعات افرادی که ادعا می‌شود از قربانیان APT34 هستند را نیز منتشر کرده است. این داده‌ها بیشتر شامل نام‌های کاربری و رمزهای عبوری هستند که از طریق صفحات فیشینگ (phishing)، جمع‌آوری شده‌اند.

وبگاه ZDnet ادعا می‌کند در گذشته، فردی ناشناس بخشی از اطلاعات یادشده را از طریق پیام مستقیم در یکی از شبکه‌های اجتماعی، به اشتراک گذاشته است. این وبگاه خبری معتقد است هر 2 فرد یک نفر هستند.

در مکالمه Zdnet با فرد مذکور در پیام مستقیم یکی از شبکه‌های اجتماعی، وی مدعی شده است با گروه کمپین جاسوسی دی.ان.اس (DNSpionage campaign) ایران همکاری داشته است؛ اما این ادعا نشان می‌دهد او احتمالاً عضوی از یک سازمان اطلاعاتی خارجی بوده و سعی دارد از این طریق صحت ادعای خود را در رابطه با ابزارها و عملیات هکری ایرانی افزایش دهد.

تعدادی از متخصصان امنیت سایبری شرکت کرونیکل (Chronicle)، بازوی امنیت سایبری الفبت (Alphabet)، ادعا می‌کنند که اطلاعات منتشرشده توسط ZDnet کاملاً صحت دارد.

فرد مذکور در کانال یادشده در یکی از شبکه‌های اجتماعی پرکاربرد، سورس کدهای 6 عدد از ابزارهای هکری منتسب به ایران و محتوای چندین عدد از پنل‌های بک‌اند فعال (backend panel) را –که داده‌های قربانیان در آن جمع‌آوری شده‌اند- منتشر کرده است.

ابزارهای هکری یادشده عبارت‌اند از:

•    گلیمپز (Glimpse): نسخه جدید تروجانی بر پایه پاور شل که شرکت پالو آلتو نتورک (Palo Alto Networks)، آن را «BondUpdater» می‌نامد.
•    پویزن فراگ (PoisonFrog): نسخه قدیمی‌تر BondUpdater
•    هایپرشل (HyperShell): وب شلی که پالو آلتو از آن با نام «TwoFace» یاد می‌کند.
•    های شل (HighShell): یک وب شل دیگر
•    فاک پنل (Fox Panel): یک کیت فیشینگ
•    وب ماسک (Webmask): DNS Tunneling، ابزار اصلی مسئول جاسوسی DNS

فرد مذکور علاوه بر سورس کد ابزارهای بالا، اطلاعاتی را که APT34 از قربانیان جمع‌آوری کرده و در تعدادی از سرورهای فرماندهی و کنترل منتشر کرده را نیز به نمایش گذاشته است.

در مجموع با توجه به گزارش کرونیکل، این گروه که ادعای افشاگری دارد، اطلاعات 66 نفر از قربانیان را فاش کرده است. بیشتر این افراد در آسیای غربی هستند؛ اما قربانیانی از آفریقا، آسیا شرقی و اروپا نیز بین آن‌ها دیده می‌شود. داده‌های جمع‌آوری‌شده متعلق به سازمان‌ها دولتی و شرکت‌های خصوصی هستند. 2 عدد از بزرگ‌ترین شرکت‌هایی که نام آن‌ها در لیست قربانیان آمده است هواپیمایی اتحاد و شرکت ملی نفت امارات هستند. بر اساس فهرست، 66 قربانی یادشده، از آلبانی، بحرین، کامبوج، چین، مصر، رژیم صهیونیستی، اردن، قزاقستان، لبنان، ماکائو، مکزیک، میانمار، نیجریه، عمان، فلسطین، قطر، جزایر ساموآ، عربستان سعودی، تایوان، تایلند، ترکیه، امارات متحده‌ی عربی و زیمباوه هستند.

داده‌های فاش شده از قربانیان طیف گسترده‌ای از نام‌های کاربر و رمزهای عبور تا اطلاعات سرورهای شبکه داخلی و IP قربانیان را در برمی‌گیرد.

فرد افشاگر همچنین اطلاعاتی را منتشر کرده و ادعا می‌کند مرتبط با عملیات سابق APT34 هستند. این داده‌ها شامل فهرست آدرس‌های IP و دامنه‌هایی می‌شود که هکرها در گذشته از آن به‌منظور میزبانی وب شل‌ها و دیگر داده‌های عملیاتی بهره می‌گرفتند. علاوه بر این داده‌ها، اسامی کارکنان وزارت اطلاعات ایران، شماره تلفن و تصاویر افرادی که به ادعای وی، در عملیات APT34 شرکت داشته‌اند نیز فاش شده است. همچنین برای تعدادی از این افراد فایل‌های PDF ایجادشده که شامل نام، نقش، تصویر، شماره‌های تلفن، آدرس‌های ایمیل و پروفایل شبکه اجتماعی آن‌ها می‌شود. این فرد به‌دفعات از کارمندان وزارت اطلاعات با عناوینی مانند ظالم، بی‌رحم و مجرم یاد کرده است.

در بخشی از متن منتشرشده توسط فرد مذکور آمده است:

ما اطلاعات محرمانه بیشتری از مجرمان وزارت اطلاعات ایران و مدیران آن در اختیار داریم. ما مصمم هستیم برای افشای آن‌ها به راه خود ادامه دهیم.

فرد مدعی همچنین اسکرین‌شات‌هایی در منتشر کرده است که به از بین بردن پنل‌های کنترل ابزارهای هکری APT34 و پاک‌سازی سرور اشاره می‌کند.

براندون لوین (Brandon Levene)، مدیر اطلاعات کاربردی کرونیکل گفت:

به‌احتمال‌زیاد APT34 به‌منظور عملیاتی باقی ماندن، ابزارهای خود را تغییر می‌دهد. با توجه به داده‌های فاش شده احتمالاً فعالیت‌هایی بر پایه آن‌ها رخ داده باشد؛ اما بعید است بتوان استفاده‌ی گسترده از آن‌ها را مشاهده کرد.

احتمالاً در آینده گروه‌های مجرم یا دولتی از ابزارهای فاش شده استفاده خواهند کرد و این کار به‌منظور ایجاد پرچم دروغین یا مقصر جلوه دادن APT34 انجام خواهد شد.