اتهام تازه محققان امنیتی اسرائیل به ایران
به گزارش کارگروه حملات سایبری سایبربان؛ محققان امنیتی معتقدند ۲۰۱۹، سالی بود که باگهای امنیتی بزرگی در سرورهای VPN تعداد بسیاری از شرکتها مانند پالو آلتو نتورک (Palo Alto Networks)، پالس سکیور (Pulse Secure)، فورتینت (Fortinet) و سیتریکس (Citrix) شناسایی شدند. از طرفی به تازگی گزارشی منتشر شده است که ادعا میکند هکرهای وابسته به دولت ایران به محض انتشار عمومی اطلاعات در مورد آسیبپذیریهای VPN برای نفوذ از آنها بهره میگرفتند.
شرکت اسرائیلی کلیر اسکای (ClearSky)، مدعی است، هکرهای ایرانی به صورت گستردهای شرکتهای حوزه فناوری اطلاعات، ارتباطات، نفت و گاز، هواپیمایی، دولتی و امنیتی را مورد هدف قرار میدهند. کارشناسان این شرکت ادعا میکنند هکرهای ایرانی از مهارت کمتری نسبت به روسیه، چین و کره شمالی برخوردار هستند؛ اما از توانایی بالایی برای ایجاد آسیبپذیریهای یکروزه و کوتاهمدت بهره میبرند.
کلیراسکای برای نمونه مدعی شد که فقط در یک مورد هکرهای ایرانی تنها چند ساعت پس از انتشار یک آسیبپذیری VPN موفق شدند از آن سوءاستفاده کنند. این شرکت ادعا میکند که هکرهای ایرانی در سال 2019 به سرعت موفق شدند از آسیبپذیریهای «Connect VPN» پالس سکیور، « FortiOS VPN» فورتینت، «Global Protect VPN» پالو آلتو نتورکز و «ADC VPN» سیتریکس سو استفاده کنند. حمله به این بسترها از تابستان 2019 و پس از عمومی شدن نقصها آغاز شد و تا 2020 ادامه پیدا کرد.
کارشناسان مدعی شدند هدف از حملات یاد شده نفوذ به شبکههای سازمانی، انجام فعالیتهای غیرقانونی در داخل سامانهها و کاشت درب پشتی برای حملات بعدی بوده است. با وجود این که فاز اول حمله بسترهای VPN مورد تهاجم واقع میشدند، فاز دوم را مجموعهای از تکنیکها و ابزارها جمعآوری اطلاعات تشکیل میدهند.
شرکت مذکور در ادامه ادعا کرد هکرهای ایرانی از ابزارهای هکری منبع بازی مانند «JuicyPotato» و « Invoke the Hash» و نرمافزارهای قانونی مانند «Putty»، «Plink»، «Ngrok»، «Serveo» و «ERP» بهره میگرفتند. همچنین در این گزارش ضمن اشاره به دانش بالاس هکرها، نوشته شده است در بعضی موارد از بدافزارهای سفارشیسازی شده و دستساز برای حملات بهره میگرفتند.
کلیراسکای همچنین مدعی شد گروههای هکری ایرانی به تازگی به عنوان یک تیم واحد شروع به همکاری با یکدیگر کردهاند. در حالی که چنین موضوعی در گذشته دیده نشده بود؛ زیرا تا پیش از این هر گروه وظیفه فعالیت در یک حوزه خاص را بر عهده داشت و مسائل مختلف به گروههای مختلف نسبت داده میشد. بر همین اساس حمله به سرورهای VPN در سراسر جهان حداقل با همکاری 3 گروه هکری «APT33»، «APT34» و «APT39» صورت گرفته است که ادعا میشود وابسته به دولت ایران هستند.
شرکت امنیتی اسرائیلی ادعا کرد هدف از حملات سایبری گروههای ایرانی، انجام عملیات شناسایی، نظارت و کاشت درب پشتی است؛ اما احتمال این که کدهای مخربی را به منظور فعالسازی یک نرمافزار تخریب داده (data-wiping malware) در آینده، به سیستم وارد کنند نیز وجود دارد. این بدافزار میتواند حمله اطلاعات موجود روی سامانههای شرکتهای قربانی و کسبوکارها پاک کرده و سیستم را از کار بیندازد.
کارشناسان ادعا کردند، مسئله یاد شده دور از ذهن نیست؛ زیرا از سپتامبر 2019 تاکنون 2 بدافزار تخریب داده «ZeroCleare» و «Dustman» شناسایی شدهاند که مرتبط با هکرهای ایرانی هستند.
کلیراسکای همچنین مدعی شد این احتمال وجود دارد که هکرهای ایرانی بخواهند از آسیبپذیریهای مختلف برای نفوذ و ضربه زدن به زنجیره تأمین شرکتها بهره بگیرند. با وجود این هکرهای چینی نیز از بدافزارها و آسیبپذیریها برای انجام حملاتی مشابه بهره میگیرند.
کلیراسکای همچنین مدعی شد، با توجه به سوءاستفاده هکرهای ایرانی از آسیبپذیری سرورهای VPN باید انتظار حمله آنها به «SonicWall SRA» و «SMA VPN» را در آینده نزدیک داشت؛ زیرا به تازگی 6 آسیبپذیری مختلف از این دو بستر به صورت عمومی منتشر شده است.
شرکت یاد شده همچنین مدعی شد هکرهای ایرانی در سال 2019 با موفقیت به صدها رایانه اسرائیلی نفوذ کردهاند. در گزارش یک روزنامه اسرائیلی نیز ادعا شده است که ایرانیها در یک حمله گسترده، حجم عظیمی از دادههای اطلاعاتی را از سامانههای دولتهای مختلف شامل اسرائیل جمعآوری کردهاند.
بواز دولف (Boaz Dolev)، مؤسس و مدیرعامل کلیراسکای همچنین در یک مصاحبه ادعا کرد:
با وجود حملات سایبری گسترده ایران، بعید به نظر میرسد بتوانند اطلاعاتی در رابطه با فناوریهای پیشرفته هستهای به دست آورند.
دولف از حمله یاد شده با عنوان «فاکس کیتن» (Fox Kitten) یاد کرد که در سه ماه چهارم 2019 انجام گرفت و در آن دهها شرکت و سازمان اسرائیل، آمریکای، عربستان، لبنان، کویت، امارت و چندین کشور اروپایی مورد حمله واقع شدند.
