ادعای جدید شرکت‌ های امنیتی سایبری در مورد ایران/تکمیلی 

به گزارش کارگروه امنیت سایبربان؛ شرکت‌های غربی مدعی شدند گروه هکری «OilRig» ، که پیش‌ازاین به ایران منسوب شده بود، فعالیت‌های سایبری خود را افزایش داده است.

شرکت امنیت سایبری پالو آلتو، سیمنتک و مرکز اطلاعات آلمان طبق تحقیقات خود مدعی شدند که فعالیت ‌های مخرب سایبری از سوی تهران در جریان است. گروه محققان واحد 42 شرکت پالو آلتو مدعی شد که از ژوئن سال 2018 تا کنون فعالیت‌ های گروه هکری «OilRig» را زیر نظر گرفته و سه موج از حملات را رصد کرده که با سه رویکرد متفاوت انجام شده است.

گروه هکری یاد شده با نام های دیگری از جمله « Helix Kittenو  PT34» نیز شناخته می شود. طبق تحقیقات صورت گرفته توسط شرکت امنیت سایبری پالو آلتو، این گروه در بازه ماه های می و ژوئن بیشترین فعالیت داشته است.

حملات سایبری صورت گرفته بیشتر از نوع فیشینگ بوده و با ارسال ایمیل های جعلی آن هم به طور هدفمند، برخی کاربران، کارمندان و در نتیجه مراکز حساس را هک کنند.

شرکت های امنیت سایبری فایرآی (FireEye) و کلیر اسکای (ClearSky) در گزارشی دیگر ادعا کردند که گروه هکری یاد شده با استفاده از کد های «PowerShell» روی سیستم های درب پشتی ایجاد کرده و از آن طریق، نفوذ خود را عملیاتی می کردند.

این گروه برای انجام حملات فیشینگ خود جستجوهای گسترده ای را در زمینه یافتن آدرس ایمیل برخی افراد انجام داده است. که در بسیاری از موارد، این کار به سادگی انجام پذیر است.

پیش از این مراکز امنیت سایبری و کارشناسان ادعا کرده بودند که گروه هکری OilRig  به کمپانی‌های خصوصی هم حملاتی داشته است. در این باره آدرس های ایمیلی در ماه می‌2016 کشف ‌شده که نشان می داد، این هکرها از سرورهای شرکت Al-Elm تامین‌ کننده امنیت سایبری دولت عربستان، برای ارسال ایمیل ‌های خود استفاده کرده‌اند. 

ایمیل‌ های منتشر شده از سوی محققان امنیتی ثابت می‌ کند که این گروه به شرکت Al-Elm نیز نفوذ داشته‌ است. این پیام در میان ایمیل‌ های در حال رد و بدل بین شرکت Al-Elm و موسسه مالی Samba یکی از بزرگ ‌ترین وام‌ دهندگان در عربستان، بوده است.

 این پیام حاوی کیت نظارتی بدافزار Helminth بود و به محض اینکه دریافت ‌کننده فایل پیوست را باز می ‌کرد، اجرا می ‌شد. فایل اکسل اجرایی در این ایمیل «Notes.xls» نام داشت. تا به‌ حال هیچ ‌کدام از شرکت ‌های Al-Elm و Samba در این ‌باره اظهارنظر نکرده‌ اند. 

طبق گزارش منتشر شده از شرکت امنیت سایبری SecureWorks، گروه OilRig ایمیل ‌های حاوی بدافزار را از طریق سرورهای قانونی یکی از بزرگ ‌ترین تامین ‌کنندگان امنیت سایبری عربستانی و یک شرکت ارائه‌دهنده خدمات آی‌ تی مصری با نام ITWorkx ارسال کرده است. مشخص است که با استفاده از این اکانت ‌های ایمیل، شرکتی نامعلوم در خاورمیانه مورد هدف قرار گرفته است. متن ایمیل‌های ارسالی نیز درباره لینک ‌های پیشنهاد کار و استخدام بوده ‌اند. فایل پیوستی نیز PupyRAT نام داشته که نوعی ویروس تروجان با قابلیت کنترل از راه دور از طریق پلتفرم‌ های اندرویدی، لینوکسی و ویندوزی است.