انتشار شده در تاریخ 1402/02/11 - 16:39

ادعای حمله باج افزاری ایران علیه اهدافی در ایالات متحده، اروپا و آسیا

یک گروه هکری تحت حمایت دولتی ایران متهم به استفاده نوع جدیدی از بدافزار به نام بلاچاو (BellaCiao) علیه چندین هدف در ایالات متحده، اروپا، هند، ترکیه و سایر کشورها شده است.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، محققان شرکت امنیت سایبری بیت دیفندر (Bitdefender) این بدافزار را که به عنوان APT35/APT42 که همچنین به نام مینت سند استورم (Mint Sandstorm) یا چارمینگ کیتن (Charming Kitten) نیز شناخته می شود، به یک گروه تهدید دائمی پیشرفته که گفته می‌شود توسط سپاه پاسداران انقلاب اسلامی ایران اداره می‌شود، نسبت داده اند.
مارتین زوگک (Martin Zugec)، مدیر راه‌حل‌های فنی بیت دیفندر، به خبرگزاری ریکوردد فیوچر نیوز (Recorded Future News) می گوید که توسعه‌دهندگان بدافزار، بلاچاو را به عنوان اشاره‌ای به آهنگ فولکلور ایتالیایی در مورد مبارزه با مقاومت نامگذاری کرده اند.
بلاچاو یک بدافزار دراپر (dropper) است که برای ارسال سایر بدافزارها به دستگاه هدف بر اساس دستورالعمل‌های مهاجمان طراحی شده است. زوگک می گوید:

این برنامه کاملاً مخفیانه طراحی شده است و با عوامل تهدید ارتباط زیادی برقرار نمی کند و در حین کار در دریافت دستورالعمل ها کاملاً منفعل است. من هرگز تکنیکی را که آنها استفاده می کنند، ندیده ام. هر ایمپلنت برای هدف خاصی سفارشی شده است. بلاچاو کاملاً طوری طراحی شده است که پس از ارتباط اولیه، تقریباً به حالت مخفی تبدیل می شود. تا زمانی که استفاده کنندگان از بلاچاو آمادگی استفاده از دسترسی خود را نداشته باشند، این بدافزار کاری انجام نخواهد داد.

بر اساس تجزیه و تحلیل آنها از چندین هدف مختلف، زوگک در ادامه می گوید:

واضح است که هکرها قربانیان را بر اساس نام پوشه هایی که محققان پیدا کرده اند سازماندهی می کنند. محققان پوشه هایی به نام های اسرائیل، ترکیه، اتریش، هند و ایتالیا را کشف کرده اند.

زئگک همچنین معتقد است که آنها قادر به کشف ناقل آلودگی اولیه نیستند، اما می گوید که اهداف اولیه، سرورهای مایکروسافت اکسچنج (Microsoft Exchange) هستند، به این معنی که هکرها به احتمال زیاد از یکی از زنجیره های سوء استفاده از مایکروسافت اکسچنج مانند پروکسی شل (ProxyShell) یا پروکسی نات شل (ProxyNotShell) استفاده کرده اند. زوگک خاطرنشان می کند که گروه چارمینگ کیتن نیز حین استفاده از آسیب‌پذیری Log4j در طول حملات خود دستگیر شده‌اند.
به محض اینکه بلاچاو مستقر شد، سعی می کند مایکروسافت دیفندر (Microsoft Defender) را غیرفعال کند. بیت دیفندر می گوید که این بدافزار سپس در را برای گونه‌های دیگری که معمولاً برای اهداف جاسوسی، سرقت اطلاعات، باج‌افزار/اخاذی و موارد دیگر استفاده می‌شوند، باز می‌کند.
این کمپین بسیار پیچیده است و بیت دیفندر ادعا می کند که در حال حاضر نیز ادامه دارد.
ما معتقدیم که این کمپین مرحله بعدی پس از انجام حملات فرصت طلبانه است. محققان می گویند که چارمینگ کیتن به طور بی رویه ای به دنبال سیستم های آسیب پذیر می گردد (با استفاده از اکسپلویت های آسیب پذیری)، سپس بدافزار سفارشی (بلاچاو) برای سازمان های در معرض خطر توسعه یافته و از راه دور مستقر می شود.
مایکروسافت که این گروه را مینت سند استورم می نامد، هفته گذشته ادعا کرده بود که همان گروه هکر ایرانی بیشتر سال های 2021 و 2022 را مستقیماً به حمله به زیرساخت های حیاتی ایالات متحده از جمله بنادر دریایی، شرکت های انرژی، سیستم های ترانزیت و یک شرکت بزرگ آب و گاز ایالات متحده پرداخته بوده است.
مایکروسافت توضیح می دهد:

به نظر می‌رسد که افزایش تهاجم عوامل تهدیدکننده ایران در ارتباط با سایر اقدامات ایران تحت یک دستگاه جدید امنیت ملی است، که نشان می‌دهد چنین گروه‌هایی در عملیات خود محدودیت کمتری دارند. با توجه به حضور افراد تندرو میان سیاستگذاران در تهران و تحریم‌هایی که قبلاً بر سازمان‌های امنیتی ایران وضع شده بود، گروه‌های فرعی مینت سند استورم ممکن است در انجام فعالیت‌های مخرب سایبری، محدودیت کمتری داشته باشند.