حملات جدید هکرهای ایران و حزب‌الله علیه رژیم صهیونیستی

به گزارش کارگروه بین‌الملل سایبربان؛ محققان غربی مدعی شدند که هکرهای تحت حمایت ایران و حزب‌الله حملات سایبری را با هدف کاهش حمایت عمومی از رژیم صهیونیستی و تأثیرگذاری بر افکار عمومی پس از اکتبر 2023 ترتیب دادند؛ این حملات شامل حملات مخرب علیه سازمان‌های کلیدی رزیم صهیونیستی، عملیات‌های هک و هدف قرار دادن نهادها در اراضی اشغالی و ایالات متحده، کمپین‌های فیشینگ با هدف سرقت اطلاعات و عملیات‌های اطلاعاتی برای برانگیختن افکار عمومی علیه اسرائیل است.

گوگل در گزارش جدیدی اعلام کرد که ایران در 6 ماه منتهی به حملات 7 اکتبر 2023، نزدیک به 80 درصد از کل فعالیت‌های فیشینگ تحت حمایت دولت را علیه رژیم صهیونیستی، به خود اختصاص داده است. گزارش جدید این غول فناوری به شرح زیر است :

«هک و افشای عملیات و اطلاعات یک مؤلفه کلیدی در تلاش‌های هکرها برای تلگراف قصد و توانایی در طول جنگ، هم برای دشمنان و هم برای سایر مخاطبانی که به دنبال تأثیرگذاری هستند، است.

اما آنچه در مورد درگیری اسرائیل و حماس قابل توجه است، عملیات‌های سایبری مستقل از اقدامات جنبشی و میدان نبرد است که برخلاف آنچه در مورد جنگ روسیه و اوکراین مشاهده شد، اجرا می‌شود؛ چنین قابلیت‌های سایبری می‌توانند به سرعت با هزینه کمتر برای تعامل با رقبای منطقه‌ای بدون رویارویی مستقیم نظامی به کار گرفته شوند.

یکی از گروه‌های وابسته به ایران به نام «GREATRIFT» معروف به «UNC4453» یا «Plaid Rain»، بدافزار را از طریق سایت جعلی افراد گمشده منتشر می‌کند که بازدیدکنندگانی را که به دنبال به‌روزرسانی درباره اسرائیلی‌های ربوده‌شده هستند، هدف قرار می‌دهد. این گروه هکری همچنین از اسناد فریب با مضمون اهدای خون به عنوان بردار توزیع استفاده کرد.

حداقل 2 گروه هکری به نام‌های کارما (Karma) و «Handala Hack» از گونه‌های بدافزار پاک‌کن مانند پاک‌کن «BiBi-Windows»، پاک‌کن «BiBi-Linux »، «ChiLLWIPE» و «COOLWIPE» برای اجرای حملات مخرب علیه اسرائیل و حذف فایل‌ها از سیستم‌های ویندوز و لینوکس استفاده کرده‌اند.

یکی دیگر از گروه‌های هکری ایرانی به نام «Charming Kitten»، با نام مستعار «APT42» یا «CALANQUE»، رسانه‌ها و سازمان‌های غیردولتی (NGO) را با درب پشتی «PowerShell» به نام «POWERPUG» به عنوان بخشی از یک کمپین فیشینگ، که اواخر اکتبر و نوامبر 2023 مشاهده شد، هدف قرار داد.

POWERPUG همچنین آخرین مورد اضافه شده به لیست طولانی درهای پشتی دشمن شامل «PowerLess»، «BellaCiao»، «POWERSTAR» (معروف به GorjolEcho)، «NokNok» و «BASICSTAR» است.

از سوی دیگر، گروه‌های مرتبط با حماس، مهندسان نرم‌افزار اسرائیلی را با ابزارهای کدنویسی هدف قرار دادند تا آنها را فریب دهند تا چند هفته قبل از حملات 7 اکتبر، بدافزار «SysJoker» را دانلود کنند. این کمپین به یک عامل تهدید به نام «BLACKATOM» نسبت داده شده است.

مهاجمان به عنوان کارمندان شرکت‌های قانونی ظاهر شدند و از طریق لینکدین از اهداف برای درخواست فرصت‌های توسعه نرم‌افزار آزاد دعوت کردند. اهداف شامل مهندسان نر‌م‌افزار در ارتش و صنایع هوافضا و دفاعی اسرائیل بودند.

این شرکت که مقر آن در کالیفرنیا است، تاکتیک‌های اتخاذ شده از سوی عوامل تهدید سایبری حماس را ساده اما مؤثر توصیف و به استفاده آنها از مهندسی اجتماعی برای ارائه تروجان‌ها و درهای پشتی دسترسی از راه دور مانند «MAGNIFI» برای هدف قرار دادن کاربران در فلسطین و اسرائیل اشاره کرد که به «BLACKSTEM» مرتبط است.

افزودن بعد دیگری به این کمپین‌ها، استفاده از نرم‌افزارهای جاسوسی است که گوشی‌های اندرویدی را هدف قرار می‌دهد که قادر به جمع‌آوری اطلاعات حساس و استخراج داده‌ها به سمت زیرساخت‌های تحت کنترل مهاجم هستند.

گونه‌های بدافزاری موسوم به «MOAAZDROID» و «LOVELYDROID»، مرتبط با هکرهای حماس به نام «DESERTVARNISH» هستند که با نام‌های «Arid Viper»، «Desert Falcons»، «Renegade Jackal» و «UNC718» نیز ردیابی می‌شوند. جزئیات مربوط به جاسوس‌افزار قبلاً توسط سیسکو تالوس (Cisco Talos) در اکتبر 2023 ثبت شده بود.

گروه‌های تحت حمایت ایران مانند «MYSTICDOME» (معروف به UNC1530) نیز مشاهده شده‌اند که دستگاه‌های تلفن همراه اسرائیلی‌ها را با تروجان دسترسی از راه دور اندروید «MYTHDROID» (معروف به AhMyth) و همچنین یک جاسوس‌افزار سفارشی به نام «SOLODROID» برای جمع‌آوری اطلاعات مورد هدف قرار می‌دهند؛ این گروه هکری SOLODROID را با استفاده از پروژه‌های «Firebase» توزیع کرد که 302 کاربر را به پلی استور هدایت کرد، جایی که از آنها خواسته شد تا نرم‌افزارهای جاسوسی را نصب کنند.

همچنین یک بدافزار اندرویدی به نام «REDRUSE» وجود دارد که نسخه تروجانیزه شده از برنامه قانونی هشدار قرمز (Red Alert) در اسرائیل برای هشدار در مورد حملات موشکی است که داده‌های پیام‌رسانی و مکان مخاطبان را استخراج می‌کند. این برنامه از طریق اس‌ام‌اس پیام‌های فیشینگ را با جعل هویت پلیس ارسال می‌کند.

جنگ جاری بر ایران نیز تأثیر گذاشته است، زیرا زیرساخت‌های حیاتی آن توسط گروه هکری گنجشک درنده در دسامبر 2023 مختل شد. گمان می‌رود این گروه هکری با اداره اطلاعات نظامی اسرائیل مرتبط باشد.

مایکروسافت معتقد است که عوامل تهدید همسو با دولت ایران یک سری حملات سایبری و عملیات نفوذ (IO) را با هدف کمک به حماس و تضعیف اسرائیل و متحدان سیاسی و شرکای تجاری‌اش به راه انداخته‌اند.»

ردموند (Redmond)، عملیات‌های سایبری و نفوذ در مراحل اولیه خود را واکنشی و فرصت‌طلبانه توصیف کرد، در حالیکه ارزیابی گوگل را تأیید کرد که حملات به طور فزاینده‌ای هدفمند و مخرب و کمپین‌های عملیات نفوذ پیچیده‌تر شده‌اند.

مایکروسافت ادعا کرد که علاوه بر تشدید و گسترش تمرکز حملات فراتر از رژیم صهیونیستی و شامل کشورهایی که ایران آنها به کمک به اسرائیل متهم می‌کند، از جمله آلبانی، بحرین و ایالات متحده، همکاری بین گروه‌های وابسته به ایران مانند طوفان شن صورتی (معروف به آگریوس) و واحدهای سایبری حزب‌الله را مشاهده کرده است.

کلینت واتس (Clint Watts)، مدیر کل مرکز تحلیل تهدیدات مایکروسافت (MTAC) اظهار داشت :

«همکاری موانع ورود را کاهش و به هر گروه اجازه می‌دهد تا توانایی‌های موجود را به اشتراک بگذارد و نیاز به یک گروه واحد برای توسعه طیف کاملی از ابزارها یا صنایع تجاری را از بین می‌برد.»

هفته گذشته، ان‌بی‌سی نیوز گزارش داد که ایالات متحده اخیراً یک حمله سایبری را علیه یک کشتی نظامی ایرانی به نام «MV Behshad»، که در حال جمع‌آوری اطلاعات از کشتی‌های باری در دریای سرخ و خلیج عدن بود، انجام داده است؛

تحلیلی از «Recorded Future» در ماه گذشته همچنین نحوه مدیریت و عملیات‌های هک افراد و گروه‌هایی در ایران را از طریق شرکت‌های مختلف قراردادی، که عملیات‌های جمع‌آوری اطلاعات را برای برانگیختن بی‌ثباتی در کشورهای هدف انجام می‌دهند، شرح داد.

مایکروسافت در پایان مدعی شد :

«در حالیکه گروه‌های ایرانی برای انجام عملیات‌ها در روزهای اولیه جنگ عجله داشتند، گروه‌های ایرانی عملیات‌های اخیر خود را کند کرده‌اند و به آنها فرصت بیشتری برای دستیابی به دسترسی دلخواه یا توسعه عملیات‌های نفوذ دقیق‌تر داده‌اند.»