حمله هکرهای ایرانی به یک شخصیت یهودی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، در ماه ژوئیه، هکرها به طور گزارش شده از چندین آدرس ایمیل استفاده کردند که به نظر می‌رسید متعلق به مدیر پژوهش مؤسسه مطالعات جنگ (ISW)، یک اندیشکده مستقر در آمریکا باشد.

با استفاده از این آدرس جعلی، هکرها از قربانی ناشناس دعوت کردند که در پادکست میزبانی شده توسط این موسسه شرکت کند.

پس از تبادل ایمیل، هکرها یک لینک (URL) گوگل درایو ارسال کردند که به یک فایل زیپ (ZIP) به نام "Podcast Plan-2024.zip" منتهی می‌شد، که حاوی نرم‌افزاری به نام  بلک اسمیث (BlackSmith) بود که برای جمع‌آوری اطلاعات و استخراج آن طراحی شده است.

محققان در شرکت پروف پوینت (Proofpoint) که گزارشی درباره این حادثه منتشر کرده است، بیان کردند که نمی‌توانند این کمپین را مستقیماً به اعضای خاص سپاه پاسداران انقلاب اسلامی (IRGC) مرتبط کنند، اما همچنین اظهار کردند که فعالیت توسط عوامل شناخته شده‌ای انجام شده است که دیگران آنها را برای سال‌ها دنبال کرده‌اند.

محققان حداقل دو ارتباط بین این کمپین و گروهی با ارتباطات قبلی به سپاه پاسداران یافتند که با نام‌های ای پی تی ۴۲ (APT42)، طوفان شن نعنایی یا مینت سند استورم (Mint Sandstorm)، گربه جذاب یا چارمینگ کیتن (Charming Kitten) و تی ای ۴۵۳ (TA453) شناخته می‌شود.

ای پی تی ۴۲، هفته گذشته توسط گوگل به هدف قرار دادن افراد برجسته در ایالات متحده و رژیم صهیونیستی متهم شد، از جمله چند نفر مرتبط با هر دو کمپین اصلی ریاست جمهوری ایالات متحده.

یکی از کوتاه‌کننده‌های لینک استفاده شده در کمپین تحت نظارت پروف پوینت، توسط گروه تهدیدات گوگل در ماه می ۲۰۲۴ به عنوان مرتبط با ای پی تی ۴۲ ذکر شد.

پروف پوینت عنوان کرد که استفاده از ابزار جمع‌آوری اطلاعات بلک اسمیث، نشانه‌ای از حملات حمایت‌شده توسط ایران است.

محققان همچنین مدعی شدند که هدف‌گذاری گروه با اولویت‌های گزارش‌شده سازمان اطلاعات سپاه پاسداران نیز هم‌راستا است.

جاشوا میلر، پژوهشگر تهدید ای پی تی (APT) در پروف پوینت، تصریح کرد که عوامل تهدیدی که آنها به عنوان تی ای ۴۵۳ دنبال می‌کنند، بخشی از الگوی منسجم حملات فیشینگ هستند که اولویت‌های اطلاعاتی سپاه پاسداران را منعکس می‌کند.

او همچنین گفت:

این استقرار بدافزار که به دنبال هدف قرار دادن یک شخصیت برجسته یهودی است، احتمالاً از تلاش‌های سایبری جاری ایران در برابر منافع رژیم صهیونیستی حمایت می‌کند. تی ای ۴۵۳ به طور پیوسته به عنوان تهدیدی مداوم علیه سیاستمداران، مدافعان حقوق بشر، مخالفان و دانشگاهیان شناخته می‌شود.

این گزارش ادعا می‌کند که دستورات سپاه پاسداران منجر به هدف‌گیری مجموعه‌ای از نهادهای دیپلماتیک و سیاسی، از جمله سفارت‌ها در تهران تا کمپین‌های سیاسی ایالات متحده شده است.

در حالی که استفاده از دعوت به مصاحبه پادکست یک تاکتیک جدید بود، اما این گروه از تکنیک‌های مهندسی اجتماعی مختلفی برای متقاعد کردن هدف‌ها به دانلود یا باز کردن محتوای مخرب استفاده کرده است.

این حادثه شامل رد و بدل شدن چندین ایمیل بین هکرها و قربانی قبل از معرفی بدافزار بود.

پروف پوینت تاکید کرد که اولین بار هکرهای ایرانی را که در کمپین‌های فیشینگ، به جعل مؤسسه مطالعات جنگ پرداخته‌اند، از فوریه مشاهده کرده است؛ بعد از اینکه آنها دامنه‌ای را در ژانویه ثبت کردند.

هکرها دعوت‌نامه جعلی پادکست را به چندین آدرس ایمیل تحت کنترل شخصیت مذهبی ارسال کردند که یکی دیگر از ویژگی‌های هکرهای دولتی است.

پیش از انتخابات ریاست جمهوری ۲۰۲۴ ایالات متحده، شرکت‌های امنیت سایبری و دولت‌ها گزارش داده‌اند که فعالیت‌های سایبری مخرب از ایران به طور قابل توجهی افزایش یافته است.

علاوه بر گزارش گوگل در هفته گذشته، مایکروسافت و کمپین رئیس‌جمهور پیشین دونالد ترامپ نیز ایران را به انجام اقدامات هکری متهم کرده‌اند.

روز جمعه، شرکت هوش مصنوعی اوپن ای آی (OpenAI) اعلام کرد که گروهی از حساب‌های چت جی پی تی (ChatGPT) را که برای عملیات نفوذ پنهان ایرانی محتوا تولید می‌کردند، حذف کرده است.

شرکت اوپن ای آی بیان کرد که این گروه از چت جی پی تی برای ایجاد مطالب مرتبط با درگیری در غزه، حضور رژیم صهیونیستی در المپیک، انتخابات ریاست‌جمهوری ایالات متحده، سیاست در ونزوئلا و استقلال اسکاتلند استفاده کرده است.