9 اردیبهشت 1402

حمله هکرهای ایرانی به آمریکا

محمدرضا بهنام رئوف – مایکروسافت با انتشار گزارشی مدعی شد یک گروه هکری مرتبط با ایران که قبلا به دلیل تمرکز بر شناسایی، شناخته‌ می‌شد، اکنون زیرساخت‌های حیاتی ایالات متحده را هدف قرار داده که احتمالا مقصود آن، انجام حملات سایبری مخرب است.

به گزارش داتیکا به نقل از عصر ارتباط، مایکروسافت خاطرنشان کرد که تغییر رویکرد این گروه هکر ایرانی در سال 2021 آغاز شد و مصادف با دوره‌ای بود که ایران، هدف حملات سایبری واقع شد و اسرائیل و آمریکا را مقصر دانست.

بنا بر گزارش مایکروسافت، این هکرها زیرگروهی از یک گروه هستند که آنها را Mint Sandstorm می‌نامند و از یک سیستم نامگذاری جدید برای گروه‌های هک نشات می‌گیرند. این گروه قبلا Phosphorus نامیده می‌شد و سایر شرکت‌های امنیت سایبری آن را Charming Kitten، APT 35، APT 42 و TA453 می‌نامیدند.

جان لمبرت که رهبری تیم‌های اطلاعاتی و تحقیقاتی تلفیقی مایکروسافت برای امنیت این شرکت را بر عهده دارد، گفت: گروه Mint Sandstorm به دنبال تعقیب مخالفان، فعالان و پایگاه‌های صنعتی دفاعی معروف است. ما شاهد تغییر قابل توجهی نسبت به زیرساخت‌های حیاتی ایالات متحده بودیم… جایی که چندین بندر، حوزه حمل‌ونقل و انرژی هدف قرار گرفتند.

او گفت: «یک ارزیابی این است که این اتفاق، یک پیش‌موقعیت برای دسترسی به زیرساخت‌های حیاتی ایالات متحده است تا در صورت صدور دستور، برای اقدامات تلافی‌جویانه آماده باشیم.»

به گفته لامبرت، مایکروسافت شاهد نفوذ موفقیت‌آمیز این گروه در بخش‌های مختلف بوده است.

پس‌زمینه
همانطور که ذکر شد مایکروسافت شاهد تغییر گسترده در بین هکرهای ایرانی است.

در گزارش این شرکت آمده است: «این هدف‌گیری، با افزایش گسترده‌تر در سرعت و دامنه حملات سایبری منتسب به بازیگران تهدیدکننده ایرانی بوده است. این تغییرات با یکی دیگر از زیرگروه‌های Mint Sandstorm، که مایکروسافت در سپتامبر 2021 مشاهده کرد، همزمان بود.»

در این گزارش آمده است: «به نظر می‌رسد افزایش تهاجم بازیگران تهدیدکننده ایرانی با سایر اقدامات دولت، تحت‌نظر حوزه جدید امنیت ملی است و نشان می‌دهد چنین گروه‌هایی در عملیات‌های خود محدودتر هستند.»

با توجه به اجماع خط‌مشی رادیکال بین سیاستگذاران در تهران و تحریم‌هایی که قبلا علیه سازمان‌های امنیتی ایران وضع شده بود، گروه‌های فرعی Mint Sandstorm ممکن است در انجام فعالیت‌های مخرب سایبری، محدودیت کمتری داشته باشند.

محققان امنیتی به این نتیجه رسیده‌اند که Mint Sandstorm با نهادهای نظامی ایران گره خورده است. البته ایران انجام حملات سایبری را رد کرده است.

در همین حال سایر شرکت‌های سایبری به افزایش تهاجم Mint Sandstorm توجه کرده‌اند. شرکت پروفپ‌پوینت نیز در دسامبر اعلام کرد این گروه، فهرست هدف خود را گسترش داده و اکنون سیاستمداران، مقامات دولتی و محققان پزشکی را نیز شامل می‌شود.

در انتهای گزارش پروف‌پوینت آمده است: TA453، مانند دیگر عوامل تهدیدکننده پیشرفته خود که درگیر جاسوسی هستند، از نظر ابزارها، تاکتیک‌ها، تکنیک‌ها و هدف‌گیری دائمی در نوسان است. این گروه با تعدیل رویکردهای خود، احتمالا در پاسخ به اولویت‌های در حال تغییر و گسترش، احتمالا در قالب کمپین‌های جدایی‌طلب ادامه می‌یابد و الزامات جمع‌آوری اطلاعات نهادهای نظامی از جمله پشتیبانی احتمالی از عملیات‌ خصمانه و حتی جنبشی را منعکس می‌کند.

تهاجم جدید Mint Sandstorm با یک‌سری حملات سایبری واقعی یا آشکار در ایران، هم‌پوشانی داشت.

طبق گزارش‌های منتشرشده در سال 2020، مقامات سایبری و اطلاعاتی بر این باور بودند که اسرائیل به تاسیسات بندری ایران حمله کرده است. همچنین در سال 2021، هکرها به شبکه ریلی ایران نفوذ کرده و آن را مختل کردند. مهم‌تر از همه، در سال 2021، رئیس سازمان پدافند غیرعامل ایران، اسرائیل و ایالات متحده را به‌عنوان طرف‌های احتمالی در پشت حمله به شبکه ملی توزیع سوخت ایران مقصر دانست.

لمبرت معتقد است این زیرگروه، پیچیدگی فنی و عملیاتی قابل توجهی در Mint Sandstorm نشان می‌دهد.

او گفت که این نوع حمله، به هکرها موقعیت بسیار ممتازی در شبکه هدف می‌دهد، معمولا فورا دارای اعتبار می‌شود و آنها را در موقعیتی قرار می‌دهد که آسیب بیشتری وارد کنند.

به گفته مایکروسافت، این زیرگروه به‌ جای تکیه بر ابزارهای دیگران، ابزارهای هک خود را توسعه داده است.

لمبرت معتقد است این بدافزار سفارشی، میزان «انعطاف‌پذیری عملیاتی» گروه را نشان می‌دهد.

مایکروسافت می‌گوید هدف قرار دادن زیرساخت‌های حیاتی تا اواسط سال 2022 ادامه داشت اما به نظر می‌رسد از آن زمان، این گروه، روی حجم قربانیان تمرکز کرده است.

اسامی جدید
مایکروسافت در طول تاریخ، گروه‌های هک را بر اساس عناصر شیمیایی جدول تناوبی نامگذاری کرده و اکنون، از آب و هوا برای ارائه اطلاعات بیشتر در نامگذاری استفاده می‌کند. به عنوان مثال، در حالی که طوفان شن (Sandstorm)، بیانگر یک گروه هک ایرانی است، بلیزارد (Blizzard)، بیانگر روسیه و سیل (Flood)، بیانگر عملیات نفوذ است. قسمت اول نام، یک رنگ یا طرح است.

لامبرت خاطرنشان کرد: علاوه بر تمایل به ارائه اطلاعات بیشتر درباره نام‌ها، مایکروسافت به مشتریانی که نسبت به سخت بودن جستجوی نام‌های قدیمی در وب شکایت داشتند، پاسخ داد.

او گفت: «اگر به دنبال Zinc (فلز روی) بگردید، ممکن است ضدآفتاب (sunscreen) پیدا کنید. این امر، بدین معناست که یافتن نام گروه‌های هکری قدیمی، سخت است.»