محمدرضا بهنام رئوف – مایکروسافت با انتشار گزارشی مدعی شد یک گروه هکری مرتبط با ایران که قبلا به دلیل تمرکز بر شناسایی، شناخته میشد، اکنون زیرساختهای حیاتی ایالات متحده را هدف قرار داده که احتمالا مقصود آن، انجام حملات سایبری مخرب است.
به گزارش داتیکا به نقل از عصر ارتباط، مایکروسافت خاطرنشان کرد که تغییر رویکرد این گروه هکر ایرانی در سال 2021 آغاز شد و مصادف با دورهای بود که ایران، هدف حملات سایبری واقع شد و اسرائیل و آمریکا را مقصر دانست.
بنا بر گزارش مایکروسافت، این هکرها زیرگروهی از یک گروه هستند که آنها را Mint Sandstorm مینامند و از یک سیستم نامگذاری جدید برای گروههای هک نشات میگیرند. این گروه قبلا Phosphorus نامیده میشد و سایر شرکتهای امنیت سایبری آن را Charming Kitten، APT 35، APT 42 و TA453 مینامیدند.
جان لمبرت که رهبری تیمهای اطلاعاتی و تحقیقاتی تلفیقی مایکروسافت برای امنیت این شرکت را بر عهده دارد، گفت: گروه Mint Sandstorm به دنبال تعقیب مخالفان، فعالان و پایگاههای صنعتی دفاعی معروف است. ما شاهد تغییر قابل توجهی نسبت به زیرساختهای حیاتی ایالات متحده بودیم… جایی که چندین بندر، حوزه حملونقل و انرژی هدف قرار گرفتند.
او گفت: «یک ارزیابی این است که این اتفاق، یک پیشموقعیت برای دسترسی به زیرساختهای حیاتی ایالات متحده است تا در صورت صدور دستور، برای اقدامات تلافیجویانه آماده باشیم.»
به گفته لامبرت، مایکروسافت شاهد نفوذ موفقیتآمیز این گروه در بخشهای مختلف بوده است.
پسزمینه
همانطور که ذکر شد مایکروسافت شاهد تغییر گسترده در بین هکرهای ایرانی است.
در گزارش این شرکت آمده است: «این هدفگیری، با افزایش گستردهتر در سرعت و دامنه حملات سایبری منتسب به بازیگران تهدیدکننده ایرانی بوده است. این تغییرات با یکی دیگر از زیرگروههای Mint Sandstorm، که مایکروسافت در سپتامبر 2021 مشاهده کرد، همزمان بود.»
در این گزارش آمده است: «به نظر میرسد افزایش تهاجم بازیگران تهدیدکننده ایرانی با سایر اقدامات دولت، تحتنظر حوزه جدید امنیت ملی است و نشان میدهد چنین گروههایی در عملیاتهای خود محدودتر هستند.»
با توجه به اجماع خطمشی رادیکال بین سیاستگذاران در تهران و تحریمهایی که قبلا علیه سازمانهای امنیتی ایران وضع شده بود، گروههای فرعی Mint Sandstorm ممکن است در انجام فعالیتهای مخرب سایبری، محدودیت کمتری داشته باشند.
محققان امنیتی به این نتیجه رسیدهاند که Mint Sandstorm با نهادهای نظامی ایران گره خورده است. البته ایران انجام حملات سایبری را رد کرده است.
در همین حال سایر شرکتهای سایبری به افزایش تهاجم Mint Sandstorm توجه کردهاند. شرکت پروفپپوینت نیز در دسامبر اعلام کرد این گروه، فهرست هدف خود را گسترش داده و اکنون سیاستمداران، مقامات دولتی و محققان پزشکی را نیز شامل میشود.
در انتهای گزارش پروفپوینت آمده است: TA453، مانند دیگر عوامل تهدیدکننده پیشرفته خود که درگیر جاسوسی هستند، از نظر ابزارها، تاکتیکها، تکنیکها و هدفگیری دائمی در نوسان است. این گروه با تعدیل رویکردهای خود، احتمالا در پاسخ به اولویتهای در حال تغییر و گسترش، احتمالا در قالب کمپینهای جداییطلب ادامه مییابد و الزامات جمعآوری اطلاعات نهادهای نظامی از جمله پشتیبانی احتمالی از عملیات خصمانه و حتی جنبشی را منعکس میکند.
تهاجم جدید Mint Sandstorm با یکسری حملات سایبری واقعی یا آشکار در ایران، همپوشانی داشت.
طبق گزارشهای منتشرشده در سال 2020، مقامات سایبری و اطلاعاتی بر این باور بودند که اسرائیل به تاسیسات بندری ایران حمله کرده است. همچنین در سال 2021، هکرها به شبکه ریلی ایران نفوذ کرده و آن را مختل کردند. مهمتر از همه، در سال 2021، رئیس سازمان پدافند غیرعامل ایران، اسرائیل و ایالات متحده را بهعنوان طرفهای احتمالی در پشت حمله به شبکه ملی توزیع سوخت ایران مقصر دانست.
لمبرت معتقد است این زیرگروه، پیچیدگی فنی و عملیاتی قابل توجهی در Mint Sandstorm نشان میدهد.
او گفت که این نوع حمله، به هکرها موقعیت بسیار ممتازی در شبکه هدف میدهد، معمولا فورا دارای اعتبار میشود و آنها را در موقعیتی قرار میدهد که آسیب بیشتری وارد کنند.
به گفته مایکروسافت، این زیرگروه به جای تکیه بر ابزارهای دیگران، ابزارهای هک خود را توسعه داده است.
لمبرت معتقد است این بدافزار سفارشی، میزان «انعطافپذیری عملیاتی» گروه را نشان میدهد.
مایکروسافت میگوید هدف قرار دادن زیرساختهای حیاتی تا اواسط سال 2022 ادامه داشت اما به نظر میرسد از آن زمان، این گروه، روی حجم قربانیان تمرکز کرده است.
اسامی جدید
مایکروسافت در طول تاریخ، گروههای هک را بر اساس عناصر شیمیایی جدول تناوبی نامگذاری کرده و اکنون، از آب و هوا برای ارائه اطلاعات بیشتر در نامگذاری استفاده میکند. به عنوان مثال، در حالی که طوفان شن (Sandstorm)، بیانگر یک گروه هک ایرانی است، بلیزارد (Blizzard)، بیانگر روسیه و سیل (Flood)، بیانگر عملیات نفوذ است. قسمت اول نام، یک رنگ یا طرح است.
لامبرت خاطرنشان کرد: علاوه بر تمایل به ارائه اطلاعات بیشتر درباره نامها، مایکروسافت به مشتریانی که نسبت به سخت بودن جستجوی نامهای قدیمی در وب شکایت داشتند، پاسخ داد.
او گفت: «اگر به دنبال Zinc (فلز روی) بگردید، ممکن است ضدآفتاب (sunscreen) پیدا کنید. این امر، بدین معناست که یافتن نام گروههای هکری قدیمی، سخت است.»