جولان هکرهای ایرانی در خاورمیانه ؛ تشدید حملات جاسوسی ایران علیه متحدان، دوستان و دشمنان!

جولان هکرهای ایرانی در خاورمیانه برای بسیاری از دولت‌های منطقه اعم از دوستان و دشمنان حکومت دردسرساز شده است. اما در این باره چه اطلاعات بیشتری داریم؟

گروه Oil Rig موجی از نگرانی را در دل سازمان‌های دولتی منطقه خاورمیانه به راه انداخته است. البته هنوز به‌طور دقیق مشخص نیست که این گروه هکری واقعاً ایرانی هستند یا خیر اما برخی رسانه‌ها با بررسی عملکرد آن از جولان هکرهای ایرانی در خاورمیانه خبر داده‌اند.

بیشتر بخوانید: جایزه 10 میلیون دلاری آمریکا برای دستگیری هکر روس!

جولان هکرهای ایرانی در خاورمیانه

به نقل از عصر ارتباط بک‌دور یا درب پشتی (Backdoor) نوعی نرم‌افزار مخرب است که‌قادر است برای دستیابی غیرمجاز به‌سیستم رایانه‌ای، محدودیت‌های امنیتی را دور بزند. درب پشتی یک قطعه کد است که به‌دیگران اجازه می‌دهد، بدون اینکه تشخیص داده شوند، از یک سیستم، وارد و خارج شوند. محمد فهمی، شریف مجدی و محمود زهدی از محققان Trend Micro می‌گویند:

این کمپین از اکانت‌های ایمیل قانونی به خطر افتاده، برای ارسال داده‌های سرقت‌شده به اکانت‌های ایمیل خارجی که توسط مهاجمان کنترل می‌شوند، سوءاستفاده می‌کند.

در حالی که این تکنیک به‌خودی‌خود بی‌سابقه نیست، نشانه‌هایی وجود دارد که OilRig آن را برای اولین‌بار در playbook خود به‌کار می‌گیرد. این امر، بیانگر تکامل مداوم روش‌های این گروه برای دور زدن حفاظت‌های امنیتی است.

گروه تهدید مداوم پیشرفته (APT) که با نام‌های APT34، Cobalt Gypsy،Europium و Helix Kitten نیز شناخته می‌شود، حداقل از سال 2014 برای حملات فیشینگ هدفمند در خاورمیانه ثبت شده است.

این گروه که ادعا می‌شود با ایران مرتبط است، از مجموعه ابزارهای متنوعی در عملیات خود استفاده می‌کند. مثلا در حملات اخیر سال‌های 2021 و 2022 از درهای پشتی مانند Karkoff، Shark،Marlin و Saitama برای سرقت اطلاعات استفاده کرده است.

نقطه شروع آخرین فعالیت یک dropper مبتنی بر دات‌نت است که‌وظیفه ارائه چهار فایل مختلف از جمله ایمپلنت اصلی (“DevicesSrv.exe”) را دارد و مسئول استخراج فایل‌های خاص مورد علاقه است.

همچنین در مرحله‌دوم یک فایل کتابخانه پیوند پویا (DLL) مورد استفاده قرار می‌گیرد که قادر به‌جمع‌آوری اعتبار، از کاربران دامنه و اکانت‌های محلی است.

قابل توجه‌ترین جنبه درپشتی دات‌نت، از روال خارج کردن آن است که‌شامل استفاده از اعتبارنامه‌های سرقت‌شده برای ارسال پیام‌های الکترونیکی به آدرس‌های ایمیل تحت کنترل جی‌میل و Proton Mail است. محققان می‌گویند:

بازیگران تهدید، این ایمیل‌ها را از طریق اکسچنج سرورهای دولتی با استفاده از اکانت‌های معتبر اما با رمزهای عبور سرقت‌شده ارسال می‌کنند.

اتصال کمپین به APT34 ناشی از شباهت‌های بین dropper مرحله اول و Saitama، الگوهای شناسایی قربانی و استفاده از سرورهای مبادله اینترنتی به‌عنوان یک روش ارتباطی است، همان‌طور که در مورد Karkoff مشاهده شد.

در هر صورت، تعداد فزاینده ابزارهای مخرب مرتبط با OilRig نشان‌دهنده انعطاف‌پذیری عامل تهدید برای ارائه بدافزار جدید بر اساس محیط‌های هدف و امتیازاتی است که در مرحله مشخصی از حمله دارند.

به گفته محققان، علی‌رغم سادگی روال این فعالیت، تازگی مراحل دوم و آخر نیز نشان می‌دهد که کل این روال فقط می‌تواند بخش کوچکی از کمپین بزرگ‌تری باشد که دولت‌ها را هدف قرار می‌دهد.

بیشتر بخوانید:

• جاسوسی و حملات سایبری چین به متحدان و رقبا ؛ چشم‌بادامی‌ها ایران را هم قربانی کردند!
• مایکروسافت از حمله هکرهای ایرانی به زیرساخت‌های آمریکا خبر داد
• سرقت 721 میلیون دلار ارز دیجیتال ژاپنی‌ها توسط هکرهای کره شمالی

دیدگاه شما در خصوص جولان هکرهای ایرانی در خاورمیانه چیست؟ نظرات خود را در بخش کامنت‌ها با تکراتو به اشتراک بگذارید و اخبار تکنولوژی را با ما دنبال کنید.