بازیگران تهدیدکننده ایران در این ماه به طور یکسان در رادار و در تیررس دولت آمریکا و محققان امنیتی قرار گرفتهاند و به نظر میرسد سرکوبهای بعدی آن افزایش یافته است. فعالیت تهدید از گروه های تهدید مداوم پیشرفته (APT) مرتبط با سپاه پاسداران انقلاب اسلامی ایران (سپاه).
دولت آمریکا روز چهارشنبه به طور همزمان فاش کرد یک طرح هک پیچیده توسط و کیفرخواست علیه چندین شهروند ایرانی به لطف اسناد دادگاهی که اخیراً مهر و موم نشده است، و به سازمان های آمریکایی در مورد فعالیت APT ایران هشدار داده است. از آسیب پذیری های شناخته شده سوء استفاده کنید - از جمله ProxyShell و Log4Shell نقص - به منظور حملات باج افزار.
در همین حال، تحقیقات جداگانه اخیراً نشان داده است که یک عامل تهدید کننده تحت حمایت دولت ایران با نام APT42 ردیابی شده است. مرتبط شده است بیش از 30 حمله سایبری تایید شده از سال 2015، که افراد و سازمان های دارای اهمیت استراتژیک برای ایران، با اهدافی در استرالیا، اروپا، خاورمیانه و ایالات متحده را هدف قرار داده است.
این خبر در بحبوحه تنش های فزاینده بین ایالات متحده و ایران منتشر می شود تحریم های اعمال شده علیه امت اسلامی به دلیل فعالیت اخیر APT از جمله حمله سایبری علیه دولت آلبانی در ماه ژوئیه که باعث تعطیلی وب سایت های دولتی و خدمات عمومی آنلاین شد و به طور گسترده مورد انتقاد قرار گرفت.
به گفته محققان، علاوه بر این، با افزایش تنشهای سیاسی بین ایران و غرب، زیرا این کشور خود را بیشتر با چین و روسیه هماهنگ میکند، انگیزه سیاسی ایران برای فعالیتهای تهدید سایبری در حال افزایش است. نیکول هافمن، تحلیلگر ارشد اطلاعاتی تهدیدات سایبری در ارائهدهنده راهحلهای حفاظت از خطر Digital Shadows، خاطرنشان میکند که حملات زمانی که با تحریمهای دشمنان سیاسی مواجه میشوند، به احتمال زیاد از نظر مالی هدایت میشوند.
پایدار و سودمند
با این حال، در حالی که به نظر میرسد سرفصلها منعکسکننده افزایش فعالیتهای تهدیدات سایبری اخیر از سوی APTهای ایرانی است، محققان میگویند اخبار اخیر حملات و کیفرخواستها بیشتر بازتابی از فعالیتهای مداوم و مداوم ایران برای ترویج منافع مجرمانه سایبری و برنامه سیاسی خود در سراسر جهان است. .
Emiel Haeghebaert، تحلیلگر Mandiant در ایمیلی به دارک ریدینگ خاطرنشان کرد: «افزایش گزارش رسانهها درباره فعالیتهای تهدید سایبری ایران لزوماً با افزایش فعالیتهای مذکور مرتبط نیست».
Aubrey Perin، تحلیلگر ارشد اطلاعاتی تهدیدات در Qualys میگوید: «اگر شما کوچکنمایی کنید و به دامنه کامل فعالیتهای دولت-ملت نگاه کنید، ایران تلاشهای آنها را کند نکرده است. درست مانند هر گروه سازمانیافته، پشتکار آنها کلید موفقیت آنها است، چه در بلندمدت و چه در کوتاهمدت.
با این حال، ایران، مانند هر بازیگر دیگری که تهدید میکند، فرصتطلب است و ترس و عدم اطمینان فراگیر که در حال حاضر به دلیل چالشهای ژئوپلیتیکی و اقتصادی - مانند جنگ جاری در اوکراین، تورم و سایر تنشهای جهانی - وجود دارد، قطعا تلاشهای APT آنها را تقویت میکند. می گوید.
مقامات توجه کنند
اعتماد و جسارت روزافزون APTهای ایرانی مورد توجه مقامات جهانی قرار نگرفته است - از جمله آنها در ایالات متحده که به نظر می رسد از درگیری های سایبری خصمانه مداوم کشور خسته شده اند و حداقل در دهه گذشته آنها را تحمل کرده اند.
کیفرخواستی که روز چهارشنبه توسط وزارت دادگستری (DoJ)، دفتر دادستانی ایالات متحده، ناحیه نیوجرسی منتشر شد، روشنی خاصی را بر فعالیت باج افزار که بین فوریه 2021 و فوریه 2022 رخ داد و صدها قربانی را در چندین ایالت ایالات متحده از جمله ایلینویز تحت تأثیر قرار داد، روشن کرد. می سی سی پی، نیوجرسی، پنسیلوانیا و واشنگتن.
این کیفرخواست فاش کرد که از اکتبر 2020 تا کنون، سه شهروند ایرانی - منصور احمدی، احمد خطیبی عقدا و امیرحسین نیکایین راوری - در حملات باجافزاری که از آسیبپذیریهای شناخته شده برای سرقت و رمزگذاری دادههای صدها قربانی در ایالات متحده استفاده میکردند، دست داشتند. انگلستان، اسرائیل، ایران و جاهای دیگر.
آژانس امنیت سایبری و امنیت زیرساخت (CISA)، افبیآی و سایر آژانسها متعاقباً هشدار دادند که بازیگران مرتبط با سپاه پاسداران انقلاب اسلامی، یک سازمان دولتی ایران که وظیفه دفاع از رهبری در برابر تهدیدات داخلی و خارجی را دارد، از مایکروسافت سوء استفاده کردهاند و احتمالاً به سوء استفاده از مایکروسافت ادامه خواهند داد. و آسیب پذیری های Fortinet - از جمله نقص سرور Exchange معروف به پروکسی شل - در فعالیتی که بین دسامبر 2020 و فوریه 2021 شناسایی شد.
مهاجمان که گمان میرود به دستور یک APT ایرانی عمل میکنند، از آسیبپذیریها برای دسترسی اولیه به نهادها در چندین بخش زیرساختهای حیاتی ایالات متحده و سازمانها در استرالیا، کانادا و بریتانیا برای باجافزار و سایر عملیاتهای مجرمانه سایبری، آژانسها استفاده کردند. گفت.
عوامل تهدید با استفاده از دو نام از فعالیتهای مخرب خود محافظت میکنند: فناوری ناجی هوشمند فاطر، مستقر در کرج، ایران؛ و شرکت افکار سیستم یزد مستقر در شهر یزد بر اساس کیفرخواست صادره.
APT42 و ایجاد حس تهدیدات
هافمن از Digital Shadows میگوید: اگر سیل اخیر سرفصلهای متمرکز بر APTهای ایرانی گیجکننده به نظر میرسد، به این دلیل است که برای شناسایی این فعالیت، سالها تجزیه و تحلیل و کاوشگری طول کشیده است، و مقامات و محققان به طور یکسان همچنان در تلاش هستند تا سر خود را در اطراف همه آن بپیچند.
او میگوید: «پس از شناسایی، بررسی این حملات زمان معقولی میگیرد. "تکه های پازل زیادی برای تجزیه و تحلیل و کنار هم قرار دادن وجود دارد."
محققان Mandiant اخیراً یک پازل را جمع آوری کرده اند که فاش شده است سالها فعالیت جاسوسی سایبری که با spear-phishing شروع میشود، اما منجر به نظارت و نظارت بر تلفنهای اندرویدی توسط APT42 مرتبط با سپاه میشود که گمان میرود زیرمجموعه دیگری از گروه تهدید ایرانی باشد. APT35/گربه جذاب/فسفر.
این دو گروه با هم هستند متصل به گفته محققان، به یک خوشه تهدید دسته بندی نشده با نام UNC2448 که توسط مایکروسافت و Secureworks به عنوان یک زیرگروه فسفر شناسایی شده است که با استفاده از BitLocker حملات باج افزاری را برای منافع مالی انجام می دهد.
برای ضخیم تر شدن طرح، به نظر می رسد که این زیرگروه توسط یک شرکت با استفاده از دو نام مستعار عمومی، Secnerd و Lifeweb، اداره می شود که به یکی از شرکت هایی که توسط اتباع ایرانی متهم در پرونده وزارت دادگستری اداره می شود، پیوند دارند: Najee Technology هوشمند.
Haeghebaert از Mandiant در ایمیل خود خاطرنشان کرد، حتی زمانی که سازمانها تأثیر این افشاگریها را جذب میکنند، محققان میگویند که حملات هنوز به پایان نرسیده است و احتمالاً با ادامه هدف ایران برای اعمال تسلط سیاسی بر دشمنان خود، متنوع خواهند شد.
او به دارک ریدینگ گفت: «ما ارزیابی میکنیم که ایران به استفاده از طیف کامل عملیاتی که با قابلیتهای سایبری خود در بلندمدت امکانپذیر است، ادامه خواهد داد. علاوه بر این، ما معتقدیم که اگر ایران در صحنه بینالمللی منزوی بماند و تنشها با همسایگانش در منطقه و غرب بدتر شود، فعالیتهای مخرب با استفاده از باجافزار، برف پاککنها و سایر تکنیکهای قفل و نشت ممکن است به طور فزایندهای رایج شود.