گروه هکری «بچهگربههای جذاب» (Charming Kitten)، ازجمله گروههای وابسته به جمهوری اسلامی در یک سلسله حملات موسوم به «فیشینگ نیزهای» (spear phishing) افراد مختلفی درسراسر جهان را مورد حمله قرار داده است.
این گروه به بهانه مصاحبهکاری، همکاری و برپایی جلسه بحث و گفتگو، چهرههای دانشگاهی، روزنامهنگاران، فعالان، اندیشکدهها، موسسهها و سازمانهای نظامی و دولتی مختلفی را در آمریکا، اروپا و خاورمیانه را هدف قرار داده و آنها را هک و از آنها جاسوسی کنند.
محققان آزمایشگاه «سرتفا» (Certfa Lab) حاصل تحقیقات خود را در این مورد، به شکل گزارشی مستند منتشر کرده و گفتهاند که این گروه هکری دستکم از سال ۲۰۱۴ میلادی با استفاده از جعل نام و عنوان چهرههای سرشناس، اهداف بالقوهای را در سراسرجهان مورد حمله نوع فیشینگ نیزهای قرار دادهاند.
فیشینگ نیزهای، اصطلاحی است که برای مهندسی اجتماعی دقیق و برنامهریزی شده بهکار میرود. این حملات حساب شده، با بهرهگیری از ابزارهای اختصاصی و یا بدافزارهای توسعهیافته، قربانیان خود را فریب و به سیستمهای کامپیوتری آنان نفوذ میکنند.
بچهگربههای جذاب که از آنها با عناوینی همچون «PHOSPHORUS»، «TA453»، «UNC788»، «ITG18»، «APT42»، «Yellow Garuda» و«APT35» نیز یاد میشود، در یک مورد از عملیاتهای جاسوسی، صفحهای را به نام «ساموئل والابل»، محقق متخصص تصویربرداری و استراتژیهای درمانی برای سرطانها و بافتهای مغزی در مرکز ملی تحقیقات علمی فرانسه (CNRS) را در شبکههای اجتماعی جعل کرده و با یکی از چهرههای سرشناس آمریکایی تماس گرفتند. هکرها از طریق یک تماس ویدئویی با نرمافزار پیام رسان «زوم» اعتماد قربانی را جلب و سپس به بهانه ارسال یک کتاب از ساموئل والابل، پیوندی آلوده را از آدرس جعلی (hxxps://view[.]googlebook[.]com) ارسال کردند. آدرسی جعلی منتهی به صفحهای جعلی که برای سرقت رمز عبور و کد تایید حساب کاربری جیمیل قربانی، طراحی شده بود.
میزبان این دامنه و دیگر دامنههای جعلی هکرها، سروری بنام (Hetzner Cloud GmbH) بود که پیشتر برای میزبانی وبسایت جعلی دیگری، تحت عنوان «سفارت جمهوری اسلامی ایران در فرانسه» استفاده شده بود.
محققان آزمایشگاه سرتفا گفتهاند «ما اطمینان داریم که این گروه هکری سال گذشته نیز برای هک شخصیتها، محققان، دانشگاهیان، سازمانها و موسسات فرانسوی از این سرور استفاده کردهاست.» محققان، همچنین احتمال جعل هویت دیگر اعضای مرکز ملی تحقیقات علمی فرانسه توسط این گروه هکری را بعید ندانستهاند.
پل سالم، رئیس موسسه خاورمیانه (MEI)، ارائه کننده تحلیلهای غیرحزبی با هدف ترویج بیشتر تفاهم بین مردم ایالات متحده و خاورمیانه ازجمله افرادی بود که هویتش جعل و ایمیلهایی به نام او ساختهشد. هکرها مشابه مورد قبلی و باستفاده از همان سرور، تلاش کردند که پیوندهای آلودهای را برای سرقت رمز عبور و کد تایید حساب اهداف دیگر ارسال کنند.
هکرها در یک مورد دیگر، با جعل هویت هاجر حجار چمالی، مفسر سیاسی آمریکایی و یکی از اعضای ارشد غیر مقیم مرکز ژئواکونومیک شورای آتلانتیک و متخصص تحریم ها و سیاست مبارزه با تامین مالی تروریسم در خاورمیانه، موفق شدهاند که دستکم حساب توئیتر یکی از فعالان حقوق اقلیتها را هک و از طریق آن یک پیوند آلوده فیشینگ ارسال کنند. هدف هکرها از بکارگیری این حسابهای کاربری ربوده شده، هک فعالان سیاسی، رسانهای، مدافعان حقوق بشر و فعالان حقوق زنان متخصص در خاورمیانه بود.
هکرها در موردی دیگر، با ایجاد یک حساب توئیتری بنام (Elina Noomen12)، خود را یک زن نویسنده معرفی و با خبرنگاران، مدافعان حقوق بشر و فعالان حقوق زنان در داخل و خارج از ایران تماس گرفته و تلاش کردند تا اطلاعاتی خاص، مانند اسامی فعالان حقوق زنان ایرانی مقیم ایران، عراق و کشورهای اروپایی که به دنبال حمایت مالی هستند را گردآوری کنند.
«حسین ایبیش» محقق ارشد مقیم مؤسسه کشورهای عربی خلیج فارس در واشنگتن (AGSIW)، «کلودیا گاززینی»، تحلیلگر ارشد لیبی در گروه بین المللی بحران و «دارین خلیفه»، تحلیلگر ارشد سوریه در (ICG)، دیگر چهرههایی بودند که هکرهای گروه بچهگربههای جذاب به نام آنها ایمیلهای جعلی ساخته و یا آنها را مورد حملههای فیشینگ قرار دادهاند.
بخشی از یافتههای آزمایشگاه سرتفا مربوط به سهماهه اول سال ۲۰۲۲ میلادی، با گزارش ماه آوریل شرکت فیسبوک (Meta report) درخصوص فعالیتهای مخرب و جاسوسی گروه هکری (UNC788) یا همان بچهگربههای جذاب همخوانی دارد. درگزارش فیسبوک آمده است که هکرهای این گروه اهداف متعددی ازجمله ارتش عربستان سعودی، مخالفان و فعالان حقوق بشر اسرائیلی و ایرانی، سیاستمداران آمریکایی، دانشگاهیان متمرکز بر ایران، فعالان و روزنامه نگاران را در سراسر جهان هدف قرار دادهاند.
محققان آزمایشگاه سرتفا به کاربران فضای مجازی توصیه کردهاند که برای جلوگیری از هک و جاسوسی سایبری از ابزارهای احراز هویت دومرحلهای و یا از کلیدهای سختافزاری محافظتی برای حسابهای کاربری آنلاین خود استفاده کنند.
رصد محققان سرتفا از فعالیتهای گروه هکری موسوم به (APT42) در اواخر سال ۲۰۲۱ میلادی شباهتهایی را بین عملکرد این گروه، با گروه بچهگربههای جذاب نشان میدهد. (APT42) یکی از زیرمجموعههای گروه موسوم به «تهدید پیشرفته مدام» (APT) است. APT اصطلاحی که در صنعت سایبری، برای خطاب قراردادن گروه و یا گروههایی از هکرها به کار برده میشود که با استفاده از چتر حمایتی حکومتها یا سازمانهای دولتی، اهداف و دستورات آنها را اجرایی کرده و عموما در حوزه جاسوسی اینترنتی و یا حملات ویرانگر سایبری فعال هستند.
گروه (APT42) متهم اول حمله سایبری به زیرساختهای حیاتی کشور آلبانی است. این اقدام خشم تیرانا را برانگیخته و در اقدامی اعتراضی آلبانی به لغو یکطرفه ارتباط دیپلماتیک با ایران و اخراج دیپلماتهای جمهوری اسلامی از این کشور دست زد.
اگرچه مقامات جمهوری اسلامی، مسئولیت چنین حملهای نپذیرفته و آن را اتهامی «بیاساس» خواندهاند، دفتر مطبوعاتی آمریکا در ناتو، دستداشتن ایران در این حمله سایبری را تایید کرده است. این دفتر به صدای آمریکا گفته است که ایران مسئول حمله سایبری «خطرناک» به زیرساختهای آلبانی است و عملکرد ایران، ناقض تمامی استانداردها و مسئولیتها در زمان صلح است. آمریکا چند روز پس از حمله سایبری به زیرساختهای حیاتی آلبانی، وزیر و وزارت اطلاعات ایران را به دلیل «اقدامات مخرب سایبری» در لیست تحریمها وزارت خزانهداری ایالات متحده قرار داد.
وابستگی گروه هکری (APT42) به ایران و همچنین فرمانبری آن از سپاه پاسداران انقلاب اسلامی پیش از این نیز بارها مطرح شده و اسناد و شواهد متعددی نیز از سوی محققان سایبری و شرکتهای فعال در عرصه امنیت سایبری معتبر منتشر شده است.