یک گروه ازهکرهای وابسته به جمهوری اسلامی جمعی از افراد متخصص در امور خاورمیانه، امنیت هستهای و تحقیقات ژنوم را دریک کمپین مهندسی اجتماعی و جعل هویت هدف قرار داده است.
شرکت «پروفپوینت» ازجمله شرکتهای مطرح فعال در عرصه امنیت سایبری، در گزارشی تحلیلی به بررسی ابعاد و نحوه اجرای این حملهها پرداخته و گروه هکری تی.ای۴۵۳ (TA453) که با عنوان تی.آ.۴۵۳ نیز شناخته میشود را به عنوان بازیگر پشت پرده این حملهها معرفی کردهاست.
محققان شرکت امنیتی پروفپوینت که این گروه هکری را از اواخر سال ۲۰۲۱ میلادی زیر نظر داشتهاند، در ماه ژوئن سال جاری به شواهدی دستیافتهاند که نشان میداد، گروه تی.ای.۴۵۳ از طریق مهندسی اجتماعی هوشمند و منطبق با اصول روانشناسی، شکل جدیدی از حملات نوع «فیشینگ نیزهای» (spear phishing) را علیه اهدافی تازه آغاز کردهاند.
فیشینگ نیزهای، اصطلاحی است که برای مهندسی اجتماعی دقیق و برنامهریزی شده بهکار میرود. این حملات حساب شده، با بهرهگیری از ابزارهای اختصاصی و یا بدافزارهای توسعهیافته، قربانیان خود را فریب و به سیستمهای کامپیوتری آنان نفوذ میکنند.
هکرها در خلال این حملهها از تکنیک «جعل هویت چندنفره» (Multi-Persona Impersonation (MPI)) که خود زیرمجموعهای از تکنیکهای جعل ایمیل است بهره بردهاند. آنها با اتکا به اصل روانشانسی «اثبات اجتماعی» (Social proof) تلاش کردهاند که اعتبار مکاتبات جعلی خود را نزد قربانی بالا برده و او را متقاعد به اعتماد و پذیرش خواستههای خود کنند. به این معنا که هکرها با تقلید از رفتار و کردار افرادی که هویت آنها را جعل کرده و یا هویتهای خودساختهای که با آن خود را به قربانیان معرفی میکردند، تلاش کردند که هرچه بیشتر اعتماد آنها را جلب و قربانیان را برای مراحل بعدی نفوذ و جاسوسی آماده کنند.
اصل «اثبات اجتماعی» یا «حس تعلق به گروه» در روانشناسی به پدیدهای گفته میشود که در آن افراد از رفتار و کردار دیگران تقلید کرده و از آن در یک شرایط مبهم که امکان تصمیمگیری دشوار است، استفاده میکند. مانند زمانی که کسی اطلاعات کافی در باره خرید یک کالا ندارد، و با رجوع به دیگران و یا تقلید از آنها، همان کالایی را خریداری میکند که دیگران خریدهاند.
«شرود دگریپو» معاون تحقیقات و شناسایی تهدیدات شرکت پروفپوینت با اشاره به جذابیت استفاده از تکنیک اصل «اثبات اجتماعی» برای هکرها گفته، بکارگیری این تکنیک روانشناسی توسط گروه تی.ای۴۵۳ نشانگر توانمندی این گروه هکری در بازسازی خود و توسعه شیوههای هکری است.
در ماه ژوئن ۲۰۲۲ هکرها طی یک عملیات جعل هویت چندنفره، ایمیلی را با موضوع گفتگوهای اسرائیل و کشورهای حاشیه خلیجفارس و همچنین توافق ابراهیم، بنام «آرون استین»، مدیر تحقیقات انستستو سیاست خارجی (FRPI) به یک قربانی ارسال کردند. در بخش (CC) این ایمیل جعلی، گیرنده دومی درج شده بود بنام «ریچارد ویکی» که مدیریت تحقیقات نگرش های جهانی در مرکز تحقیقات (PEW) را عهدهدار است. ایمیلی که هدف آن ارسال پیوندهای آلوده، اسناد مخرب و در نهایت سرقت اعتبار سیستم کامپیوتری قربانی بود.
در اواخر ماه ژوئن مشابه حمله قبلی، «هارالد اوت» یکی از متخصصان و محققان حوزه ژنوم هدف عملیات جعل هویت چندنفره این گروه قرار گرفت. هکرها درایمیل جعلی خود اینبار، نام «کلر پری» دستیار مدیر مرکز سلامت جهانی در چتم هاوس و «دکتر اندرو مارشال» سردبیر نشریه «بیوتکنولوژی طبیعت» را به عنوان گیرنده دوم و سوم ایمیل قرار داده بودند. هارالد اوت در پاسخ به این ایمیل جعلی، یک فایل مخرب (Word) متصل به (OneDrive)، بنام (Ott-Lab 371.docx) را دریافت کرد که امکان حمله نوع (Remote Template Injection) را برای هکرها هم میکرد. به عبارت دیگر، هکرها این فایل مایکروسافت را به شکلی طراحی کردهاند که وقتی از سوی قربانی گشوده شد، به طور خودکار الگوها، کدها و یا بدافزار را از سرور هکرها به دستگاه قربانی منتقل کرده و اجازه کنترل از راه دور مهاجما را فراهم میکند. مشابه حملات موسم به «خون کثیف» (BadBlood) که پروفپوینت در ماه مارس سال ۲۰۲۱ گزارش کرده بود. در کمپین خون کیثیف، هکرهای گروه تی آ ۴۵۳ از طریق مهندسی اجتماعی و حملات نوع «فیشینگ»، بسیاری از متخصصان ارشد پزشکی آمریکایی و اسرائیلی که در تحقیقات ژنتیک، عصبشناسی و سرطانشناسی فعال بودند را مورد حمله قرار دادند.
در همین ماه، هکرها در حمله دیگری، تحت نام «کارول دوهرتی» با یکی از دانشگاههای دخیل در حوزه کنترل تسلیحات اتمی تماس گرفته و مانند حمله قبلی، نام سه شخصیت دیگر «دانیل کرچماریک»، «آرون استاین» و «شاران گروال» را به عنوان گیرندگان ایمیل درج کردند. هکرها در این مورد نیز یک فایل مخرب (Word) فایل تحت عنوان «تقابل احتمالی ایالات متحده و روسیه» به کارول دوهرتی ارسال کرده بودند.
فایل آلوده (Word) هکرها دارای سه نوع کد ماکرو بود که به آنها امکان میداد تا اطلاعات فراوانی مانند نام کاربری، لیست فرآیندهای در حال اجرا به همراه IP عمومی کاربر را از جمعآوری و با استفاده از (API) تلگرام استخراج کند.
به گفته کارشناسان پروفپوینت، عملکرد گروه تی.ای ۴۵۳ تشابه فراوانی با فعالیتهای «بچهگربههای جذاب» (Charming Kitten)، «فسفورس» (PHOSPHORUS) و «ایپیتی ۴۲» (APT42)، هرسه از گروههای هکری تحت حمایت جمهوری اسلامی دارد. پروفپوینت درگزارش خود بر فرمانبری گروه تی.ای ۴۵۳ از سپاه پاسداران انقلاب اسلامی تاکید کرده است.
همزمان با انتشار گزارش پروفپوینت، آمریکا، کانادا، بریتانیا در مورد ایران و ادامه فعالیت مخرب سایبری گروههای موسوم به «تهدید پیشرفته مدام» (Advanced Persistent Threat) وابسته به سپاه پاسداران انقلاب اسلامی ایران هشدار دادهاند.
گروههای تهدید پیشرفته مدام یا (APT) اصطلاحی است برای اشاره به تهدیدهای ادامهدار و هدفمند سایبری که معمولا از سوی دولتها پشتیبانی شده و هدف آن جاسوسی و اخلال در عملکرد سایبری دشمنان، رقبا، مخالفان، سازمانها، و نهادهای تاثیرگذار سیاسی، تجاری، و یا علمی است. عددی که در کنار سه حرف (APT) قراردارد نیز، وابستگی گروه هکری را به دولتها را مشخص میکند.