هکرهای ایرانی فعالان حوزه امنیت اتمی و محققان ژنومی را هدف قرار دادند

یک گروه ازهکرهای وابسته به جمهوری اسلامی جمعی از افراد متخصص در امور خاورمیانه، امنیت هسته‌ای و تحقیقات ژنوم را دریک کمپین مهندسی اجتماعی و جعل هویت هدف قرار داده است.

شرکت «پروف‌پوینت» ازجمله شرکت‌های مطرح فعال در عرصه امنیت سایبری، در گزارشی تحلیلی به بررسی ابعاد و نحوه اجرای این حمله‌ها پرداخته و گروه هکری تی.ای۴۵۳ (TA453) که با عنوان تی.آ.۴۵۳ نیز شناخته می‌شود را به عنوان بازیگر پشت پرده این حمله‌ها معرفی کرده‌است.

محققان شرکت امنیتی پروف‌پوینت که این گروه هکری را از اواخر سال ۲۰۲۱ میلادی زیر نظر داشته‌اند، در ماه ژوئن سال جاری به شواهدی دست‌یافته‌اند که نشان می‌داد، گروه تی.ای.۴۵۳ از طریق مهندسی اجتماعی هوشمند و منطبق با اصول روانشناسی، شکل جدیدی از حملات نوع «فیشینگ نیزه‌ای» (spear phishing) را علیه اهدافی تازه آغاز کرده‌اند.

فیشینگ نیزه‌ای، اصطلاحی است که برای مهندسی اجتماعی دقیق و برنامه‌ریزی شده به‌کار می‌رود. این حملات حساب شده، با بهره‌گیری از ابزارهای اختصاصی و یا بدافزارهای توسعه‌یافته، قربانیان خود را فریب و به سیستم‌های کامپیوتری آنان نفوذ می‌کنند.

هکرها در خلال این حمله‌ها از تکنیک «جعل هویت چندنفره» (Multi-Persona Impersonation (MPI)) که خود زیرمجموعه‌ای از تکنیک‌های جعل ایمیل است بهره برده‌اند. آنها با اتکا به اصل روانشانسی «اثبات اجتماعی» (Social proof) تلاش کرده‌اند که اعتبار مکاتبات جعلی خود را نزد قربانی بالا برده و او را متقاعد به اعتماد و پذیرش خواسته‌های خود کنند. به این معنا که هکرها با تقلید از رفتار و کردار افرادی که هویت آنها را جعل کرده و یا هویت‌های خودساخته‌ای که با آن خود را به قربانیان معرفی می‌کردند، تلاش کردند که هرچه بیشتر اعتماد آنها را جلب و قربانیان را برای مراحل بعدی نفوذ و جاسوسی آماده کنند.

اصل «اثبات اجتماعی» یا «حس تعلق به گروه» در روانشناسی به پدیده‌ای گفته می‌شود که در آن افراد از رفتار و کردار دیگران تقلید کرده و از آن در یک شرایط مبهم که امکان تصمیم‌گیری دشوار است، استفاده می‌کند. مانند زمانی که کسی اطلاعات کافی در باره خرید یک کالا ندارد، و با رجوع به دیگران و یا تقلید از آن‌ها، همان کالایی را خریداری می‌کند که دیگران خریده‌اند.

«شرود دگریپو» معاون تحقیقات و شناسایی تهدیدات شرکت پروف‌پوینت با اشاره به جذابیت استفاده از تکنیک اصل «اثبات اجتماعی» برای هکرها گفته، بکارگیری این تکنیک روانشناسی توسط گروه تی.ای۴۵۳ نشانگر توان‌مندی این گروه هکری در بازسازی خود و توسعه شیوه‌های هکری است.

در ماه ژوئن ۲۰۲۲ هکرها طی یک عملیات جعل هویت چندنفره، ایمیلی را با موضوع گفتگوهای اسرائیل و کشورهای حاشیه خلیج‌فارس و همچنین توافق ابراهیم، بنام «آرون استین»، مدیر تحقیقات انستستو سیاست خارجی (FRPI) به یک قربانی ارسال کردند. در بخش (CC) این ایمیل جعلی، گیرنده دومی درج شده بود بنام «ریچارد ویکی» که مدیریت تحقیقات نگرش های جهانی در مرکز تحقیقات (PEW) را عهده‌دار است. ایمیلی که هدف آن ارسال پیوند‌های آلوده، اسناد مخرب و در نهایت سرقت اعتبار سیستم‌ کامپیوتری قربانی بود.

در اواخر ماه ژوئن مشابه حمله قبلی، «هارالد اوت» یکی از متخصصان و محققان حوزه ژنوم هدف عملیات جعل هویت چندنفره این گروه قرار گرفت. هکرها درایمیل جعلی خود اینبار، نام «کلر پری» دستیار مدیر مرکز سلامت جهانی در چتم هاوس و «دکتر اندرو مارشال» سردبیر نشریه «بیوتکنولوژی طبیعت» را به عنوان گیرنده دوم و سوم ایمیل قرار داده بودند. هارالد اوت در پاسخ به این ایمیل جعلی، یک فایل مخرب (Word) متصل به (OneDrive)، بنام (Ott-Lab 371.docx) را دریافت کرد که امکان حمله نوع (Remote Template Injection) را برای هکرها هم می‌کرد. به عبارت دیگر، هکرها این فایل مایکروسافت را به شکلی طراحی کرده‌اند که وقتی از سوی قربانی گشوده ‌شد، به طور خودکار الگوها، کدها و یا بدافزار را از سرور هکرها به دستگاه قربانی منتقل کرده و اجازه کنترل از راه دور مهاجما را فراهم می‌کند. مشابه حملات موسم به «خون کثیف» (BadBlood) که پروف‌پوینت در ماه مارس سال ۲۰۲۱ گزارش کرده بود. در کمپین خون کیثیف، هکرهای گروه تی آ ۴۵۳ از طریق مهندسی اجتماعی و حملات نوع «فیشینگ»، بسیاری از متخصصان ارشد پزشکی آمریکایی و اسرائیلی که در تحقیقات ژنتیک، عصب‌شناسی و سرطان‌شناسی فعال بودند را مورد حمله قرار دادند.

در همین ماه، هکرها در حمله دیگری، تحت نام «کارول دوهرتی» با یکی از دانشگاه‌های دخیل در حوزه کنترل تسلیحات اتمی تماس گرفته و مانند حمله قبلی، نام سه شخصیت دیگر «دانیل کرچماریک»، «آرون استاین» و «شاران گروال» را به عنوان گیرندگان ایمیل درج کردند. هکرها در این مورد نیز یک فایل مخرب (Word) فایل تحت عنوان «تقابل احتمالی ایالات متحده و روسیه» به کارول دوهرتی ارسال کرده بودند.

فایل آلوده (Word) هکرها دارای سه نوع کد ماکرو بود که به آنها امکان می‌داد تا اطلاعات فراوانی مانند نام کاربری، لیست فرآیندهای در حال اجرا به همراه IP عمومی کاربر را از جمع‌آوری و با استفاده از (API) تلگرام استخراج کند.

به گفته کارشناسان پروف‌پوینت، عملکرد گروه تی.ای ۴۵۳ تشابه فراوانی با فعالیت‌های «بچه‌گربه‌های جذاب» (Charming Kitten)، «فسفورس» (PHOSPHORUS) و «ای‌پی‌تی ۴۲» (APT42)، هرسه از گروه‌های هکری تحت حمایت جمهوری اسلامی دارد. پروف‌پوینت درگزارش خود بر فرمانبری گروه تی.ای ۴۵۳ از سپاه پاسداران انقلاب اسلامی تاکید کرده است.

همزمان با انتشار گزارش پروف‌پوینت، آمریکا، کانادا، بریتانیا در مورد ایران و ادامه فعالیت مخرب سایبری گروه‌های موسوم به «تهدید پیشرفته مدام» (Advanced Persistent Threat) وابسته به سپاه پاسداران انقلاب اسلامی ایران هشدار داده‌اند.

گروه‌های تهدید پیشرفته مدام یا (APT) اصطلاحی است برای اشاره به تهدیدهای ادامه‌دار و هدفمند سایبری که معمولا از سوی دولت‌ها پشتیبانی شده و هدف آن جاسوسی و اخلال در عملکرد سایبری دشمنان، رقبا، مخالفان، سازمان‌ها، و نهاد‌های تاثیرگذار سیاسی، تجاری، و یا علمی است. عددی که در کنار سه حرف (APT) قراردارد نیز، وابستگی گروه‌ هکری را به دولت‌ها را مشخص می‌کند.