گزارش مایکروسافت از جرائم سایبری گروه هکری «فسفورس» وابسته به جمهوری اسلامی

تیم «تهدید اطلاعات» شرکت فناوری مایکروسافت یک کمپین باج‌افزاری، موسوم به «DEV-0270» را رصد کرده که در آن رد پای گروه هکری فسفورس، (PHOSPHORUS) از گروه‌های هکری وابسته به جمهوری اسلامی به چشم می‌خورد.

مایکروسافت گفته، با اطمینانی در سطح متوسط می‌توان تایید کرد که اقدامات مخربی همچون اسکن گسترده آسیب‌پذیری‌ها از سوی هکرها در جغرافیایی صورت گرفته که اساسا ارزش استراتژیک چندانی برای جمهوری اسلامی ندارد، بنابراین با اطمینان سطح پایینی می‌توان این تلقی را مطرح کرد که هکرها این حمله‌های باج‌افزاری را با هدف کسب درآمد شخصی و یا شرکتی انجام داده‌اند.

در یک مورد از این حمله‌ها که با موفقیت انجام شده، هکرها هشت هزار دلار از قربانی طلب کرده‌اند. در یک مورد سازمانی نیز، در پی امتناع سازمان از پرداخت باج، هکرها اطلاعات سرقت شده را در اینترنت در معرض فروش گذاشتند.

«DEV-0270» یکی از آسیب‌پذیری‌های با شدت بالا است که به هکرها اجازه می‌دهد، با استفاده از ابزار داخلی ویندوز، بیت‌لاکر (BitLocker) داده‌های قربانی را رمزنگاری و از کنترل او خارج کند.

بیت‌لاکر یکی از امکانات ویندوز است که به صورت پیش‌فرض در این سیستم عامل وجود داشته و کاربران می‌توانند برای امنیت بیشتر، داده‌های موجود در درایو‌های با کلیدهای ۱۲۸ یا ۲۵۶ بیتی رمزگذاری کنند.

تحقیقات مایکروسافت نشان داده که هدایت این حمله‌های ‌باج‌افزاری از طریق دو آدرس «secnerd[.]ir» و «lifeweb[.]ir» متعلق به شرکت ایرانی «ناجی فناوری هوشمند» در شهر کرج انجام می‌شد.

هکرها برای گرفتن دسترسی اولیه از دستگاه قربانی از شیوه‌های مختلف، ازجمله آسیب‌پذیری خطرناک «CVE-2021-26855» موسوم به «پراکسی لاگ‌آن»‌ (ProxyLogon) استفاده می‌کنند، آسیب‌پذیری که امکان دورزدن سیستم احراز هویت و ورود به دستگاه قربانی تحت عنوان مدیر فراهم می‌کند.

میانگین زمان این حمله‌ها، از دسترسی اولیه تا ارائه درخواست باج‌خواهی به قربانی، حدود دو روز بوده و هکرها پس از دسترسی اولیه، با استفاده از دستورهای اکتشافی، اقدام به افزودن کاربر جدید و یا ویرایش دسترسی کاربران موجود در دستگاه هدف می‌کردند.

سرقت اعتبار و پنهان‌سازی فعالیت‌های مخرب از دید آنتی‌ویروس به روش «LOLBin»، گردآوری رمز‌های عبور از طریق «MiniDump»، تغییر در قوانین فایروال با استفاده از دستکاری رجیستری، پیکربندی تازه برای ماندگاری در دستگاه قربانی، گرفتن دسترسی از راه دور و درنهایت استفاده از دستور «setup.bat» برای فعال کردن «BitLocker» و رمزنگاری داده‌های قربانی مراحل دیگری است که در فرایند حملات باج‌افزاری انجام می‌شد.

مایکروسافت با تاکید بر ادامه رصد فعالیت‌های گروه فسفورس از کاربران خواسته برای جلوگیری از افتادن به دام هکرها، سیستم‌‌های عامل‌ ویندوز خود را با آخرین بسته‌های امنیتی به روزرسانی کرده و ضمن انتخاب رمز‌های عبور قوی، از داده‌های خود پشتیبان تهیه کنند.

گروه هکری موسوم به فسفورس یکی از زیرمجموعه​‌های «تهدید پیشرفته مدام» (APT)، تحت حمایت حکومت ایران است که مایکروسافت پیشتر نیز بارها درباره فعالیت‌های مخرب آن گزارش داده بود.

این گروه سال گذشته در اقدامی مشابه، با استفاده از آسیب‌پذیری «CVE-2018-13379» در محصول «Fortinet FortiOS SSL VPN»، اعتبارنامه‌های بیش از ۹۰۰ سرور در آمریکا، اروپا و اسرائیل را گردآوری و داده‌های آن را طریق ابزار «بیت‌لاکر» رمزنگاری کرده بود.

آبان ماه ۱۳۹۹ نیز، مایکروسافت نتیجه تحقیقاتی را منتشر کرد که نشان می‌داد، گروه هکری فسفورس، در یک کمپین سازمان‌یافته تلاش کرده تا با استفاده از حملات فیشینگ، ایجاد صفحات جعلی و بهره‌بردای از ضعف‌های امنیتی محصولات مایکروسافت، مدعوین کنفرانس‌های بین‌المللی را هک کند.

در نتیجه‌ این تحقیقات آمده بود که شرکت مایکروسافت دست‌کم یکصد حمله سایبری را که باهدف هک کردن مهمانان و یا مدعوین احتمالی «کنفرانس امنیتی مونیخ» انجام شده، شناسایی و خنثی کرده است.

مهرماه سال ۱۳۹۸ نیز مایکروسافت در گزارشی نسبت به تلاش هکرها برای نفوذ و ایجاد اخلال در روند انتخابات ریاست جمهوری ایالات متحده هشدار داده و گفته بود که گروه هکری فسفورس طی سی روز، بر روی بیش از هفتصد حساب کاربری متعلق به شرکت مایکروسافت تست نفوذ انجام داده و که دست‌کم ۲۴۱ مورد از آنها متعلق به کارزار‌های انتخاباتی آمریکا، مقامات فعلی و سابق دولت ایالات متحده، روزنامه‌نگاران بین‌المللی و چهره‌های ایرانی مخالف و یا مطرح در خارج از ایران بود.

در آخرین مورد از حملات سایبری با منشاء حکومتی، ایران متهم شده که به‌ منظور «فلج کردن خدمات عمومی و هک داده‌ها و ارتباطات الکترونیکی سیستم‌های دولتی» به زیرساخت‌های کشور آلبانی حمله سایبری کرده است. اتهامی که به قطع ارتباط دیپلماتیک تهران و تیرانا از سوی دولت آلبانی منتهی شد.

اگرچه مقامات جمهوری اسلامی، انجام چنین حمله‌ای را رد و آن را «بی‌اساس» کرده است، اما دفتر مطبوعاتی آمریکا در ناتو به صدای آمریکا گفته، ایران مسئول حمله سایبری «خطرناک» به زیرساخت‌های آلبانی است و عملکرد ایران، ناقض تمامی استانداردها و مسئولیت‌ها در زمان صلح است.