تیم «تهدید اطلاعات» شرکت فناوری مایکروسافت یک کمپین باجافزاری، موسوم به «DEV-0270» را رصد کرده که در آن رد پای گروه هکری فسفورس، (PHOSPHORUS) از گروههای هکری وابسته به جمهوری اسلامی به چشم میخورد.
مایکروسافت گفته، با اطمینانی در سطح متوسط میتوان تایید کرد که اقدامات مخربی همچون اسکن گسترده آسیبپذیریها از سوی هکرها در جغرافیایی صورت گرفته که اساسا ارزش استراتژیک چندانی برای جمهوری اسلامی ندارد، بنابراین با اطمینان سطح پایینی میتوان این تلقی را مطرح کرد که هکرها این حملههای باجافزاری را با هدف کسب درآمد شخصی و یا شرکتی انجام دادهاند.
در یک مورد از این حملهها که با موفقیت انجام شده، هکرها هشت هزار دلار از قربانی طلب کردهاند. در یک مورد سازمانی نیز، در پی امتناع سازمان از پرداخت باج، هکرها اطلاعات سرقت شده را در اینترنت در معرض فروش گذاشتند.
«DEV-0270» یکی از آسیبپذیریهای با شدت بالا است که به هکرها اجازه میدهد، با استفاده از ابزار داخلی ویندوز، بیتلاکر (BitLocker) دادههای قربانی را رمزنگاری و از کنترل او خارج کند.
بیتلاکر یکی از امکانات ویندوز است که به صورت پیشفرض در این سیستم عامل وجود داشته و کاربران میتوانند برای امنیت بیشتر، دادههای موجود در درایوهای با کلیدهای ۱۲۸ یا ۲۵۶ بیتی رمزگذاری کنند.
تحقیقات مایکروسافت نشان داده که هدایت این حملههای باجافزاری از طریق دو آدرس «secnerd[.]ir» و «lifeweb[.]ir» متعلق به شرکت ایرانی «ناجی فناوری هوشمند» در شهر کرج انجام میشد.
هکرها برای گرفتن دسترسی اولیه از دستگاه قربانی از شیوههای مختلف، ازجمله آسیبپذیری خطرناک «CVE-2021-26855» موسوم به «پراکسی لاگآن» (ProxyLogon) استفاده میکنند، آسیبپذیری که امکان دورزدن سیستم احراز هویت و ورود به دستگاه قربانی تحت عنوان مدیر فراهم میکند.
میانگین زمان این حملهها، از دسترسی اولیه تا ارائه درخواست باجخواهی به قربانی، حدود دو روز بوده و هکرها پس از دسترسی اولیه، با استفاده از دستورهای اکتشافی، اقدام به افزودن کاربر جدید و یا ویرایش دسترسی کاربران موجود در دستگاه هدف میکردند.
سرقت اعتبار و پنهانسازی فعالیتهای مخرب از دید آنتیویروس به روش «LOLBin»، گردآوری رمزهای عبور از طریق «MiniDump»، تغییر در قوانین فایروال با استفاده از دستکاری رجیستری، پیکربندی تازه برای ماندگاری در دستگاه قربانی، گرفتن دسترسی از راه دور و درنهایت استفاده از دستور «setup.bat» برای فعال کردن «BitLocker» و رمزنگاری دادههای قربانی مراحل دیگری است که در فرایند حملات باجافزاری انجام میشد.
مایکروسافت با تاکید بر ادامه رصد فعالیتهای گروه فسفورس از کاربران خواسته برای جلوگیری از افتادن به دام هکرها، سیستمهای عامل ویندوز خود را با آخرین بستههای امنیتی به روزرسانی کرده و ضمن انتخاب رمزهای عبور قوی، از دادههای خود پشتیبان تهیه کنند.
گروه هکری موسوم به فسفورس یکی از زیرمجموعههای «تهدید پیشرفته مدام» (APT)، تحت حمایت حکومت ایران است که مایکروسافت پیشتر نیز بارها درباره فعالیتهای مخرب آن گزارش داده بود.
این گروه سال گذشته در اقدامی مشابه، با استفاده از آسیبپذیری «CVE-2018-13379» در محصول «Fortinet FortiOS SSL VPN»، اعتبارنامههای بیش از ۹۰۰ سرور در آمریکا، اروپا و اسرائیل را گردآوری و دادههای آن را طریق ابزار «بیتلاکر» رمزنگاری کرده بود.
آبان ماه ۱۳۹۹ نیز، مایکروسافت نتیجه تحقیقاتی را منتشر کرد که نشان میداد، گروه هکری فسفورس، در یک کمپین سازمانیافته تلاش کرده تا با استفاده از حملات فیشینگ، ایجاد صفحات جعلی و بهرهبردای از ضعفهای امنیتی محصولات مایکروسافت، مدعوین کنفرانسهای بینالمللی را هک کند.
در نتیجه این تحقیقات آمده بود که شرکت مایکروسافت دستکم یکصد حمله سایبری را که باهدف هک کردن مهمانان و یا مدعوین احتمالی «کنفرانس امنیتی مونیخ» انجام شده، شناسایی و خنثی کرده است.
مهرماه سال ۱۳۹۸ نیز مایکروسافت در گزارشی نسبت به تلاش هکرها برای نفوذ و ایجاد اخلال در روند انتخابات ریاست جمهوری ایالات متحده هشدار داده و گفته بود که گروه هکری فسفورس طی سی روز، بر روی بیش از هفتصد حساب کاربری متعلق به شرکت مایکروسافت تست نفوذ انجام داده و که دستکم ۲۴۱ مورد از آنها متعلق به کارزارهای انتخاباتی آمریکا، مقامات فعلی و سابق دولت ایالات متحده، روزنامهنگاران بینالمللی و چهرههای ایرانی مخالف و یا مطرح در خارج از ایران بود.
در آخرین مورد از حملات سایبری با منشاء حکومتی، ایران متهم شده که به منظور «فلج کردن خدمات عمومی و هک دادهها و ارتباطات الکترونیکی سیستمهای دولتی» به زیرساختهای کشور آلبانی حمله سایبری کرده است. اتهامی که به قطع ارتباط دیپلماتیک تهران و تیرانا از سوی دولت آلبانی منتهی شد.
اگرچه مقامات جمهوری اسلامی، انجام چنین حملهای را رد و آن را «بیاساس» کرده است، اما دفتر مطبوعاتی آمریکا در ناتو به صدای آمریکا گفته، ایران مسئول حمله سایبری «خطرناک» به زیرساختهای آلبانی است و عملکرد ایران، ناقض تمامی استانداردها و مسئولیتها در زمان صلح است.