حمله سایبری پیچیده به صنایع هوا فضا و نظامی اسرائیل

به گزارش آرمان ملی، روزنامه کیهان نوشت: مندیانت مدعی شد: گمان می‌رود که این فعالیت با گروه موسوم به «یوان‌سی۱۵۴۹» مرتبط باشد که شباهت‌هایی با فعالیت گروه «پوسته لاک‌پشت» وابسته به سپاه پاسداران انقلاب اسلامی دارد. این گروه از چندین تکنیک برای مخفی کردن فعالیت خود استفاده می‌کند و از زیرساخت‌های «مایکروسافت آژور» برای مهندسی دو «در پشتی» منحصر به فرد به نام‌های «مینی‌بایک» و «مینی‌باس» استفاده کرده است.

بر اساس این گزارش، گروه هکری ایمیل‌های فیشینگ با پیوندهایی به وب‌سایت‌های جعلی حاوی محتوای مرتبط با اسرائیل و حماس و یا آگهی‌های استخدام جعلی طراحی کرده است.

گزارش «مندیانت» می‌گوید که ارتباط میان این فعالیت‌ها و سپاه پاسداران با توجه به تمرکز بر نهادهای مرتبط دفاعی و تنش‌های اخیر با جمهوری اسلامی ایران در پرتو جنگ اسرائیل و حماس «قابل توجه» است. چندی پیش، مایکروسافت در گزارشی اعلام کرد که هکرهای تحت حمایت ایران، روسیه، چین، و کره‌شمالی، از ابزارهای «اوپن اِی‌آی» تحت حمایت این شرکت برای تقویت مهارت‌های خود و فریب دادن در مورد اهداف خود بهره می‌برند.

در گزارش مندیانت همچنین عنوان شده که هکرهای وابسته به سپاه پاسداران با جعل هویت شرکت‌های بین‌المللی از جمله بوئینگ، به صنایع هوافضا، هوانوردی و دفاعی اسرائیل حمله کرده‌اند. گروه هکری موسوم به UNC1549 در کارزار اخیرش با استفاده از ترفندهای مهندسی اجتماعی به دنبال فریب دادن اهداف خود بوده است.

کارزار جاسوسی این گروه که با نام تورتیس‌شل نیز شناخته می‌شود، از ماه ژوئن ۲۰۲۲ آغاز شده و کماکان ادامه دارد. مهاجمان با استفاده از شیوه‌های مختلفی مانند ایجاد سایت‌های جعلی کاریابی و نیز سایت‌هایی با محتوای مرتبط با جنگ حماس و اسرائیل، در پی نفوذ به اهداف خود بوده‌اند. این گروه سایبری علاوه‌بر ایجاد یک نسخه جعلی از سایت بوئینگ، آگهی‌های کاریابی شرکت‌های معتبر حوزه هوافضا مانند مجموعه پهپادسازی چینی دی‌جی‌آی را نیز جعل کرده است. هدف از کارزار سرقت اطلاعات کاربری و جاسوسی سایبری از سیستم‌های رایانه‌ای عنوان شده است.

هکرها برای این کارزار از دو بدافزار اختصاصی با نام‌های مینی‌بایک و مینی‌باس برای شنود سیستم‌های رایانه‌ای بهره برده‌اند. هر دوی این بدافزارها امکان اجرای دستورات از راه دور و ارسال اطلاعات خصوصی قربانیان را به سرورهای تحت کنترل هکرها دارند. هکرهای ایران برای سیستم مدیریت فرمان خود از زیرساخت ابری مایکروسافت استفاده کرده‌اند.

جاناتان لتری، پژوهشگر ارشد مندیانت تاکید کرده شناسایی و ردیابی این حمله به دلیل استفاده هکرها از زیرساخت‌هایی که در ظاهر معتبر به نظر می‌رسند، دشوار بوده است. به همین دلیل احتمال حملات کشف‌ نشده بیشتری از سوی این گروه هکری وجود دارد.

به گزارش صدای آمریکا و شبکه اینترنشنال، این اولین بار نیست که هکرهای ایران‌، حملاتی را علیه افراد و نهادهای اسرائیلی انجام می‌دهند. بهمن ۱۴۰۲ شین‌بت، سازمان امنیت داخلی اسرائیل اعلام کرد نهادهای اطلاعاتی ایران با ایجاد صفحات جعلی در شبکه‌های اجتماعی به دنبال جمع‌آوری اطلاعات از اتباع اسرائیل و حملات فیشینگ علیه آنان بوده‌اند. آبان ۱۴۰۲ هم شرکت انگلیسی پرایس‌واترهاوس‌کوپرز از حمله گروه هکری تورتیس‌شل به صنایع هسته‌ای و دفاعی در اروپا و آمریکا خبر داد. بدافزار به کار رفته در این عملیات به هکرها اجازه می‌داد تا به جمع‌آوری جزئیاتی مانند اطلاعات جغرافیایی افراد و اطلاعات رایانه‌ای آن‌ها بپردازند.

روزنامه «تایمز اسرائیل»، هم اکتبر سه سال قبل از قول کمپانی امنیت سایبری آمریکایی-اسرائیلی «سایبریزن» گزارش داده بود «مال‌کاماک»، یک گروه جاسوسی سایبری نزدیک به ایران‌، اقدام به حملات هکری علیه اسرائیل و آمریکا کرده است. هدف نهائی هکرها سرقت اطلاعات مربوط به زیرساخت‌ها، فناوری، و دارایی‌های مهم سازمان‌ها بوده است. «مال‌کاماک» به مدت پنج سال برای دستیابی به داده‌های قربانیان خود از یک ویروس «تروجان» با قابلیت دسترسی از راه دور استفاده کرده بود. طرز حمله به این صورت است که ابتدا ویروس تروجان از طریق «دراپ‌باکس» که یک سرویس میزبانی فایل تحت وب است با قربانی به اشتراک گذاشته می‌شود. بعد هکرها ویروس تروجان را به شکل یک نرم‌افزار مشروع مایکروسافت درمی‌آوردند و آن را روی کامپیوتر قربانی نصب می‌کنند. پس از آنکه ویروس تروجان توانست اطلاعات سیستم و آنتی‌ویروس کامپیوتر قربانی را تشخیص دهد، هکرها آن را به یک برنامه دائمی روی کامپیوتر با اختیارات مدیریتی تبدیل می‌کنند، که اجازه دسترسی به تمام فایل‌ها را به آنها می‌دهد.