بر اساس گزارش تیم اطلاعات تهدید مایکروسافت، یک گروه جاسوسی سایبری ایرانی، هزاران شرکت دفاعی را با استفاده از بدافزاری که اخیراً کشف شده، هدف قرار داده است.
یک گروه مرتبط با جمهوری اسلامی به نام «پیچ سنداستورم» به دلیل جستجو در سازمانهای بخشهای فضایی و دارویی شناخته میشود.
براساس گزارشهای تحقیقی، هکرها تلاش کردند بدافزار «درِ پشتیِ» جدیدی به نام «فالسفرانت» را به کاربرانی که در بخش صنایع دفاعی کار می کنند، ارائه دهند.
این بخش شامل بیش از ۱۰۰ هزار شرکت دفاعی و پیمانکار فرعی است که در تحقیق، توسعه، و تولید سیستمها، زیرسیستمها، و قطعات تسلیحات نظامی نقش دارند.
در صورت نصب فالسفرانت، هکرها میتوانند از راه دور به سیستم کاربر دسترسی داشته باشند، فایلهای اضافی را راهاندازی کنند، و اطلاعات حساس را به سرورهای فرمان و کنترل خود بفرستند.
به گفته مایکروسافت، توسعه و استفاده از فالسفرانت با فعالیتهای «پیچ سنداستورم» که سال گذشته توسط این شرکت شناسایی شد، مطابقت دارد و این هکرها به بهبود عملکرد خود ادامه میدهند.
کارشناسان مایکروسافت در ماههای اخیر موفق به شناسایی این بدافزار جدید شدند که توسط هکرهای ایرانی مورد استفاده قرار میگیرد.
مایکروسافت روش هایی را برای کاهش حملات احتمالی فالسفرانت ارائه کرده است، از جمله بازنشانی رمز عبور حساب کاربری برای کسانی که هدف حمله «اسپری رمز عبور» قرار گرفتند.
علاوه بر این، به مدافعان شبکه توصیه میشود که کوکیهای جلسه، و سایر تغییرات تنظیم احراز هویت چند عاملی که توسط مهاجم در حسابهای در معرض خطر ایحاد شده است را لغو کنند.
برای افزایش امنیت حسابها در برابر حملات اسپری رمز عبور یا حملات «بروت فورس»، کاربران همچنین تشویق میشوند که به یک روش احراز هویت اولیه بدون رمز عبور فکر کنند.
به گفته مایکروسافت، این توصیهها برای محافظت از حسابهای سرپرست دارای امتیاز بسیار مهم در ایستگاههای کاری ارائه میشود.
این گروه سایبری که با نامهای «هولموم»، «ریفایند کیتن»، یا «ایپیتی۳۳» نیز شناخته میشود، تاکنون سازمانهایی را در کشوهای آمریکا، عربستان سعودی، و کره جنوبی، هدف قرار داده است. سابقه عملیات جاسوسی سایبری این گروه دستکم به سال ۱۳۹۲ بازمیگردد.
در ماه شهریور، مایکروسافت اعلام کرد که این گروه مرتبط با جمهوری اسلامی موجی از حملات اسپری رمز عبور را انجام داده است.
اسپری یا پاشش رمز عبور، تلاشی برای استفاده از یک رمز عبور مشترک برای دسترسی به چندین حساب، و جلوگیری از قفل شدن حساب است که معمولاً هنگام استفاده از رمزهای عبور در یک حساب واحد رخ میدهد.
به گفته این شرکت در جریان حملاتی که موفقیتآمیز بود، اطلاعاتی از تعداد محدودی از قربانیان در بخشهای دفاعی، ماهوارهای، و دارویی، سرقت شده است.
در سالهای اخیر سازمانهای دفاعی و پیمانکاران نظامی در نقاط مختلف جهان توسط هکرهای وابسته به حکومتهای ای ایران، روسیه، کره شمالی، و چین، هدف قرار گرفتند.
منابع: بلیپینگکامپیوتر و دفنسپست
