دعوت به همکاری و جلسه فریب تازه گروه هکری ایرانی «بچه‌گربه‌های جذاب» برای نفوذ

گروه هکری «بچه‌گربه‌های جذاب» (Charming Kitten)، ازجمله گروه‌های وابسته به جمهوری اسلامی در یک سلسله حملات موسوم به «فیشینگ نیزه‌ای» (spear phishing) افراد مختلفی درسراسر جهان را مورد حمله قرار داده است.

این گروه به بهانه مصاحبه‌کاری، همکاری و برپایی جلسه بحث و گفتگو، چهره‌های دانشگاهی، روزنامه‌نگاران، فعالان، اندیشکده‌ها، موسسه‌ها و سازمان‌های نظامی و دولتی مختلفی را در آمریکا، اروپا و خاورمیانه را هدف قرار داده و آنها را هک و از آنها جاسوسی کنند.

محققان آزمایشگاه «سرتفا» (Certfa Lab) حاصل تحقیقات خود را در این مورد، به شکل گزارشی مستند منتشر کرده و گفته‌اند که این گروه هکری دست‌کم از سال ۲۰۱۴ میلادی با استفاده از جعل نام و عنوان چهره‌های سرشناس، اهداف بالقوه‌ای را در سراسرجهان مورد حمله نوع فیشینگ نیزه‌ای قرار داده‌اند.

فیشینگ نیزه‌ای، اصطلاحی است که برای مهندسی اجتماعی دقیق و برنامه‌ریزی شده به‌کار می‌رود. این حملات حساب شده، با بهره‌گیری از ابزارهای اختصاصی و یا بدافزارهای توسعه‌یافته، قربانیان خود را فریب و به سیستم‌های کامپیوتری آنان نفوذ می‌کنند.

بچه‌گربه‌های جذاب که از آنها با عناوینی همچون «PHOSPHORUS»، «TA453»، «UNC788»، «ITG18»، «APT42»، «Yellow Garuda» و«APT35» نیز یاد می‌شود، در یک مورد از عملیات‌های جاسوسی، صفحه‌ای را به نام «ساموئل والابل»، محقق متخصص تصویربرداری و استراتژی‌های درمانی برای سرطان‌ها و بافت‌های مغزی در مرکز ملی تحقیقات علمی فرانسه (CNRS) را در شبکه‌های اجتماعی جعل کرده و با یکی از چهره‌های سرشناس آمریکایی تماس گرفتند. هکرها از طریق یک تماس ویدئویی با نرم‌افزار پیام رسان «زوم» اعتماد قربانی را جلب و سپس به بهانه ارسال یک کتاب از ساموئل والابل، پیوندی آلوده را از آدرس جعلی (hxxps://view[.]googlebook[.]com) ارسال کردند. آدرسی جعلی منتهی به صفحه‌ای جعلی که برای سرقت رمز عبور و کد تایید حساب کاربری جی‌میل قربانی، طراحی شده بود.

میزبان این دامنه و دیگر دامنه‌های جعلی هکرها، سروری بنام (Hetzner Cloud GmbH) بود که پیشتر برای میزبانی وبسایت جعلی دیگری، تحت عنوان «سفارت جمهوری اسلامی ایران در فرانسه» استفاده شده بود.

محققان آزمایشگاه سرتفا گفته‌اند «ما اطمینان داریم که این گروه هکری سال گذشته نیز برای هک شخصیت‌ها، محققان، دانشگاهیان، سازمان‌ها و موسسات فرانسوی از این سرور استفاده کرده‌است.» محققان، همچنین احتمال جعل هویت دیگر اعضای مرکز ملی تحقیقات علمی فرانسه توسط این گروه هکری را بعید ندانسته‌اند.

پل سالم، رئیس موسسه خاورمیانه (MEI)، ارائه کننده تحلیل‌های غیرحزبی با هدف ترویج بیشتر تفاهم بین مردم ایالات متحده و خاورمیانه ازجمله افرادی بود که هویتش جعل و ایمیل‌هایی به نام او ساخته‌شد. هکرها مشابه مورد قبلی و باستفاده از همان سرور، تلاش کردند که پیوند‌های آلوده‌ای را برای سرقت رمز عبور و کد تایید حساب اهداف دیگر ارسال کنند.

هکرها در یک مورد دیگر، با جعل هویت هاجر حجار چمالی، مفسر سیاسی آمریکایی و یکی از اعضای ارشد غیر مقیم مرکز ژئواکونومیک شورای آتلانتیک و متخصص تحریم ها و سیاست مبارزه با تامین مالی تروریسم در خاورمیانه، موفق شده‌اند که دست‌کم حساب توئیتر یکی از فعالان حقوق اقلیت‌ها را هک و از طریق آن یک پیوند آلوده فیشینگ ارسال کنند. هدف هکرها از بکارگیری این حساب‌های کاربری ربوده شده، هک فعالان سیاسی، رسانه‌ای، مدافعان حقوق بشر و فعالان حقوق زنان متخصص در خاورمیانه بود.

هکرها در موردی دیگر، با ایجاد یک حساب توئیتری بنام (Elina Noomen12)، خود را یک زن نویسنده معرفی و با خبرنگاران، مدافعان حقوق بشر و فعالان حقوق زنان در داخل و خارج از ایران تماس گرفته و تلاش کردند تا اطلاعاتی خاص، مانند اسامی فعالان حقوق زنان ایرانی مقیم ایران، عراق و کشورهای اروپایی که به دنبال حمایت مالی هستند را گرد‌آوری کنند.

«حسین ایبیش» محقق ارشد مقیم مؤسسه کشورهای عربی خلیج فارس در واشنگتن (AGSIW)، «کلودیا گاززینی»، تحلیلگر ارشد لیبی در گروه بین المللی بحران و «دارین خلیفه»، تحلیلگر ارشد سوریه در (ICG)، دیگر چهره‌هایی بودند که هکرهای گروه بچه‌گربه‌های جذاب به نام آنها ایمیل‌های جعلی ساخته و یا آنها را مورد حمله‌های فیشینگ قرار داده‌اند.

بخشی از یافته‌های آزمایشگاه سرتفا مربوط به سه‌ماهه اول سال ۲۰۲۲ میلادی، با گزارش ماه آوریل شرکت فیسبوک (Meta report) درخصوص فعالیت‌های مخرب و جاسوسی گروه هکری (UNC788) یا همان بچه‌گربه‌های جذاب همخوانی دارد. درگزارش فیسبوک آمده است که هکرهای این گروه اهداف متعددی ازجمله ارتش عربستان سعودی، مخالفان و فعالان حقوق بشر اسرائیلی و ایرانی، سیاستمداران آمریکایی، دانشگاهیان متمرکز بر ایران، فعالان و روزنامه نگاران را در سراسر جهان هدف قرار داده‌اند.

محققان آزمایشگاه سرتفا به کاربران فضای مجازی توصیه کرده‌اند که برای جلوگیری از هک و جاسوسی سایبری از ابزارهای احراز هویت دومرحله‌ای و یا از کلید‌های سخت‌افزاری محافظتی برای حساب‌های کاربری آنلاین خود استفاده کنند.

رصد محققان سرتفا از فعالیت‌های گروه هکری موسوم به (APT42) در اواخر سال ۲۰۲۱ میلادی شباهت‌هایی را بین عملکرد این گروه، با گروه بچه‌گربه‌های جذاب نشان می‌دهد. (APT42) یکی از زیرمجموعه‌های گروه‌ موسوم به «تهدید پیشرفته مدام» (APT) است. APT اصطلاحی که در صنعت سایبری، برای خطاب قراردادن گروه و یا گروه‌هایی از هکرها به کار برده می‌شود که با استفاده از چتر حمایتی حکومت‌ها یا سازمان‌های دولتی، اهداف و دستورات آنها را اجرایی کرده و عموما در حوزه جاسوسی اینترنتی و یا حملات ویرانگر سایبری فعال هستند.

گروه (APT42) متهم اول حمله سایبری به زیرساخت‌های حیاتی کشور آلبانی است. این اقدام خشم تیرانا را برانگیخته و در اقدامی اعتراضی آلبانی به لغو یکطرفه ارتباط دیپلماتیک با ایران و اخراج دیپلمات‌های جمهوری اسلامی از این کشور دست زد.

اگرچه مقامات جمهوری اسلامی، مسئولیت چنین حمله‌ای نپذیرفته و آن را اتهامی «بی‌اساس» خوانده‌اند، دفتر مطبوعاتی آمریکا در ناتو، دست‌داشتن ایران در این حمله سایبری را تایید کرده است. این دفتر به صدای آمریکا گفته است که ایران مسئول حمله سایبری «خطرناک» به زیرساخت‌های آلبانی است و عملکرد ایران، ناقض تمامی استانداردها و مسئولیت‌ها در زمان صلح است. آمریکا چند روز پس از حمله سایبری به زیرساخت‌های حیاتی آلبانی، وزیر و وزارت اطلاعات ایران را به دلیل «اقدامات مخرب سایبری» در لیست تحریم‌ها وزارت خزانه‌داری ایالات متحده قرار داد.

وابستگی گروه هکری (APT42) به ایران و همچنین فرمانبری آن از سپاه پاسداران انقلاب اسلامی پیش از این نیز بارها مطرح شده و اسناد و شواهد متعددی نیز از سوی محققان سایبری و شرکت‌های فعال در عرصه امنیت سایبری معتبر منتشر شده است.