رسانه‌های اسرائیلی، هدف بدافزار توسعه‌یافته هکرهای مرتبط با ایران

گروهی از هکرهای حکومتی وابسته به جمهوری اسلامی و از زیرمجموعه‌های گروه موسوم به (APT35)، که پیش از این با نام‌های (Charming Kitten)، (Imperial Kitten) و (Tortoiseshell) نیز شناخته شده‌اند، ابزار و توانمندی‌های خود را به روز کرده و مجموعه حملات هدفمند فریبکارانه، موسوم به (spear-phishing) را علیه حساب‌های کاربری و ایمیل‌ اهداف مختلف، ازجمله افرادی در اسرائیل را صورت داده‌اند.

شرکت امنیتی (Volexity) مستقر در ایالت ویرجینیا در آمریکا گفته، این گروه در یک مورد از حملات نوع فیشینگ، یک فایل فشرده شده (RAR) را تحت عنوان «پیش‌نویس گزارش» برای یک خبرنگار اسرائیلی ارسال کرده‌ است. فایلی محافظت شده با رمز عبور، که قربانی را به یک پیوند آلوده منتقل می‌کند و دسترسی مهاجمان را به دستگاه قربانی فراهم می‌کند.

به گفته این شرکت، هکرها در این مورد بسیار هدفمند و با برنامه عمل کرده‌اند. آنها از این خبرنگار پرسیده اند که آیا مایل است که سندی را مرتبط با سیاست خارجی ایالات متحده مطالعه کند؟ هکرها سپس به صورت غیر مستقیم، و از طریق ایمیلی دیگر، سوالاتی بی‌خطر را برای قربانی ارسال کرده و به مدت چند روز با او به تعامل پرداختند و در نهایت، پس از جلب اعتماد، فایل آلوده «پیشنویس گزارش» را برای او ارسال کردند.

بدافزاری که هکرها در این دوره از حمله‌های نوع فیشینگ مورد استفاده قرارداده‌اند، (PowerStar) نام دارد. این بدافزار درواقع نسخه به روز شده بدافزار دیگری است بنام (CharmPower)، که شرکت امنیتی چک‌پوینت سال گذشته میلادی در باره آن گزارشی مفصل ارائه کرده بود. این بدافزار در خلال آلوده‌سازی دستگاه هدف، از خدمات شرکت (Backblaze) بهره برده و از طریق کنترل و فرمان (C2) اطلاعات قربانی را به زیرساخت‌های این شرکت منتقل و ذخیره سازی می‌کند.

بررسی‌های کارشناسان شرکت (Volexity) نشان داده، هکرها این بدافزار را به شکلی توسعه داده‌اند که اقدامات ساده اپراتور آن به صورت خودکار انجام شود. همچنین یک تابع رمزگشایی از فایل‌های میزبانی شده از راه دور و یک دگمه خاموشی بدافزار نیز به آن افزوده شده تا کشف بدافزار را خارج از حافظه دشوار کرده و از تجزیه و تحلیل آینده عملکرد کلیدی آن نیز جلوگیری شود.

به گفته این کارشناسان، هکرها از این بدافزار توسعه‌ یافته به شکل محدود استفاده می کنند که این امر، رصد و تحلیل عملکرد خود بدافزار و عوامل گرداننده آن را مشکل‌تر می‌کند.

هکرهای (APT35) حدود ده سال پیش در کانون رصد شرکت‌های امنیتی قرار گرفته و سال ۲۰۲۱ میلادی نیز، شرکت (Darktrace) گزارش مفصلی را در خصوص حملات این گروه در خاورمیانه و آمریکای شمالی منتشر کرده است.

توبی لوئیس، مدیر تجزیه و تحلیل تهدید جهانی در شرکت (Darktrace)، در خصوص (APT35) می‌گوید که این گروه مرتبط با حکومت ایران، همواره تلاش دارد که خاص و منحصر به فرد به نظر آمده و خود را از هرگونه رصد پنهان کند. از این رو شیوه مهندسی اجتماعی را برای فعالیت خود انتخاب کرده و بر آن تمرکز کرده‌ است.