ادعای حضور هکرهای ایرانی در پس حملات مخرب به آلبانی و اسرائیل
اخبار داغ فناوری اطلاعات و امنیت شبکه
یکی از مهاجمان سایبری ایرانی وابسته به وزارت اطلاعات و امنیت (MOIS) به ترتیب تحت نامهای عدالت میهن یا Homeland Justice و Karma در پشت حملات سایبری مخربی که آلبانی و اسرائیل را هدف قرار میدهند، بوده است.
شرکت امنیت سایبری Check Point در ادعاهای خود میگوید که در حال ردیابی فعالیتهای سایبری تحت نام Void Manticore است که توسط مایکروسافت با نام Storm-0842 (با اسم سابق DEV-0842) نیز شناخته میشود.
این شرکت در گزارشی که امروز منتشر شد ادعا کرد: "همپوشانیهای واضحی بین اهداف Void Manticore و Scarred Manticore وجود دارد، با نشانههایی مبنی بر حذف سیستماتیک اهداف بین این دو گروه هنگام تصمیمگیری برای انجام فعالیتهای مخرب علیه قربانیان موجود Scarred Manticore، وجود دارد".
این عامل تهدید به خاطر حملات سایبری مخرب خود علیه آلبانی از جولای 2022 تحت نام Homeland Justice که شامل استفاده از بدافزار وایپر سفارشی به نام Cl Wiper و No-Justice (معروف به LowEraser) است، شناخته میشود.
حملات بدافزار پاک کن (wiper) مشابه نیز سیستمهای ویندوز و لینوکس را در اسرائیل پس از جنگ اسرائیل و حماس (پس از اکتبر 2023) با استفاده از یک پاک کن دیگر با اسم رمز BiBi هدف قرار داده است. این گروه هکتیویست طرفدار حماس با نام کارما (Karma) شناخته میشود.
به ادعای این گزارش، زنجیرههای حملهای که توسط این گروه تنظیم شدهاند، «سرراست و ساده» هستند؛ معمولا از ابزارهای در دسترس عموم استفاده میکنند و از پروتکل دسکتاپ راه دور (RDP)، بلوک پیام سرور (SMB) و پروتکل انتقال فایل (FTP) برای حرکت جانبی قبل از استقرار بدافزار استفاده میکنند.
طبق توصیهای که آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) در سپتامبر 2022 منتشر کرد، دسترسی اولیه در برخی موارد با بهرهبرداری از نقصهای امنیتی شناخته شده در برنامههای کاربردی اینترنت (مانند CVE-2019-0604) انجام میشود.
به دنبال نفوذ موفقیتآمیز، استقرار web shellها، ازجمله Karma Shell انجام میپذیرد که به عنوان یک صفحه خطا ظاهر میشود، اما قادر به شمارش دایرکتوریها، ایجاد فرآیندها، آپلود فایلها و راهاندازی/توقف/فهرست کردن سرویسها است.
در ادامه ادعاهای این گزارش آمده است که گروه Void Manticore مظنون به استفاده از دسترسیهایی است که قبلا توسط Scarred Manticore (معروف به Storm-0861) برای انجام نفوذهای خود به دست آورده است، که بر رویه اشتراک راهکارهتی نفوذ بین دو عامل تهدید صحه میگذارد.
این درجه بالای همکاری قبلا توسط مایکروسافت در تحقیقات خود در مورد حملاتی که دولتهای آلبانیایی را در سال 2022 هدف قرار داده بود، اشاره شده است. مایکروسافت در ادعاهای خود گفته است که چندین مهاجم ایرانی در آن شرکت داشتند و آنها مسئول مراحل مختلف هر کار بودند.
• گروه Storm-0861 دسترسی اولیه را به دست آورد و دادهها را استخراج نموده است.
• گروه Storm-0842 باج افزار و بدافزار پاک کن را به کار گرفت.
• دادهها توسط Storm-0166 استخراج شده است.
• گروه Storm-0133 زیرساخت قربانی را کاوش کرده است.
همچنین در گزارش ادعا شده است که Storm-0861 یک عنصر فرعی در APT34 (با نام مستعار Cobalt Gypsy، Hazel Sandstorm، Helix Kitten و OilRig)، یک گروه ملی-دولتی ایرانیست که بخاطر بدافزارهای پاککن معروف Shamoon و ZeroCleare شناخته شده است.
چک پوینت گفت: "همپوشانی در تکنیکهای به کار رفته در حملات علیه اسرائیل و آلبانی، ازجمله هماهنگی بین دو مهاجم مختلف، نشان میدهد که اینروند به یک امر عادی تبدیل شده است".
این گزارش درنهایت افزود: "در عملیات Void Manticore با رویکرد دوگانه آنها، ترکیب جنگ روانی با تخریب واقعی دادهها مشخص میشود. این امر از طریق استفاده از حملات پاک کردن و با افشای اطلاعات عمومی به دست میآید و در نتیجه تخریب سازمانهای هدف را تشدید میکند".
برچسب ها: ZeroCleare, Storm-0166, Storm-0861, Karma Shell, LowEraser, Cl Wiper, DEV-0842, Void Manticore, BiBi Wiper, STORM-0842, No-Justice, Iranian Hacker Group, کارما, Karma, Scarred Manticore, BiBi, Storm-0133, Hazel Sandstorm, Cobalt Gypsy, عدالت میهن, HomeLand Justice, آلبانی, Albania, وایپر, OilRig, Wiper, Iran, SMB, Hacker, cybersecurity, FTP, RDP, Shamoon, ایران, israel, malware, اسرائیل, Helix Kitten, APT34, جاسوسی سایبری, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news