ایران، عامل استقرار Backdoor در سراسر شبکه مخابرات خاورمیانه و سازمانهای دولتی
اخبار داغ فناوری اطلاعات و امنیت شبکه
یک عملیات سایبری تحت حمایت وزارت اطلاعات و امنیت جمهوری اسلامی ایران (MOIS) به یک واسطه دسترسی اولیه پیچیده برای هکرهای کشور تبدیل شده است که امکان ورود مداوم و پیوسته به سیستمهای مخابراتی و سازمانهای دولتی در سراسر خاورمیانه را فراهم میکند.
مجموعه Mandiant، یکی از واحدهای امنیتی گوگل، روز پنجشنبه گزارشی درباره عملیاتی که آن را با نام UNC1860 معرفی میکند، ادعاهایی را منتشر کرده است. به ادعای محققان، هکرهای متصل به این واحد، مجموعهای چشمگیر از ابزارهای تخصصی و Backdoorهای غیرفعال را توسعه دادهاند که به کمک سایر عملیاتهای هک جمهوری اسلامی ایران ادامه میدهند.
مجموعه Mandiant توضیح داد: «این گروهها همچنین طبق گزارشها دسترسی اولیه را برای عملیاتهای مخرب و خرابکارانهای که اسرائیل را در اواخر اکتبر ٢٠٢٣ با BABYWIPER و آلبانی در سال ٢٠٢٢ با استفاده از ROADSWEEP هدف قرار دادند، فراهم کردهاند. ابزارهایی پیدا شده است که "احتمالا برای تسهیل عملیات بدون دخالت کاربر طراحی شده بودهاند"».
گروه Mandiant گفت که یکی از ویژگیهای کلیدی UNC1860 شامل «نگهداری از این مجموعه متنوع از ابزارهای غیرفعال/مبتنی بر شنونده است که از دسترسی اولیه گروه و در راستای حرکت جانبی این گروه پشتیبانی میکند».
این ابزارها برای فرار از نرمافزارهای آنتیویروس طراحی شدهاند و دسترسی مخفیانه به سیستمهایی را فراهم میکنند که میتوانند برای اهداف مختلف مورد استفاده قرار گیرند.
مجموعه Mandiant گروه UNC1860 را یک «بازیگر تهدید بزرگ» نامید که احتمالا از «اهداف مختلف از جاسوسی گرفته تا عملیات حمله شبکهای» پشتیبانی میکند.
این شرکت امنیتی ادعا کرد که به شواهدی مبنی بر استفاده ابزارهای UNC1860 توسط سایر گروههای هکر وابسته به وزارت اطلاعات جمهوری اسلامی مانند APT34 (یک گروه تهدید سایبری ایرانی که مسئول نفوذ به سیستمهای دولتی در اردن، اسرائیل، عربستان سعودی و سایرین است) دست یافته است. هفته گذشته، محققان یک عملیات گسترده APT34 را که مقامات دولتی در عراق را هدف قرار داده بود، کشف نمودند.
گروه Mandiant گفت که در سال ٢٠٢٠ برای پاسخگویی به حوادثی که UNC1860 از شبکه قربانیان ناشناس برای اسکن آدرسهای IP استفاده میکرد و آسیبپذیریهایی را که عمدتا در عربستان سعودی قرار داشتند را افشا کرد، استخدام و به کار گرفته شد. این شرکت همچنین شواهدی مبنی بر علاقه گروه UNC1860 به دامنههای متعلق به قطر پیدا کرده است.
این شرکت اضافه کرد که ابزارهای مورد استفاده در کمپین مارس ٢٠٢٤ شامل بدافزار وایپر (Wiper) که سازمانهای اسرائیلی را هدف قرار میدهد نیز میتواند به UNC1860 نسبت داده شود.
شرکت Mandiant گفت: «پس از به دست آوردن جایگاه اولیه، این گروه معمولا ابزارهای اضافی و مجموعهای از ایمپلنتهای غیرفعال را به کار میگیرد که به گونهای طراحی شدهاند که مخفیانهتر از Backdoorهای معمولی باشند».
سایر شرکتها ازجمله Cisco، Check Point و Fortinet، در گذشته ابزارهای گروه UNC1860، را مورد شناسایی و بررسی قرار دادهاند.
د این گزارش ادعا شده است که عملیات سایبری جمهوری اسلامی ایران با روندی افزایشی، از سوی محققان امنیتی و سازمانهای دولتی موردتوجه ویژهای قرارگرفته است.
چهارشنبه شب، افبیآی و سایر آژانسهای مجری قانون در ادعاهای خود گفتند که هکرهای جمهوری اسلامی ایران، اسناد کمپین دونالد ترامپ، رئیسجمهور سابق آمریکا را به سرقت بردند و تلاش کردند تا اطلاعات را به کمپینهای رقیب و رسانههای خبری منتشر کنند، اما در این راستا شکست خوردند.
گروه Mandiant گفت: «در حالی که تنشها در خاورمیانه ادامه مییابد، ما بر این باوریم که مهارت این مهاجم سایبری در دستیابی به دسترسی اولیه به محیطهای هدف، دارایی ارزشمندی برای اکوسیستم سایبری جمهوری اسلامی ایران است که میتوان از آن برای پاسخگویی به اهداف در حال تحول با تغییر نیازها بهرهبرداری کرد».
برچسب ها: BABYWIPER, UNC1860, وزارت اطلاعات و امنیت جمهوری اسلامی ایران, Cyberspy, Cyber Spionage, Roadsweep, MOIS, Wiper, Iran, cybersecurity, ایران, israel, malware, اسرائیل, APT34, جاسوسی سایبری, backdoor, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news