BitDefender از فعالیتهای گروه APT با هدف جمعآوری اطلاعات خبر داد. این گروه به خاطر حملاتش به سیستمهای ارتباط راه دور و صنایع مسافرتی در بخش مرکزی آسیا با هدف جمعآوری اطلاعات جغرافیایی مهم و پر منفعت برای ایران، معروف است.
محققان گفتند که با بررسی قربانیان این حملات به این نتیجه رسیدیم که الگوی استفاده شده، شباهت زیادی به کار گروه APT دارد و هدف آنها مسافران هوایی و افرادی بوده که در بخشهای دولتی آسیای مرکزی فعالیت میکردند. علاوه بر این، یکی از این حملات بیش از یک سال و نیم، مخفی و شناسایی نشده باقی مانده بود و در تمام این مدت به جمعآوری اطلاعات میپرداخت.
این پویش بر اساس ابزارهای مختلفی پایه ریزی شده بود که بخش عمدهای از آن را ابزارهای موجود در محیط تشکیل میدادند، که نسبت دادن این حملات به یک گروه یا سازمان را سختتر می کند. علاوه بر این در این حملات از بک دورهای سفارشی شده و ابزارهای هک مختلفی استفاده شده است.
فعالیت گروه APT از سال ۲۰۱۴ آغاز شده و حمله به سازمان های دولتی ترکیه دیپلمات های خارجی که در ایران هستند با هدف جمعآوری داده های حساس، از جمله فعالیتهای قبلی این گروه می باشد.
طبق گزارشاتی که در سال گذشته منتشر شده، فعالیتهای این گروه بیشتر در زمینه ارتباطات راه دور و صنایع مسافرتی بودهاست. سازمانهای ارائه دهنده سرویسهای ارتباط راه دور به دلیل اینکه اطلاعات شخصی افراد زیادی را ذخیره میکنند، هدف حملات متعددی قرار میگیرند.
APT قربانیان خود را ترفندهای فیشینگ هدفمند و با استفاده ایمیل ها و فایلهای ضمیمهای مخرب، برای خود بک دور ایجاد کرده و با استفاده از آن به شبکههای مورد نظر نفوذ کرده و با دستکاری سطح دسترسی، فعالیتهای جاسوسی در داخل آن شبکه انجام داده و راهی برای تداوم حضور در سیستم ایجاد میکنند.
آنچه که حمله به زیر ساختهای کویت را جالب توجه کردهاست، توانایی هکرها در ایجاد حساب کاربری در سیستم قربانی و انجام کارهای مخرب بر روی شبکه متصل به آن میباشد. این کارها عبارتند از: اسکن شبکه، جمعآوری اطلاعات ورود به حسابها و دیگر کارهای مخرب.
به گفته محققان فعالیتهای درون شبکه ای این گروه، جمعهها که روز تعطیلی در بخش مرکزی آسیا است، بیشتر بوده است.
در حملهای که به عربستان سعودی صورت گرفته از مهندسی اجتماعی استفاده شده و با فریب قربانی، او را مجاب به اجرای یک ابزار مدیریت از راه دور کردهاند. در بخشهایی از این حمله شباهتهای زیادی به حملات انجام گرفته علیه کویت و ترکیه دیده شده است.
با اینکه حمله علیه عربستان به جامعیت حمله کویت نبوده، اما با توجه به شواهد و مدارک بدست آمده در بررسیها این احتمال وجود دارد که هر دو حمله کار یک گروه باشد. با وجود اینکه نفوذ به شبکه تایید شده بود، شواهدی که نشان از خروج اطلاعات از شبکه داشته باشد، به دست نیامده است. احتمالا علت این امر عدم وجود نقطه ضعف یا سیستم قابل نفوذ در شبکه بودهاست.
حملاتی که علیه کویت و عربستان صورت گرفته نشان میدهد که فعالیتهای جاسوسی ایران در فضای سایبری به هیچ وجه کاهش نیافته است.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.