BitDefender از فعالیت‌های گروه APT با هدف جمع‌آوری اطلاعات خبر داد. این گروه به خاطر حملاتش به سیستم‌های ارتباط راه دور و صنایع مسافرتی در بخش مرکزی آسیا با هدف جمع‌آوری اطلاعات جغرافیایی مهم و پر منفعت برای ایران، معروف است.

محققان گفتند که با بررسی قربانیان این حملات به این نتیجه رسیدیم که الگوی استفاده شده، شباهت زیادی به کار گروه APT دارد و هدف آنها مسافران هوایی و افرادی بوده که در بخش‌های دولتی آسیای مرکزی فعالیت می‌کردند. علاوه بر این، یکی از این حملات بیش از یک سال و نیم، مخفی و شناسایی نشده باقی مانده بود و در تمام این مدت به جمع‌آوری اطلاعات می‌پرداخت.

این پویش بر اساس ابزار‌های مختلفی پایه ریزی شده بود که بخش عمده‌ای از آن را ابزارهای موجود در محیط تشکیل می‌دادند، که نسبت دادن این حملات به یک گروه یا سازمان را سخت‌تر می کند. علاوه بر این در این حملات از بک دورهای سفارشی شده و ابزارهای هک مختلفی استفاده شده است.

فعالیت گروه APT  از سال ۲۰۱۴ آغاز شده و حمله به سازمان های دولتی ترکیه دیپلمات های خارجی که در ایران هستند با هدف جمع‌آوری داده های حساس، از جمله فعالیت‌های قبلی این گروه می باشد.

طبق گزارشاتی که در سال گذشته منتشر شده، فعالیت‌های این گروه بیشتر در زمینه ارتباطات راه دور و صنایع مسافرتی بوده‌است. سازمان‌های ارائه دهنده سرویس‌های ارتباط راه دور به دلیل اینکه اطلاعات شخصی افراد زیادی را ذخیره می‌کنند، هدف حملات متعددی قرار می‌گیرند.

APT قربانیان خود را ترفندهای فیشینگ هدفمند و با استفاده ایمیل ها و فایل‌های ضمیمه‌ای مخرب، برای خود بک دور ایجاد کرده و با استفاده از آن به شبکه‌های مورد نظر نفوذ کرده و با دستکاری سطح دسترسی، فعالیت‌های جاسوسی در داخل آن شبکه انجام داده و راهی برای تداوم حضور در سیستم ایجاد می‌کنند.

آنچه که حمله به زیر ساخت‌های کویت را جالب توجه کرده‌است، توانایی هکرها در ایجاد حساب کاربری در سیستم قربانی و انجام کارهای مخرب بر روی شبکه متصل به آن می‌باشد. این کارها عبارتند از: اسکن شبکه، جمع‌آوری اطلاعات ورود به حساب‌ها و دیگر کارهای مخرب.

به گفته محققان فعالیت‌های درون شبکه ای این گروه، جمعه‌ها که روز تعطیلی در بخش مرکزی آسیا است، بیشتر بوده است.

در حمله‌ای که به عربستان سعودی صورت گرفته از مهندسی اجتماعی استفاده شده و با فریب قربانی، او را مجاب به اجرای یک ابزار مدیریت از راه دور کرده‌اند. در بخش‌هایی از این حمله  شباهت‌های زیادی به حملات انجام گرفته علیه کویت و ترکیه دیده شده است.

با اینکه حمله علیه عربستان به جامعیت حمله کویت نبوده، اما با توجه به شواهد و مدارک بدست آمده در بررسی‌ها این احتمال وجود دارد که هر دو حمله کار یک گروه باشد. با وجود اینکه نفوذ به شبکه تایید شده بود، شواهدی که نشان از خروج اطلاعات از شبکه داشته باشد، به دست نیامده است. احتمالا علت این امر عدم وجود نقطه ضعف یا سیستم قابل نفوذ در شبکه بوده‌است.

حملاتی که علیه کویت و عربستان صورت گرفته نشان می‌دهد که فعالیت‌های جاسوسی ایران در فضای سایبری به هیچ وجه کاهش نیافته است.

نظرات

نظر (به‌وسیله فیس‌بوک)