دو گروه از هکرهای وابسته به دولت ایران، فعالیت‌های زیادی در زمینه جمع‌آوری اطلاعات از شهروندان ایرانی صورت داده‌اند. این حملات بر روی اشخاصی که توانایی آسیب رساندن به ثبات دولت را دارند، مثل مخالفات، معترضین، حمایت‌کنندگان داعش و کردها، تمرکز ویژه‌ای داشته‌است.

در بررسی‌های به عمل آمده از فعالیت‌های جاسوسی این دو گروه، برای جمع‌آوری داده‌های مورد نیاز از قربانیان بدافزارهای دستکاری شده و اپلیکیشن‌های مخرب با لباس مبدل (سوءاستفاده از نام و شباهت به اپلیکیشن‌های محبوب و پرکاربرد) مورد استفاده قرار گرفته است.

به گفته محققان شرکت امنیتی چک پوینت (Checkpoint)، هکرهای گربه اهلی (Domestic kitten) و اینفی (Infy) به خاطر فعالیت‌های جاسوسی و حملات سایبری خود علیه کاربران تلفن‌های همراه و کامپیوترهای رومیزی، معروفند. در گزارشی که به تازگی توسط محققان این شرکت منتشر شده، گفته شده که این گروه‌ها کاملا فعال بوده و مدام در حال تغییر روشهای خود هستند.

با وجود اینکه در بسیاری از موارد، قربانیان این دو گروه مشترک هستند، اما به نظر می‌رسد که فعالیت‌های آنها مستقل از هم می‌باشد. با این وجود به عقیده محققان نمی‌توان از تاثیر هم‌افزایی این دو گروه در قربانیان مشترک و جمع‌آوری حجم عظیمی از داده‌ها، چشم پوشی کرد.

جعل اپلیکیشن رستورانی واقع در تهران توسط گربه اهلی:

این گروه که فعالیت‌های خود را از سال ۲۰۱۶ آغاز کرده، به خاطر هدف قرار دادن کاربران اندرویدی و جمع‌آوری داده‌های حساسی از قبیل اس‌ام‌اس، تاریخچه تماس، عکس‌ها، ویدیوها و موقعیت جغرافیایی، به همراه فایلهای صوتی ضبط شده توسط قربانی، معروف است.

در جدیدترین کمپین این گروه، از اپلیکیشن جعلی رستوران محسن استفاده شده که کاربران از طریق چندین روش، مثل ارسال لینک دانلود اپلیکیشن با اس‌ام‌اس یا کامال‌های تلگرام، فریب داده و بدافزاری که بر روی یک سرور ایرانی قرار دارد، روی تلفن همراه قربانی نصب می‌کند.

طبق این گزارش، اهداف اصلی این گروه بیش از ۱۲۰۰ کاربر را در بر می‌گیرد که بیش از ۶۰۰ مورد از حملات آن موفق بوده‌است.

این اپلیکیشن پس از نصب، با هر بار راه‌اندازی مجدد اجرا شده و جمع‌آوری داده‌های کاربر را آغاز می‌کند. بدافزار فوق قابلیت جمع‌آوری تاریخچه مرورگر، دستیابی به اطلاعات حافظه جانبی را داشته و هر ۲۰ ثانیه ویدیوها، عکسها و لیست تماسها را چک می کند.

بررسی کلیپ بورد، دسترسی به اعلانهای دریافتی از تمامی منابع (همه اپلیکیشنها، پیامک ها و …) و دریافت دستورات راه دور از طریق سرور کنترل و فرماندهی هکر ها، از دیگر قابلیت‌های این بدافزار مخرب است.

بازگشت اینفی با بدافزار سطح دو ناشناخته

اینفی (معروف به شاهزاده ایرانی) برای اولین بار در سال ۲۰۱۶ شناسایی شد. فعالیت‌های این گروه علیه مخالفین دولت ایران و آژانس‌های دیپلماتیک در سراسر اروپا در سال ۲۰۲۰ شناسایی شد.

فعالیت‌های این گروه در سال ۲۰۱۶ و ۲۰۱۷ توسط شرکت پالو آلتو شناسایی و متوقف گردید. این شرکت در گزارشات خود به همکاری شرکت ارتباطات همراه ایران (مخابرات) و اینفی اشاره کرده و به مسدود شدن سرورهای کنترل و فرماندهی این گروه از طریق دستکاری DNS اشاره شده است.

این گروه پس از تجدید قوا و رفع ایرادات خود، (با توجه به اینکه سه نسخه از اپلیکیشن مخرب foudre شناسایی شد) با اپلیکیشن جدیدی به نام Tonnerre 11 فعالیت خود را از سر گرفته است.

زنجیره این حمله با ارسال ایمیل فیشینگ به قربانی آغاز می‌شود. این ایمیل حاوی برخی اسناد به زبان فارسی بوده که با بسته شدن آنها، ماکرو مخربی در سیستم قربانی اجرا می شود. این ماکرو بک‌دور مورد نیاز برای نفوذ foudre را فراهم می‌کند که به سرور کنترل و فرماندهی هکرها متصل شده و اپلیکیشن مخرب Tonnerre 11 را بر روی تلفن همراه قربانی نصب می‌کند.

این اپلیکیشن توانایی ضبط صدا و گرفتن اسکرین شات را دارد. آنچه که این بدافزار را از سایر نسخه‌های آن متمایز می‌کند استفاده از دو سرور کنترل و فرماندهی است. یک سرور برای دریافت دستورات و بروزرسانی از طریق پروتکل HTTP بوده و دیگری برای ارسال داده‌های جمع‌آوری شده، استفاده می‌شود.

این اپلیکیشن حجمی معادل ۵۶ مگابایت دارد که به نفع هکرها است. اغلب فروشگاه‌ها، از اسکن اپلیکیشن‌های حجم بالا جهت شناسایی بدافزار، صرفنظر می‌کنند.

بر خلاف حملات گربه اهلی، اهداف این حمله بیش از چند ۱۰ نفر نبوده که اغلب آنها از عراق، آذربایجان، آلمان، کانادا و ترکیه هستند.

نظرات

نظر (به‌وسیله فیس‌بوک)