دو گروه از هکرهای وابسته به دولت ایران، فعالیتهای زیادی در زمینه جمعآوری اطلاعات از شهروندان ایرانی صورت دادهاند. این حملات بر روی اشخاصی که توانایی آسیب رساندن به ثبات دولت را دارند، مثل مخالفات، معترضین، حمایتکنندگان داعش و کردها، تمرکز ویژهای داشتهاست.
در بررسیهای به عمل آمده از فعالیتهای جاسوسی این دو گروه، برای جمعآوری دادههای مورد نیاز از قربانیان بدافزارهای دستکاری شده و اپلیکیشنهای مخرب با لباس مبدل (سوءاستفاده از نام و شباهت به اپلیکیشنهای محبوب و پرکاربرد) مورد استفاده قرار گرفته است.
به گفته محققان شرکت امنیتی چک پوینت (Checkpoint)، هکرهای گربه اهلی (Domestic kitten) و اینفی (Infy) به خاطر فعالیتهای جاسوسی و حملات سایبری خود علیه کاربران تلفنهای همراه و کامپیوترهای رومیزی، معروفند. در گزارشی که به تازگی توسط محققان این شرکت منتشر شده، گفته شده که این گروهها کاملا فعال بوده و مدام در حال تغییر روشهای خود هستند.
با وجود اینکه در بسیاری از موارد، قربانیان این دو گروه مشترک هستند، اما به نظر میرسد که فعالیتهای آنها مستقل از هم میباشد. با این وجود به عقیده محققان نمیتوان از تاثیر همافزایی این دو گروه در قربانیان مشترک و جمعآوری حجم عظیمی از دادهها، چشم پوشی کرد.
جعل اپلیکیشن رستورانی واقع در تهران توسط گربه اهلی:
این گروه که فعالیتهای خود را از سال ۲۰۱۶ آغاز کرده، به خاطر هدف قرار دادن کاربران اندرویدی و جمعآوری دادههای حساسی از قبیل اساماس، تاریخچه تماس، عکسها، ویدیوها و موقعیت جغرافیایی، به همراه فایلهای صوتی ضبط شده توسط قربانی، معروف است.
در جدیدترین کمپین این گروه، از اپلیکیشن جعلی رستوران محسن استفاده شده که کاربران از طریق چندین روش، مثل ارسال لینک دانلود اپلیکیشن با اساماس یا کامالهای تلگرام، فریب داده و بدافزاری که بر روی یک سرور ایرانی قرار دارد، روی تلفن همراه قربانی نصب میکند.
طبق این گزارش، اهداف اصلی این گروه بیش از ۱۲۰۰ کاربر را در بر میگیرد که بیش از ۶۰۰ مورد از حملات آن موفق بودهاست.
این اپلیکیشن پس از نصب، با هر بار راهاندازی مجدد اجرا شده و جمعآوری دادههای کاربر را آغاز میکند. بدافزار فوق قابلیت جمعآوری تاریخچه مرورگر، دستیابی به اطلاعات حافظه جانبی را داشته و هر ۲۰ ثانیه ویدیوها، عکسها و لیست تماسها را چک می کند.
بررسی کلیپ بورد، دسترسی به اعلانهای دریافتی از تمامی منابع (همه اپلیکیشنها، پیامک ها و …) و دریافت دستورات راه دور از طریق سرور کنترل و فرماندهی هکر ها، از دیگر قابلیتهای این بدافزار مخرب است.
بازگشت اینفی با بدافزار سطح دو ناشناخته
اینفی (معروف به شاهزاده ایرانی) برای اولین بار در سال ۲۰۱۶ شناسایی شد. فعالیتهای این گروه علیه مخالفین دولت ایران و آژانسهای دیپلماتیک در سراسر اروپا در سال ۲۰۲۰ شناسایی شد.
فعالیتهای این گروه در سال ۲۰۱۶ و ۲۰۱۷ توسط شرکت پالو آلتو شناسایی و متوقف گردید. این شرکت در گزارشات خود به همکاری شرکت ارتباطات همراه ایران (مخابرات) و اینفی اشاره کرده و به مسدود شدن سرورهای کنترل و فرماندهی این گروه از طریق دستکاری DNS اشاره شده است.
این گروه پس از تجدید قوا و رفع ایرادات خود، (با توجه به اینکه سه نسخه از اپلیکیشن مخرب foudre شناسایی شد) با اپلیکیشن جدیدی به نام Tonnerre 11 فعالیت خود را از سر گرفته است.
زنجیره این حمله با ارسال ایمیل فیشینگ به قربانی آغاز میشود. این ایمیل حاوی برخی اسناد به زبان فارسی بوده که با بسته شدن آنها، ماکرو مخربی در سیستم قربانی اجرا می شود. این ماکرو بکدور مورد نیاز برای نفوذ foudre را فراهم میکند که به سرور کنترل و فرماندهی هکرها متصل شده و اپلیکیشن مخرب Tonnerre 11 را بر روی تلفن همراه قربانی نصب میکند.
این اپلیکیشن توانایی ضبط صدا و گرفتن اسکرین شات را دارد. آنچه که این بدافزار را از سایر نسخههای آن متمایز میکند استفاده از دو سرور کنترل و فرماندهی است. یک سرور برای دریافت دستورات و بروزرسانی از طریق پروتکل HTTP بوده و دیگری برای ارسال دادههای جمعآوری شده، استفاده میشود.
این اپلیکیشن حجمی معادل ۵۶ مگابایت دارد که به نفع هکرها است. اغلب فروشگاهها، از اسکن اپلیکیشنهای حجم بالا جهت شناسایی بدافزار، صرفنظر میکنند.
بر خلاف حملات گربه اهلی، اهداف این حمله بیش از چند ۱۰ نفر نبوده که اغلب آنها از عراق، آذربایجان، آلمان، کانادا و ترکیه هستند.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.