رد پای گروهی از هکرهای دولتی با عنوان APT42 که پیش‌تر با نام UNC788 شناخته می‌شد، در بیش از ۳۰ عملیات جاسوسی علیه سازمان‌ها و اشخاص دارای موقعیت استراتژیکی  مشاهده شده است. این گروه فعالیت‌های خود را از سال ۲۰۱۵ آغاز کرده است.

شرکت امنیتی “ماندیانت” (Mandiant) این گروه را مسئول جمع‌آوری اطلاعات برای سپاه ایران دانسته و حرکت‌های آن را در راستای فعالیت‌های دیگر گروه مخرب ایرانی که به گربه ملوس معروف است، هم راستا دانست.

این گروه در حمله به صنایع مختلف از جمله سازمان‌های غیر انتفاعی، آموزشی، دولتی، بهداشتی سلامتی، قضایی همچنین زیر ساختی، رسانه‌ای و دارویی در کشورهایی همچون استرالیا، اروپا، آمریکا و آسیای مرکزی، تمایل زیادی از خود نشان داده است.

حمله به صنایع دارویی از آغاز پاندمی COVID-19 آغاز شد که به معنی توانایی بالای این گروه در تغییر تاکتیک‌ها و ابزارهای حمله می‌باشد.

این شرکت امنیتی در گزارش خود چنین نوشته است:”گروه APT42 در حملات خود از فیشینگ هدفمند و مهندسی اجتماعی استفاده می‌کند. فعالیت‌های این تیم به گونه‌ای است که اعتماد کامل قربانی را کسب کرده و سپس اقدامات لازم جهت دستیابی به ایمیل شخصی یا سازمانی قربانی، یا نصب بدافزار روی تلفن همراه را به عمل می‌آورند.

در تمامی این حملات، هدف ایجاد رابطه دوستی و به دست آوردن اعتماد طرف مقابل است، تا در نهایت اطلاعات لاگین قربانی را از او دریافت کنند. در ادامه، هکر به راحتی می‌تواند وارد زیر‌ساخت‌ها و شبکه‌ سازمان شود تا اطلاعات حساس و محرمانه آن را استخراج کند.

در این حملات فیشینگ از یک سری پیام‌های به شدت هدفمند استفاده شده که به اشخاص و سازمانهای دارای بهره استراتژیکی برای ایران، ارسال می‌شود. از سوی دیگری این پیام‌ها با تلاش برای ایجاد اعتماد با مسئولان دولتی، روزنامه نگاران، سیاست‌مداران بازنشسته و مهاجران ایرانی، نسبت به انتشار بدافزار اقدام کرده‌اند.

علاوه بر حساب‌های سرقت شده‌ای که به اتاق‌های فکری تعلق دارند و بیشتر برای حمله به محققان امنیتی و سازمان‌های آموزشی مورد استفاده قرار گرفته، این گروه هر از گاهی به عنوان روزنامه‌نگار به قربانیان خود نزدیک شده و هفته‌ها برای ایجاد اعتماد زمان صرف می‌کردند تا در نهایت لینک مخرب خود را به او ارسال کنند.

در یکی از حملاتی که در ماه می ۲۰۱۷ رخ داد، این گروه اعضای اپوزیسیون ایران که در اروپا و آمریکای شمالی فعالیت داشتند را هدف قرار داد. در این حمله با ارسال لینک‌های جعلی گوگل بوکز به قربانیان، که آنها را به صفحات لاگین جعلی هدایت می‌کند و اطلاعات ورود به حساب آنها را به همراه کد احراز هویت، جمع آوری می‌کند.

در عملیات‌های جاسوسی این گروه، انتشار بدافزارهای اندرویدی همچون Vinethrone و Pineflower دیده می‌شود که از طریق پیام‌های متنی منتشر می‌شود. از قابلیت‌های این بدافزارها می‌توان به ضبط صدا و تماس تلفنی، استخراج اطلاعات MMS و ردیابی موقعیت مکانی اشاره کرد. بدافزار Vinethrone بین آوریل و اکتبر ۲۰۲۱ تحت عنوان SaferVPN فعالیت‌های مخرب خود را پیش می‌برد.

اصلی‌ترین روش حمله APT42، استفاده از بدافزار برای دستیابی به اطلاعات حساس قربانی مثل موقعیت مکانی، مخاطبان و دیگر اطلاعات شخصی است.

همچنین گفته شده که این گروه در موارد اندکی از بدافزارها و ابزارهای ساده ویندوز نیز برای جمع‌آوری اطلاعات از قربانیان استفاده کرده است. یکی از این ابزارها Tamecat نام دارد که یک بک دور مبتنی بر پاور شل است. Tabbycat و VBRevshell از دیگر ابزارهای استفاده شده هستند.

تیم‌های امنیتی مایکروسافت و سکیور ورکز گروهکی را شناسایی کردند که در حملات باج‌افزاری از طریق BitLocker و آن را UNC2448 نام‌گذاری کردند. به عقیده این دو شرکت، APT42 زیر گروه APT35 یا  همان گربه ملوس است.

تحقیقات نشان داده هر دو عملیات توسط یک شرکت کاغذی با نام ناجی تکنولوژی هوشمند اجرا شده است. به همین علت محققان احتمال می‌دهند که این دو گروه به یکدیگر و در نهایت با سپاه ارتباط دارند، اما اهداف عملیاتی آنها با یکدیگر متفاوت است.  

با در نظر گرفتن قربانیان این دو گروه می‌توان چنین نتیجه گرفت که APT35 به صورت طولانی مدت از اهدافی که در بخش منابع به خصوص در آسیای میانی و آمریکا قرار دارند، جاسوسی می‌کند؛ این در حالی است که اهداف APT42 بیشتر کوتاه مدت بوده و قربانیان آن اغلب اشخاصی هستند که در سیاست‌های داخلی و خارجی نقش دارند.

مشاهدات نشان داده که این گروه با تغییر سیاست‌های نظام و شرایط سیاسی داخلی و منطقه‌ای به راحتی می‌تواند اهداف عملیاتی خود را تغییر دهد.

نظرات

نظر (به‌وسیله فیس‌بوک)