وزارت خزانه‌داری ایالات متحده آمریکا هفته گذشته تحریم‌های جدید علیه وزارت اطلاعات ایران و اسماعیل خطیب، وزیر اطلاعات را اعلام کرد. این تحریم‌ها در پی فعالیت‌های سایبری ایران علیه آمریکا و متحدان آن تصویب شده است.

خزانه‌داری طی بیانیه‌ای اعلام کرد:” وزارت اطلاعات ایران و مزدوران آن سازمان حداقل از سال ۲۰۰۷، فعالیت‌های مخرب سایبری زیادی انجام داده، که اغلب در بخش‌های مختلف دولتی و خصوصی در تمام دنیا و با هدف آسیب‌رساندن به زیر‌ساخت‌های مهم صورت گرفته است.”

این سازمان همچنین دولت ایران را در حمله به زیر‌ساخت‌های کامپیوتری آلبانی متهم کرد. این حمله در اواسط جولای ۲۰۲۲ رخ داد که در پی آن آلبانی مجبور به قطع موقتی اینترنت شد.

این اتفاقات در حالی رخ داده که تنها ۹ ماه از ماجرای حمله “مادی واتر” گذشته است. تقریبا ۲ سال پیش ایران به دلیل فعالیت‌های سایبری گروه APT39 تحریم شده بود.

طبق این بیانیه هیچ تجارت یا شهروندی در آمریکا حق انجام معامله با سپاه یا اسماعیل خطیب ندارد. هر فرد غیر شهروندی که با این دو معامله کند نیز در این دسته قرار می‌گیرد.

به گفته دولت آلبانی این حمله توسط ۴ تیم مختلف صورت گفته و دولت ایران هدایت این عملیات را بر عهده داشته است.

طبق تحقیقات مایکروسافت این ۴ گروه با یکدیگر همکاری نزدیکی داشتند به طوری که پیاده سازی و اجرای هر فاز از حملات، توسط یک تیم مجزا صورت گرفته است.

  • DEV-0842 پیاده سازی باج‌افزار و بدافزار وایپر
  • DEV-0861 ایجاد دسترسی اولیه و استخراج داده
  • DEV-0166 استخراج داده
  • DEV-0133 کاوش شبکه و زیر ساخت‌های هدف

مایکروسافت از سوی دیگر، گروه دیگری را نیز در ایجاد دسترسی اولیه و استخراج داده ها شناسایی کرده که این گروه نیز وابسته به سپاه ایران بوده و با عنوان APT34 شناسایی می‌شود.

در این حمله برای نفوذ و استخراج داده‌ها از ابزارهایی استفاده شده که قبلا در حملات هکرهای وابسته به ایران دیده شده است.

با توجه به سطح حمله صورت گرفته، ایران فقط توانست ۱۰% از آسیب‌ مد نظر خود را به مصرف‌کنندگان وارد کند. در این حمله پس از ایجاد دسترسی اولیه، از دستورات وب شل برای ایجاد تداوم در دستگاه‌های آلوده شده، استفاده شده است.

یافته‌های اخیر مایکروسافت با تحلیل‌های گروه ماندیانت گوگل هم راستا بود که هر دو گسترش فعالیت‌های سایبری ایران در منطقه را نشان می‌دهد.

فاز ایجاد دسترسی در اوایل ماه می ۲۰۲۱، با بهره‌جویی از آسیب‌پذیری اجرای کد از راه دور در شیرپوینت آغاز گردید. به احتمال زیاد این کار با ابزاری به نام Jason پیاده سازی شده، علاوه‌ بر این، دیده شده که در این حملات از باج‌افزاری با عنوان RoadSweep نیز استفاده شده است.

البته مایکروسافت این حملات را انتقام گیری مستقیمی می‌داند که در پی حملات سایبری گروهی از هکتیویست‌های وابسته به مجاهدین خلق، علیه دولت ایران که توسط صورت گرفته است.

گروه مجاهدین خلق عمدتا از ایرانیان مهاجری تشکیل شده که هدف آنها براندازی حکومت جمهوری اسلامی و جایگزینی آن با دولتی دیگر (دولتی متشکل از مجاهدین خلق) می‌باشد. اغلب فعالان این گروه در آلبانی زندگی می‌کنند.

طبق گزارش مایکروسافت، تمامی سازمانها و ارگانهای تحت حمله در کمپین سایبری ایران، مشابه با اهداف مجاهدین خلق مشابه است. البته وزارت امور خارجه ایران این اتهامات را رد کرده و آنها را بی‌پایه و اساس خطاب نمود.

نظرات

نظر (به‌وسیله فیس‌بوک)