عملیات «BAD BLOOD»: گروه CHARMING KITTEN به اجرای عملیات فیشینگ پیشرفته متهم شد

هکرهای مرتبط با ایران، ۲۵ نفر از کارکنان ارشد سازمان‌های تحقیقاتی پزشکی مختلف آمریکا و اسرائیل را هدف کمپین فیشینگ قرار دادند.

شیوه کار گروه CHARMING KITTEN که به نام‌های APT۳۵ و Ajax Sec Team و Phosphorus نیز شناخته می‌شود این است که اطلاعات شخصی چهره‌های مهم را جمع‌آوری کرده و سپس اطلاعات به دست آورده را استفاده می‌کند تا بوسیله عملیات فیشینگ به کامپیوتر و مبایل و حساب‌های شخصی فرد هدف دسترسی پیدا کنند.

خبرگزاری سایبر ایران در گذشته در همین راستا گزارش‌های زیر را هم منتشر کرده است:
Microsoft legal action against CHARMING KITTEN after more malicious domains identified
MICROSOFT are angry at CHARMING KITTEN……. again
مایکروسافت پس از کشف دامنه‌های مخرب بیشتری به پیگرد قانونی علیه یک گروه هکری ایرانی ادامه می‌دهد

CHARMING KITTEN دوباره فعال شد؟

آغاز فعالیت مجدد این گروه هکری زمانی دوباره خبرساز شد که شرکت «پروف پوینت» (Proofpoint) آن را به انجام حمله فیشینگ به محققان پزشکی آمریکایی و اسرائیلی متهم کرد؛ این شرکت در گزارش خود اعلام کرد حملات اخیر را به CHARMING KITTEN یا گروهی موسوم به TA۴۳۵ که به عقیده شرکت پروف پوینت با CHARMING KITTEN مرتبط است، منتسب دانست. ضمنا شرکت پروف پوینت عملیات مذکور را به علت ارتباط آن به زمینه تحقیقات محققان مورد هدف، «BAD BLOOD» («خون بد») نام‌گذاری کرد.

فعالیت جدید با روش قدیمی

فعالیت این گروه هکری گرچه جدید به نظر می‌آید اما روش فیشینگ به کار رفته در این عملیات مسبوق به سابقه است. بر اساس گزارش شرکت پروف پوینت، گروه TA۴۳۵ کمپین پیچیده‌ای را راه انداخته که در آن ایمیل‌های جعلی حاوی لینک مخرب به محققان و مهندسین پزشکی آمریکایی و اسرائیلی ارسال شد؛ فرد دریافت‌کنندۀ ایمیل وقتی بر روی لینک کلیک می‌کرد به سایتی تقلبی با ظاهری عین سایت One Drive شرکت مایکروسافت هدایت می‌شد و هنگامی که کاربر قربانی برای ورود به حساب One Drive خود یوزر و گذرواژه خود را وارد می‌کرد این اطلاعات ثبت شده و در اختیار هکر قرار می‌گرفت که بدینوسیله گروه TA۴۳۵  به تمامی فایل‌ها و اطلاعات موجود در حساب One Drive قربانی دسترسی پیدا می‌کرد. این عملیات تشابه تقریباً صددرصدی را با کمپین‌های فیشینگ قبلی گروه CHARMING KITTEN دارد.

آیا TA۴۳۵ و CHARMING KITTEN تحت فرمان سپاه پاسداران عمل می‌کنند؟

جامعه هکری ایران به داشتن توانایی‌های بالا و پیشرفته‌ای شهرت دارد اما با این حال پیچیدگی و پیشرفتگی حملات اخیر این سوال را در ذهن ایجاد می‌کند که آیا این کمپین تحت فرمان یا به دستور سپاه پاسداران اجرا شده است؟ آنچه که از رزومه CHARMING KITTEN بر می‌آید این است که افرادی که معمولاً هدف این گروه قرار می‌گیرند نوعی فعالیت مدنی، دیپلوماتیک و یا خبرنگاری دارند که در موارد اخیر چنین چیزی کمابیش متصور نیست اما از طرف دیگر نمی‌توان این امکان را نادیده گرفت که حملات اخیر ممکن است جزوی از تلاش سپاه پاسداران برای جمع‌آوری اطلاعات پیرامون برنامه‌های مقابله با کرونا و واکسیناسیون کشورهای دیگری باشد چراکه در یک سال گذشته و در پی شیوع ویروس کرونا در سراسر جهان جاسوسی پزشکی به موضوع داغی در بسیاری از کشورها تبدیل شده است. هدف دقیق این گروه از این کار مشخص نیست و گفتنی است که از شیوه کار این گروه جز به حدس و گمان به هیچ نتیجه قطعی نمی‌توان دست یافت؛ CHARMING KITTEN شاید به دنبال سرقت اطلاعات شخصی بیماران بوده باشد اما در عین حال ممکن است هدف این گروه صرفاً جمع‌آوری اطلاعات برای کمپین‌های فیشینگ آتی بوده باشد.

سودهای بزرگ با زیان‌های بزرگتر

این نکته نیز گفتنی است که شرکت پروف پوینت با همکاری شرکت «Virus Total Telemetry» (ویروس توتال تله‌متری) توانست زیرساخت‌های فنی و دامنه‌های مورد استفاده گروه TA۴۳۵  را شناسایی و نقشه‌برداری نموده و با زیرساخت‌ها و زمان‌بندی عملیات پیشین مقایسه کند. این شرکت‌ها در نتیجه بررسی‌های خود به این نتیجه رسیدند که حملات گروه TA۴۳۵  با حملات گروه CHARMING KITTEN شباهت دارد. دو سال پیش وزارت دادگستری آمریکا ۴ ایرانی مظنون به عضویت در گروه CHARMING KITTEN را به انجام حملات نفوذی در شبکه‌های کامپیوتری به دستور و با همکاری سپاه پاسداران متهم و تحریم کرد.

به همین دلیل لازم می‌دانیم گوشزد کنیم، کار هک در کنار همه خوبی‌هایش می‌تواند عواقب شدیدی را هم در پی داشته باشد و لذا محافظت از هویت خود در فضای مجازی برای هکرهای جوان انقلابی کشورمان امری واجب است که نباید اهمیت آن را دست‌کم گرفت یا لحظه‌ای از آن غفلت کرد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *