عملیات «BAD BLOOD»: گروه CHARMING KITTEN به اجرای عملیات فیشینگ پیشرفته متهم شد
هکرهای مرتبط با ایران، ۲۵ نفر از کارکنان ارشد سازمانهای تحقیقاتی پزشکی مختلف آمریکا و اسرائیل را هدف کمپین فیشینگ قرار دادند.
شیوه کار گروه CHARMING KITTEN که به نامهای APT۳۵ و Ajax Sec Team و Phosphorus نیز شناخته میشود این است که اطلاعات شخصی چهرههای مهم را جمعآوری کرده و سپس اطلاعات به دست آورده را استفاده میکند تا بوسیله عملیات فیشینگ به کامپیوتر و مبایل و حسابهای شخصی فرد هدف دسترسی پیدا کنند.
خبرگزاری سایبر ایران در گذشته در همین راستا گزارشهای زیر را هم منتشر کرده است:
Microsoft legal action against CHARMING KITTEN after more malicious domains identified
MICROSOFT are angry at CHARMING KITTEN……. again
مایکروسافت پس از کشف دامنههای مخرب بیشتری به پیگرد قانونی علیه یک گروه هکری ایرانی ادامه میدهد
CHARMING KITTEN دوباره فعال شد؟
آغاز فعالیت مجدد این گروه هکری زمانی دوباره خبرساز شد که شرکت «پروف پوینت» (Proofpoint) آن را به انجام حمله فیشینگ به محققان پزشکی آمریکایی و اسرائیلی متهم کرد؛ این شرکت در گزارش خود اعلام کرد حملات اخیر را به CHARMING KITTEN یا گروهی موسوم به TA۴۳۵ که به عقیده شرکت پروف پوینت با CHARMING KITTEN مرتبط است، منتسب دانست. ضمنا شرکت پروف پوینت عملیات مذکور را به علت ارتباط آن به زمینه تحقیقات محققان مورد هدف، «BAD BLOOD» («خون بد») نامگذاری کرد.
فعالیت جدید با روش قدیمی
فعالیت این گروه هکری گرچه جدید به نظر میآید اما روش فیشینگ به کار رفته در این عملیات مسبوق به سابقه است. بر اساس گزارش شرکت پروف پوینت، گروه TA۴۳۵ کمپین پیچیدهای را راه انداخته که در آن ایمیلهای جعلی حاوی لینک مخرب به محققان و مهندسین پزشکی آمریکایی و اسرائیلی ارسال شد؛ فرد دریافتکنندۀ ایمیل وقتی بر روی لینک کلیک میکرد به سایتی تقلبی با ظاهری عین سایت One Drive شرکت مایکروسافت هدایت میشد و هنگامی که کاربر قربانی برای ورود به حساب One Drive خود یوزر و گذرواژه خود را وارد میکرد این اطلاعات ثبت شده و در اختیار هکر قرار میگرفت که بدینوسیله گروه TA۴۳۵ به تمامی فایلها و اطلاعات موجود در حساب One Drive قربانی دسترسی پیدا میکرد. این عملیات تشابه تقریباً صددرصدی را با کمپینهای فیشینگ قبلی گروه CHARMING KITTEN دارد.
آیا TA۴۳۵ و CHARMING KITTEN تحت فرمان سپاه پاسداران عمل میکنند؟
جامعه هکری ایران به داشتن تواناییهای بالا و پیشرفتهای شهرت دارد اما با این حال پیچیدگی و پیشرفتگی حملات اخیر این سوال را در ذهن ایجاد میکند که آیا این کمپین تحت فرمان یا به دستور سپاه پاسداران اجرا شده است؟ آنچه که از رزومه CHARMING KITTEN بر میآید این است که افرادی که معمولاً هدف این گروه قرار میگیرند نوعی فعالیت مدنی، دیپلوماتیک و یا خبرنگاری دارند که در موارد اخیر چنین چیزی کمابیش متصور نیست اما از طرف دیگر نمیتوان این امکان را نادیده گرفت که حملات اخیر ممکن است جزوی از تلاش سپاه پاسداران برای جمعآوری اطلاعات پیرامون برنامههای مقابله با کرونا و واکسیناسیون کشورهای دیگری باشد چراکه در یک سال گذشته و در پی شیوع ویروس کرونا در سراسر جهان جاسوسی پزشکی به موضوع داغی در بسیاری از کشورها تبدیل شده است. هدف دقیق این گروه از این کار مشخص نیست و گفتنی است که از شیوه کار این گروه جز به حدس و گمان به هیچ نتیجه قطعی نمیتوان دست یافت؛ CHARMING KITTEN شاید به دنبال سرقت اطلاعات شخصی بیماران بوده باشد اما در عین حال ممکن است هدف این گروه صرفاً جمعآوری اطلاعات برای کمپینهای فیشینگ آتی بوده باشد.
سودهای بزرگ با زیانهای بزرگتر
این نکته نیز گفتنی است که شرکت پروف پوینت با همکاری شرکت «Virus Total Telemetry» (ویروس توتال تلهمتری) توانست زیرساختهای فنی و دامنههای مورد استفاده گروه TA۴۳۵ را شناسایی و نقشهبرداری نموده و با زیرساختها و زمانبندی عملیات پیشین مقایسه کند. این شرکتها در نتیجه بررسیهای خود به این نتیجه رسیدند که حملات گروه TA۴۳۵ با حملات گروه CHARMING KITTEN شباهت دارد. دو سال پیش وزارت دادگستری آمریکا ۴ ایرانی مظنون به عضویت در گروه CHARMING KITTEN را به انجام حملات نفوذی در شبکههای کامپیوتری به دستور و با همکاری سپاه پاسداران متهم و تحریم کرد.
به همین دلیل لازم میدانیم گوشزد کنیم، کار هک در کنار همه خوبیهایش میتواند عواقب شدیدی را هم در پی داشته باشد و لذا محافظت از هویت خود در فضای مجازی برای هکرهای جوان انقلابی کشورمان امری واجب است که نباید اهمیت آن را دستکم گرفت یا لحظهای از آن غفلت کرد.