جاسوسی هکرهای سپاه از کارکنان صنایع دفاعی آمریکا؛ به اسم کارمندان، سازمان‌های مردم‌نهاد، پزشکان و روزنامه‌نگاران فایل‌های آلوده ارسال می‌کردند

پایگاه خبری / تحلیلی نگامهکرهای وابسته به سپاه پاسداران انقلاب اسلامی در یک کارزار مجازی که از سال ۲۰۱۹ تا کنون ادامه داشته است، اقدام به هک و جاسوسی از امریکایی‌هایی کرده‌اند که به صورت پیمان‌کار در صنایع دفاعی و هوا و فضا ایالات متحده مشغول به کار هستند.

احمد باطبی در ایران وایر می‌نویسد که شرکت امنیت سایبری «پروف‌پوینت» (Proofpoint) در گزارشی به تحلیل فنی این حمله‌ها پرداخته و گفته است گروه هکری «ترتس‌شل» (Tortoiseshell) پشت پرده این حمله‌ها است؛ گروهی که از سپاه پاسداران دستور می‌گیرد و محققان شرکت پروف‌پوینت آن را عضوی از مجموعه گروه‌های موسوم به «تهدید پیشرفته مدام ۵۶» (APT56) دسته‌بندی کرده‌اند.

«تهدید پیشرفته مدام» عبارتی است در صنعت امنیت سایبری برای اشاره به تهدیدهای مستمر و هدفمند سایبری که از سوی دولت‌ها پشتیبانی می‌شود. هدفش هم جاسوسی و یا اخلال در روند عادی فعالیت دولت‌های دشمن، رقیب، مخالفان حکومت، سازمان‌ها و نهاد‌های تاثیرگذار، شرکت‌های تجاری و مراکز علمی است.

این گروه‌ها معمولا با سه حرف (APT) خطاب می‌شوند و وابستگی آن‌ها به دولت‌ها نیز با اعداد افزوده شده به این سه حرف مشخص می‌شود.

گروه هکری ترتس‌شل در سال ۲۰۱۸ و در پی حمله به اهدافی در خاورمیانه شناسایی شد. یکی از صفحات جعلی این گروه در شبکه اجتماعی فیس‌بوک، از سال ۲۰۱۹ تلاش کرده است تا با مهندسی اجتماعی، افراد شاغل در صنایع دفاعی و هوا و فضای ایالات متحده را فریب دهد و به کامپیوترهای آن‌ها نفوذ کند. این صفحه با عکس‌های زنی زیبا و جذاب به نام «مارسلا فلورس» ایجاد شده بود که وانمود می‌کرد یک مربی ایروبیک از شهر لیورپول بریتانیا است و تمایل دارد با افراد شاغل در صنایع گفته شده ارتباط داشته باشد.

هکرهای ترتس‌شل از اوایل ماه جون ۲۰۲۱ با استفاده از همین صفحه جعلی، بدافزاری به افراد فریب ‌خورده فرستاده که محققان پروف‌پیونت نام «لمپو» (LEMPO) را برای آن انتخاب کرده‌اند.

به گفته این محققان، بدافزار لمپو نسخه‌ای است از بدافزار دیگری به نام «لیدرک» (Liderc) که در سال ۲۰۱۹ کشف و به فهرست بدافزارهای مورد استفاده هکرهای وابسته به جمهوری اسلامی افزوده شده است.

از۳۰ ماه می ۲۰۱۸ که اولین عکس مارسلا فلورس در این صفحه جعلی بارگذاری شد تا ۱۵ جون ۲۰۲۱ که فیس‌بوک آن را شناسایی و مسدود کرد، هکرها با استفاده از همین هویت، به مهندسی اجتماعی و فریب اهداف خود مشغول بودند.

پروف‌پوینت در گزارش خود گفته است هکرهای ای‌پی‌تی۵۶ (APT56) معمولا بعد از لو رفتن این قبیل صفحه‌های جعلی، با یک تغییر کاربری، آن‌ها را به یک خبری تبدیل و به ‌این ترتیب، هویت لو رفته را از دید‌ها پنهان می‌کنند.

سوابق به جا مانده نشان می‌دهند که هکرها تنها در صفحه جعلی مارسلا فلورس، دست‌کم هشت ماه تلاش کرده‌اند با تولید محتوا، ارسال ایمیل، ویدیو و فایل‌های مختلف، اعتماد قربانیان را جلب و به کامپیوترهای آن‌ها نفوذ کنند.

یکی از فایل‌هایی که هکرها به نام مارسلا فلورس ارسال کرده بودند، یک فایل آلوده با فرمت «اکسل» بود که تحت عنوان نظرسنجی در خصوص رژیم غذایی برای قربانیان ارسال شده بود. در این فایل، پیرو گفت‌وگو‌های پیشین هکرها با قربانی، سوالاتی پرسیده شده بود که باید به آن‌ها پاسخ داده می‌شد. اما پیش از پاسخ‌گویی، کدهای مخرب «ماکرو» (Macro) که در داخل این فایل جاسازی و فعال شده بودند، از قربانی تقاضا می‌کردند مجوز ایجاد برخی تغییرات در تنظیمات مربوط به حریم خصوصی کامپیوتر را صادر کند. در صورت موافقت قربانی با ایجاد این تغییرات، کدهای «ماکرو اسکریپت ویژوال بیسیک» (VBS) دیگری به اجرا در می‌آمدند که وظیفه آن‌ها، بارگیری پنهانی بدافزار لمپو از حساب جی‌میل هکرها و نصب آن روی کامپیوتر قربانی و اتصال قربانی به وب‌سایت «showip.net» با استفاده از «HTTP POST» برای شناسایی «آی‌پی» کامپیوتر بود.

بدافزار لمپو در واقع خود یک اسکریپت ویژوال بیسیک است که می‌تواند با استفاده از دستورات داخلی «ویندوز»، اطلاعاتی نظیر تاریخ و زمان رایانه، نام کاربری، اطلاعات سیستم، مشخصات محصولات مرتبط با آنتی ویروس، لیست نرم‌افزارهای نصب شده، قوانین فایروال، لیست فرآیندهای در حال اجرا، پیکربندی مربوط به آی‌پی، دامنه، گروه‌ها، موارد اشتراک در شبکه، حافظه پنهان و بسیاری از اطلاعات دیگر را گردآوری کند.

این بدافزار هم‌چنین قادر است از طریق «Ping» و یا «curl»، اتصال کامپیوتر قربانی را به «یاندکس» (Yandex)، «گوگل» (Google)، «آرکسیو» (Arxiv)، «مگا» (Mega)، «میل چیمپ» (Mailchimp)، «گیت‌هاب» (Github) و «یاهو» (Yahoo) مورد بررسی قرار دهد و با دستور «findstr» نیز اطلاعات مربوط به نام کاربری، رمز عبور و «وی‌پی‌ان را از رجیستری ویندوز استخراج کند.

بدافزار لمپو همه این اطلاعات را در فایلی به نام «Logs.txt» ذخیره و با فرمت «ZIP» فشرده می‌کند و در نهایت، آن را با استفاده از «Microsoft’s Collaboration Data Objects» (CDO)، «SMTPS» و «پورت ۴۶۵» به ایمیل هکرها می فرستد.

تمرکز ترتس‌شل در این حمله‌ها بیشتر بر پیمان‌کارانی بود که در حوزه صنایع دفاعی و هوا و فضا با کشور‌های خاورمیانه‌ای در ارتباط بودند.

بررسی سابقه حمله‌ها نشان می‌دهد که علاوه بر گروه ترتس‌شل، گروه «ایمپریال کیت» (Imperial Kitt)، دیگر گروه هکری وابسته به جمهوری اسلامی نیز علاقه ویژه‌ای به این قبیل اهداف دارد.

ماه جولای ۲۰۲۱، شرکت فیس‌بوک طی مقاله‌ای از مسدود شدن بیش از ۲۰۰ حساب جعلی ساخته شده توسط هکرهای وابسته به جمهوری اسلامی خبرداد.

فیس‌بوک ضمن نام بردن از گروه ترتس‌شل گفته بود صفحات مسدود شده، یکی از امکانات آن‌لاینی بود که این گروه از آن برای مهندسی اجتماعی استفاده و به اسم کارمندان شرکت‌های دفاعی، هوا و فضا، سازمان‌های مردم‌نهاد، پزشکان، روزنامه‌نگاران و غیره، اقدام به ارسال فایل‌های آلوده به قربانیان و یا آن‌ها را به بیرون از شبکه‌ اجتماعی هدایت می‌کردند تا به دور از نظارت فنی فیس‌بوک، تکنیک‌های هکری خود را به اجرا در بیاورند.

فیس‌بوک هم‌چنین به «سرقت اعتبار‌نامه» (credential theft) توسط گروه ترتس‌شل اشاره کرده و گفته بود که هکرها با راه‌اندازی وب‌سایت‌های جعلی، تلاش کرده‌اند شهروندان را فریب دهند و اطلاعات آن‌ها را به سرقت ببرند.

در یک مورد، هکرها یک وب‌سایت جعلی جست‌وجوی کار، مشابه وب‌سایت جست‌جوی کار متعلق به وزارت کار ایالات متحده راه‌اندازی کرده بودند که قربانیان خود را به سمت آن هدایت می‌کردند. هکرها آدرس این وب‌سایت جعلی را توسط سرویس‌های کوتاه کننده لینک مخفی می‌کردند تا در فرایند انتقال قربانی به این وب‌سایت، تشخیص مبدا و مقصد، سخت و یا غیرممکن شود.

تحقیقات فیس‌بوک نشان داده‌اند که هکرها علاوه بر استفاده گسترده از محصولات «مایکروسافت» و کد‌های مخرب مربوط به آن، با مهارت ویژه‌ای بدافزارهای جاسوسی خود را مطابق نیاز خود شخصی سازی کرده‌ و یا آن‌ها را به شکلی توسعه داده‌اند که تمامی امکانات لازم برای یک عملیات هک و نفوذ، مانند شناسایی هدف، گردآوری اطلاعات، نفوذ، پیکربندی، ارتباط فرمان و کنترل، ثبت و دیگر ویژگی‌ها به آن افزوده شده است. ازجمله این بدافزارهای توسعه یافته، ابزار «سیسکیت» (Syskit) است که گروه ترتس‌شل پیش از این هم از آن برای هک سیستم عامل ویندوز بهره می‌برد.

از نکات جالب توجه در مقاله فیس‌بوک، نام بردن از شرکت «محک رایان افراز» (MRA) در تهران و ارتباط گروه هکری ترتس‌شل با این شرکت است. فیس‌بوک گفته محک رایان افراز از جمله شرکت‌های مرتبط با سپاه پاسداران انقلاب اسلامی است که معمولا پروژه‌های «برون‌سپاری توسعه بدافزار» به آن سپرده می‌شود.

برخی از اعضا و گردانندگان محک رایان افراز به دلیل فعالیت‌های مخرب سایبری، پیش‌تر در لیست تحریم‌های ایالات متحده قرار گرفته‌اند.