قدرت هکرهای ایرانی
AI Squared شرکت ماموریت محور کوچکی است که در گوشهای از کمپانی Vermont فعالیتهای خود را انجام میدهد. این شرکت نرمافزارهای تولیدشده توسط وبسایتها را برای افرادی که اختلال بینایی دارند تغییر میدهد و هیچگاه فکر نمیکرد روزی توسط هکرهای ایرانی هک شود!
اما شرکت AI Squared مدرک زندهای است برای اثبات اینکه هر شرکت آمریکایی، چه به بزرگی مایکروسافت باشد چه کوچک، میتواند یکی از قربانیان احتمالی حمله هکرها باشد. در حقیقت، AI Squared تنها شرکت خصوصی آمریکایی است که تا به امروز حمله به آن توسط گروهی از جوانان ایرانی با نام OilRig کشف شده است. OilRig که کار خود را در اواخر 2015 آغاز کرد، حالا یکی از فعالترین گروههای هکری است.
وبسایت FORBES تعدادی از هدفهای این گروه را برای اولین بار در روز چهارشنبه معرفی کرده است که نفوذ سریع این گروه در سراسر جهان در کمتر از یک سال را نشان میدهد.Collin Anderson محقق فعال در ایالت واشنگتن که در حال جمعآوری گزارشی کامل و جامع از قدرت سایبری ایران است، در این باره میگوید: «نکته جالب درباره OilRig تمرکز و تمایل بالای این گروه روی بخشهای خصوصی خارجی است. به گزارش دنیای اقتصاد، هنوز از نوع اطلاعات به سرقت رفته از سازمانهای آمریکایی توسط گروه OilRig خبری به دست نیامده است. معروفترین حمله مخرب انتساب داده شده به هکرهای ایرانی به سال 2014 و نفوذ به سیستم کازینو Sand در لاسوگاس برمیگردد.
حمله چگونه صورت گرفت؟
مشکلات AI Squared از هفته دوم ژانویه و زمانی که از شرکت امنیتی Symantec اخطاریه دریافت کردند، آغاز شد. در اخطاریه آمده بود، مدارکی که صحت و اعتبار تکنولوژی شرکت را تایید میکنند، مورد سرقت قرار گرفتهاند. آنچه که Symantec به آن اشاره نکرد بود و حالا AI Squared در حال تحقیق درباره آن است، ارتباط و دخالت OilRig در این سرقت اینترنتی است.به گفته Forbes این گروه با سرقت مدارک AI Square قصد رد پوشانی بدافزار خودشان را داشتهاند. در گزارش منتشر شده در اوایل ژانویه توسط شرکت امنیتی ClearSky آمده که هدف از حملات این گروه ایرانی، قانونی جلوه دادن ابزارهای نظارتی روی اهداف مورد نظرشان در خاورمیانه، اروپا و ایالات متحده بوده است. ClearSky میگوید گروه
OilRig ابزارهای سرقت اطلاعات خود را به شکل 2صفحه اینترنتی با ظاهر مشابه صفحات دانشگاه آکسفورد منتشر کرده که یکی از صفحات استخدام در موسسه آکسفورد و دیگری صفحه ثبتنام در یک کنفرانس بوده است. هر دو صفحه بازدیدکنندگان را تشویق به دانلود اسناد برای تکمیل ثبت نام در کنفرانس و دریافت فرم رزومه برای استخدام در موسسه آکسفورد میکرده است. با کلیک روی گزینه دانلود، بدافزاری با نام Helminth اجرا میشد که اعضای گروه OilRig با کنترل کامپیوتر قربانی، اطلاعات او را به سرقت میبردند.در سالهای گذشته خیلی از سازمانها قربانی حملات تیم OilRig شدهاند. سازمانهای امنیتی معتقدند OilRig کنترل ایمیلهای بسیاری از صنایع عمومی و خصوصی را در اختیار گرفتهاند و با دسترسی به این ایمیلها موفق به گسترش فعالیتهایشان در ایالات متحده، عربستان سعودی، ترکیه و دیگر کشورها شدهاند.
یکی از ایمیلهای فریبنده این گروه که از سوی Forbes.com در جولای 2016 منتشر شد، به آدرس ایمیل سه نفر از مقامات وزارت خارجه ترکیه فرستاده شده بود. این افراد شامل مشاور نماینده ترکیه در سازمان ملل، یکی از کارمندان سفارت ترکیه در لتونی و یکی دیگر از مقامات ترکیهای میشد. ایمیلها ظاهرا از طرف یک شرکت هواپیمایی رسمی در ترکیه ارسال شده بودند و این یعنی این گروه موفق به سرقت اطلاعات این شرکت هواپیمایی و ساختن اکانتهای جعلی با نام آنها شدهاند. پیام داخل ایمیل دریافتکننده را تشویق به وارد کردن اطلاعات ورود به اکانت از طریق باز کردن یک فایل اکسل میکرد. پس از کلیک روی فایل اکسل، بدافزار Helminth شروع به کار میکرد.البته مشاور نماینده ترکیه در سازمان ملل گفته که هیچوقت این ایمیل را ندیده و روی آن کلیک نکرده است. دیگر افراد مورد هدف قرار گرفته نیز هیچ گونه اظهار نظری در این رابطه نکردهاند. شرکت هواپیمایی ترکیه نیز هیچ نظری در اینباره اعلام نکرد. بهرغم اینکه ایمیل منتشرشده از طرف OilRig، افراد مورد هدف را نشان میدهد، اما هنوز از موفقیتآمیز بودن سرقت اسناد هیچ اطلاعاتی به دست نیامده است.
حمله به صنایع خاص
OilRig به کمپانیهای خصوصی هم حملاتی داشته است. ایمیل جدید کشفشده در ماه می2016 نشان میدهد که این هکرها از سرورهای شرکت Al-Elm تامینکننده امنیت آیتی دولت عربستان، برای ارسال ایمیلها استفاده کردهاند. ایمیلهای منتشر شده از سوی محققان امنیتی ثابت میکند که این گروه به شرکت Al-Elm نیز نفوذ داشتهاند.این پیام در میان ایمیلهای در حال رد و بدل بین شرکت Al-Elm و موسسه مالی Samba یکی از بزرگترین وامدهندگان در عربستان، جاسازی شده بود. این پیام حاوی کیت نظارتی بدافزار Helminth بود و به محض اینکه دریافتکننده فایل پیوست را باز میکرد، اجرا میشد. فایل اکسل اجرایی در این ایمیل «Notes.xls» نام داشت. تا بهحال هیچکدام از شرکتهای Al-Elm و Samba در اینباره اظهار نظر نکردهاند.طبق گزارش منتشر شده از شرکت امنیت سایبری SecureWorks، گروه OilRig در ژانویه امسال ایمیلهای حاوی بدافزار را از طریق سرورهای قانونی یکی از بزرگترین تامینکنندگان امنیت آیتی عربستانی و یک شرکت ارائهدهنده خدمات آیتی مصری با نام ITWorkx ارسال کرده است. مشخص است که با استفاده از این اکانتهای ایمیل، شرکتی نامعلوم در خاورمیانه مورد هدف قرار گرفته است. متن ایمیلهای ارسالی نیز درباره لینکهای پیشنهاد کار و استخدام بودهاند. فایل پیوستی نیز PupyRAT نام داشته که نوعی ویروس تروجان با قابلیت کنترل از راه دور از طریق پلتفرمهای اندرویدی، لینوکسی و ویندوزی است.