حکومت ایران مشغول انجام عملیات جاسوسی سایبری از شرکتهای جهانی عرصه هوا و فضا و ارتباطات از راه دور است و اطلاعات حساس را از اهداف خود در اسرائیل و سایر کشورهای خاورمیانه و همچنین آمریکا، روسیه و اروپا به سرقت میبرد. این مهمترین یافته گزارشی است که شرکت امنیت سایبری «سایبریزنِ» اسرائيل روز چهارشنبه منتشر کرد.
آصف داهان، رئیس گروه پژوهش خطرهای سایبری در «سایبریزن» گفت: «این شرکت هنگام رسیدگی به خواست یکی از مشتریهای خود بود که به عامل دولتی جدیدی به نام «مالکامک» رسید که از نوع جدید و پیشرفتهای از بدافزار استفاده میکند که پیش از این شناخته نشده بود.»
داهان گفت این عملیات حداقل از سال ۲۰۱۸ در جریان است و احتمالا موفق شده مقادیر عظیمی از داده را از اهدافی که به دقت انتخاب شدهاند جمعآوری کند.
سایبریزن مشغول رسیدگی به حمله به یکی از مشتریهایش بود که متوجه پیشرفته و نامعمول بودن این حمله شد. داهان گفت: «تحقیقات عمیق ما نشان داد که این تنها یک بخش از یک کارزار اطلاعاتی وسیع از سوی ایران است که سه سال است به طور مخفی در جریان است.»
داهان افزود: «از چند رد پای اندکی که مهاجمین جای گذاشتهاند معلوم است که به دقت عمل کردند و قربانیانشان را با وسواس انتخاب کردهاند. این یک مهاجم ایرانی پیشرفته است که برخوردی حرفهای و بر اساس راهبردی فکرشده و حسابشده دارد. مخاطره بالقوه چنین کارزاری برای دولت اسرائیل وسیع و چشمگیر است و میتواند خطری واقعی محسوب شود.»
Read More
This section contains relevant reference points, placed in (Inner related node field)
این چهره امنیتی تاکید کرد که «تمام ویژگیهای این حمله نشان میدهد که از حمایت حکومت ایران برخوردار بوده است.» او افزود: «سایر گروههای ایرانی حملاتی مخربتر هم انجام میدهند اما این یکی متمرکز بر جمعآوری اطلاعات است. همین که توانستند سه سال لو نروند نشان از سطح پیشرفتگیشان میدهد. ارزیابی ما این است که مقادیر عظیمی اطلاعات در طول سالها جمع کردهاند- چندین گیگابایت یا حتی ترابایت. ما نمیدانیم قبل از سال ۲۰۱۸ چند قربانی در کار بودند.»
سایبریزن گفت به مقامات امنیتی مربوطه و سازمانهای تحت حمله اطلاع داده شده است اما میزان خرابی به بار آمده هنوز مشخص نشده است.
طبق گزارش این شرکت، در این حمله از نوع بسیار پیشرفتهای از «تروجان راه دور» به نام «شلکلاینت» استفاده میشود که پیش از این کشف نشده بود. این بدافزار موفق شده از ابزارهای امنیتی و ضدویروس فرار کند و معلوم است سازندگانش خیلی برای رسیدن به این موفقیت برنامهریزی کردهاند.
داهان گفت این بدافزار در طول سالها بسیار رشد کرده است. او افزود: «در سال ۲۰۱۸ کد خیلی سادهای در کار بود اما حالا خیلی پیشرفته شده. در سال جاری بود که زیرساختهای قدیمی سرور خود را کنار گذاشتند و به جای آن از خدماتِ میزبانی فایلِ دراپباکس استفاده کردند که شیوهای ساده برای پنهان شدن در ملا عام است.»
هکرها در سالهای گذشته از سرویسهایی همچون گوگل درایو، دراپباکس و گیتهاب برای مخفی شدن خود استفاده میکنند.
این کارزار حمله بیشتر در منطقه خاورمیانه بوده است اما سازمانهایی در روسیه، اروپا و آمریکا را هم هدف گرفته است. هدف اصلی آن شرکتهای مخابرات راه دور و هوافضا بودهاند.
نتایج این تحقیق نشان میدهد که این کارزار احتمالا مرتبط با سایر عوامل شناختهشده مورد حمایت حکومت ایران همچون «شیفر ایپیتی» (ای پی تی ۳۹) و «آگریوس ایپیتی» است.
سایبریزن حدود دو ماه پیش نیز گزارشی منتشر کرده بود که نشان میداد هکرهای چینی به طور نظاممند ارائهدهندگان مخابرات از راه دور را هدف گرفتهاند.
شرکت خدمات تلفنی اسرائیلی «وویسنتر» حدود دو هفته پیش مورد حمله سایبری قرار گرفت و کارشناسان میگفتند این حمله احتمالا کار حکومت ایران بوده است. هکرهایی که کار دزدی دادههای «وویستر» را انجام داده بودند در اینترنت گفتند میخواهد ۱۵ ترابایت اطلاعاتی را که دزدیدهاند بفروشند. این حمله به قدری وسیع بود که این شرکت مهم اسرائیلی عملیاتش را مدتی به کلی قطع کرد. هکرها حتی اسکرینشاتهایی از مکالمات کارمندان «وویستر» در واتساپ و تصاویری از وبکم کارمند یکی از کارمندان را هم منتشر کردند.
