گروه هکری «بچهگربه ملوس»، وابسته به سپاه پاسداران، که پیشتر ویدیو عملیات گروهی آنها بهطور تصادفی روی اینترنت بارگذاری شده بود، در عملیات جدید خود توانسته به ایمیل برخی از اهدافش در ایران نفوذ و محتوای ایمیل آنها را سرقت کند.
این گروه هکری، که با نامهای «APT35» و «فسفر» نیز شناخته میشود و شکست و حملات ناموفق زیادی در کارنامه دارد، در آخرین عملیاتش سطح ایمنی سرویس ایمیل شرکت گوگل را به چالش کشیده است. ایپیتی (APT) اصطلاحی است برای اشاره به تهدیدهای مداوم و نظاممند که هکرهای تحت حمایت دولتها پیش میبرند.
بخش تجزیهوتحلیل تهدیدهای گوگل اعلام کرده است که گروه هکری بچهگربه ملوس با استفاده از ابزار «هایپر اسکریپ» موفق شده به ایمیل حدود ۲۰ نفر در ایران نفوذ کند. این ابزار که در دسامبر ۲۰۲۱ شناسایی شده است یک ابزار هک نیست، بلکه به مهاجم کمک میکند تا دادههای ایمیل را بدزدد و پس از ورود به حساب ایمیل قربانی، آنها را در دستگاه خود ذخیره کند.
در سالهای گذشته نیز این گروه با راهاندازی کارزار «فیشینگ هدفمند»، افراد مختلف از جمله مقامهای آمریکایی، افراد فعال در زمینه تحریمهای اقتصادی و نظامی ایران و همچنین روزنامهنگاران را هدف قرار داده بود. این حملات بهمنظور دسترسی به رمز عبور و رمز احراز هویت ورود دو مرحلهای ایمیل افراد انجام شده بود. نشریه دیلیمیل هم در سال ۱۳۹۹ ویدیویی از این گروه هکری منتشر کرد که اعضای قدیمیتر گروه را در حال آموزش دادن نحوه سرقت اطلاعات حساب ایمیل به اعضای جدیدتر نشان میداد.
گروه هکری گربهملوس چگونه به ایمیل اهداف خود نفوذ کرده است؟
ابزار «هایپر اسکریپ» برای شروع به نام کاربری و رمز عبور قربانی نیاز دارد تا با استفاده از یک نشست (session) کاربری معتبر و احراز هویتشده که مهاجم ربوده است، اجرا شود. در این ابزار، یک مرورگر تعبیه شده است و تقلید عامل کاربر (user agent) باعث میشود که رفتار این ابزار شبیه مرورگری قدیمی به نظر برسد و نمای اولیه HTML در جیمیل فعال شود.
Read More
This section contains relevant reference points, placed in (Inner related node field)
این ابزار پس از ورود به سیستم تنظیمات، بهصورت خودکار زبان حساب کاربری را به انگلیسی تغییر میدهد و پیامها را بهصورت جداگانه با نام فایلهای eml بارگیری میکند و بعد از آن پیامهای بازشده را دوباره بهعنوان خواندهنشده علامتگذاری میکند.
پس از اتمام بارگیری صندوق ورودی، زبان را به تنظیمات اصلیاش بازمیگرداند و ایمیلهای هشدار امنیتی گوگل را هم حذف میکند، این اتفاق باعث میشود که قربانیان متوجه نفوذ فرد دیگری به حساب خود نشوند. این ابزار بهجز محتوای ایمیل، وضعیت و اطلاعات سیستم، داده دیگری به سرور ارسال نمیکند.
هایپر اسکریپ هنگام اجرا، با یک سرور فرمان و کنترل (C2) در تماس است که منتظر تایید برای شروع فرایند استخراج داده میماند. اپراتور این امکان را دارد که ابزار را با پارامترهای لازم مدنظر (حالت عملیات، مسیر یک فایل کوکی معتبر، رشته شناسه) با استفاده از آرگومانهای خط فرمان یا از طریق یک رابط کاربری حداقل، پیکربندی کند.
نسخههای قبلی این ابزار امکان دریافت داده از گوگل تیکاوت (Google Takeout) را داشت و مشخص نیست که چرا در نسخههای بعدی حذف شد. گوگل تیکاوت سکویی است که به کاربران امکان میدهد از تمام دادههای خود در سرویسهای مختلف گوگل نسخه پشتیبان دریافت کنند. هنوز عملکرد و نحوه کار این ابزار روی ایمیلهای یاهو و مایکروسافت بهطور کامل مشخص نیست.
گوگل اعلام کرد برای حفظ امنیت مجدد حسابهایی که به آنها حمله شده است، اقدامهایی انجام داده و همچنین با هشدارهای حملهکنندگان تحت حمایت دولت، به قربانیان اطلاعرسانی شده است. گوگل همچنین به کاربران در معرض خطر پیشنهاد میکند که در «برنامه حفاظت پیشرفته» (APP) ثبتنام کنند تا مطمئن شوند که از بالاترین سطح محافظت در برابر تهدیدهای مداوم برخوردارند.
برنامه حفاظت پیشرفته از کاربران در برابر حملات آنلاین هدفمند محافظت میکند. حفاظتهای جدید بهطور خودکار برای دفاع در برابر طیف گستردهای از تهدیدهای کمتر شناخته شده اضافه میشوند.
در حفاظت پیشرفته برای تایید هویت و ورود به حساب گوگل باید از یک کلید امنیتی استفاده کرد و کاربران غیرمجاز نمیتوانند بدون نام کاربری و رمز عبور وارد سیستم شوند. همچنین محافظت پیشرفته قبل از هر بارگیری، بررسیهای دقیقتری انجام میدهد و فایلهایی را که ممکن است مضر باشند، علامتگذاری میکند و در صورت لزوم، آنها را مسدود میکند.
حفاظت پیشرفته گوگل هنگام ثبتنام و استفاده از سرویسهای جدید هم از کاربران محافظت میکند. برخی از سرویسها برای اجرای درخواست به اطلاعات حساب گوگل افراد دسترسی دارند. در این سطح امنیت، حسابهای گوگل دارای محافظهای داخلیاند و بهطور مداوم، نقصها را بررسی میکنند و برنامههای تایید شده تنها با اجازه کاربران میتوانند به دادهها دسترسی داشته باشند.
