آژانس ملی دیجیتال اسرائیل از یک کارزار پیشرفته و بیسابقه جاسوسی سایبری پرده برداشته که میگوید توسط ایران انجام میشده است.
پایگاه واینت اسرائیل به نقل از مقامات این کشور میگوید یک گروه وابسته به سازمان اطلاعات سپاه پاسداران در پشت این کارزار با نام «شبح نقطهزن» قرار داشته است.
این گروه، که با نامهایی مانند «ایپیتی۴۲» و «چارمینگ سایپرس» نیز فعالیت میکند، تاکتیکهای خود را تغییر داده و بهجای حملات گسترده و بیهدف، به جاسوسی بسیار هدفمند مبتنی بر مهندسی اجتماعی پیشرفته روی آورده است.
مقامهای آژانس در جلسهای همراه با پژوهشگر سایبری شیـمی کوهن و نیر بار یوسف، رئیس واحد سایبری این سازمان، اعلام کردند که این کارزار افراد با ارزش اطلاعاتی بالا در بخش دفاعی و دولتی اسرائیل را، همراه با اعضای خانواده آنها، هدف قرار میدهد.
بار یوسف گفت: «این کارزار مرحله جدیدی را نشان میدهد. حملات سایبری شخصیتر و پرهزینهتر شدهاند. موضوع فقط سرقت رمز عبور نیست؛ بلکه دسترسی پایدار و بلندمدت به اهداف خاص است.»
روش کار کارزار شبح نقطهزن
هکرها روزها یا حتی هفتهها وقت صرف میکنند تا رابطههایی «واقعی» و معتبر، چه حرفهای و چه شخصی، با هدف ایجاد کنند. رایجترین ترفندها شامل دعوتنامههای ساختگی برای «کنفرانسهای معتبر» یا هماهنگی برای «جلسات سطحبالا» است.
واتساپ ابزار اصلی آغاز ارتباط است؛ زیرا محیطی آشنا و قابل اعتماد برای قربانی ایجاد میکند.
آقای کوهن در این باره گفت: «کارزار با جمعآوری اطلاعات مقدماتی شروع میشود. سپس مهاجمان در نقش یک فرد معتبر ظاهر شده و معمولا از طریق واتساپ با هدف تماس میگیرند.»
پس از جلب اعتماد، لینکی مخرب ارسال میشود که زنجیرهای پیچیده از حمله را آغاز میکند. برای اهداف کماهمیتتر، صفحات جعلی «جلسه آنلاین» جهت سرقت لحظهای رمز عبور استفاده میشود.
برای افراد مهم، هدف اصلی نصب بدافزار قدرتمندی به نام «تیمکت» (TAMECAT) است؛ در پلتفرم پاورشل (PowerShell) که شناسایی آن را برای ابزارهای امنیتی دشوارتر میکند.
زیرساخت مخفی فرماندهی و کنترل
مهاجمان از قابلیتهای داخلی ویندوز، پروتکل وبدیو و سرویسهای ابری برای پنهانسازی محتوای مخرب استفاده میکنند.
به گفته مقامات، آنها یک شبکه فرماندهی و کنترل چندکاناله راهاندازی کردهاند که از تلگرام و دیسکورد بهعنوان بسترهای مشروع ارتباطی بهره میگیرد. دادههای حساس از طریق همین اپلیکیشنها منتقل میشود تا در میان ترافیک عادی گم شود.
به کانال تلگرام یورونیوز فارسی بپیوندید
آقای کوهن در این باره میگوید: «نوآوری اصلی در اینجاست که جریان دادهها در پوشش استفاده عادی از سرویسهای معتبر پنهان میشود. استفاده از تلگرام و دیسکورد بهجای سرورهای مخرب معمول، تشخیص خروج دادهها را برای سیستمهای امنیتی بسیار سخت میکند.»
بار یوسف نیز میافزاید: «در این فضای تهدید، قانون اول برای مقابله این است: چک کن، دوباره چک کن، و باز هم چک کن.»