احمد باطبی
هکرهای وابسته به جمهوری اسلامی که ماههاست سازمانها و شرکتهای تجاری را در سراسر جهان، از طریق بهرهبرداری از آسیبپذیریهای موجود در «شبکههای مجازی خصوصی» یا VPN، مورد حمله قرار دادهاند، به تازگی اطلاعات مربوط به آسیبپذیریها و راههای نفوذ به شرکتهای قربانیشده را در فرومهای زیرزمینی در معرض فروش گذاشتهاند تا از این طریق کسب درآمد کنند.
شرکت crowdstrike که در حوزه امنیت سایبری فعال است، روز دوشنبه دهم شهریور ماه گزارشی منتشر کرده است که ابعاد این اقدام هکرهای وابسته به حکومت ایران را تشریح میکند. در این گزارش، هکرهای حکومتی با عنوان Pioneer Kitten یا «بچهگربههای پیشتاز» معرفی شدهاند که نام جایگزینی است برای نامهای Fox Kitten و یا Parisite که قبلا با آن شناخته میشدند.
به اعتقاد شرکت crowdstrike، گروه هکری بچهگربههای پیشتاز به صورت پیمانکاری در خدمت جمهوری اسلامی ایران و مجری پروژههای هک، نفوذ و گردآوری اطلاعات به منظور جاسوسی و یا خرابکاری است. این گروه به طور مشخص از سال گذشته میلادی تا به امروز، تمرکز ویژهای بر آسیبپذیریهای موجود در ویپیانها داشته و از این طریق، دهها شرکت و سازمان دولتی را مورد حمله قرار داده است که بسیاری از این حملات موفقیتآمیز بوده است.
Virtual Private Network یا شبکههای مجازی خصوصی در حقیقت، با رمزنگاری اطلاعات ارسال و دریافتشده بین کاربر و مقصد، شبکهای خصوصی ایجاد میکند که رصد و یا شکستن رمزهای آن از بیرون از این شبکه تقریبا غیر ممکن است و گویی کاربر و مقصد از طریق یک تونل امن، به یکدیگر متصل شدهاند. از این رو، ویپیانها یکی از مهمترین امکانات فضای مجازی است که امروزه دولتها، شرکتها و کاربران معمولی از آن برای حفظ حریم خصوصی و گاه نیز عبور از فیلترینگ استفاده میکنند. اما نرمافزارهای راهاندازی شبکههای مجازی خصوصی و یا گاهی پیکربندی سرورهای میزبان این نرمافزارها دارای خطاهای برنامهنویسی و یا ضعفهای طراحی هستند که به مهاجمان و مجرمان سایبری اجازه میدهند با بهرهبرداری از این خطاها، به سروری که ویپیان روی آن فعال شده است نفوذ کنند و یا به ملزومات احراز هویت بین کاربر و سرور میزبان دسترسی پیدا کنند. بهرهبرداری موفق از چنین نقاط ضعفی، عملا مهاجم را به مرحلهای قبل از فرایند رمزنگاری میبرد و به او امکان میدهد که تمامی اطلاعات دریافتی و ارسالی را مشاهده و یا از آن نسخهبرداری کند. تصویر زیر نحوه عملکرد ویپیانها را در یک مدل فرضی، بینکاری که وبسایت «ایرانوایر» را مطالعه میکند، نشان میدهد.
لیست زیر برخی از آسیبپذیریهای شناختهشده مربوط به انواع ویپیانها و سختافزارهای پشتیبانیکننده این تکنولوژی است که هکرهای وابسته به جمهوری اسلامی در ایران، در حملات اخیر خود به شرکتها، از آن بهره بردهاند.
آسیبپذیری CVE-2019-11510 موسوم به ضربان امنیتی ارتباطات ویپیان در شرکتها است که برای مهاجمان امکان ارسال لینک دستکاریشده از راه دور جهت بهرهبرداری از ضعف امنیتی موجود را فراهم میکند.
آسیبپذیری CVE-2018-13379 مربوط به ویپیانهای Fortinet است که امکان بهرهبرداری از FortiOS را فراهم میکند. در این نوع آسیبپذیری، مهاجم میتواند از طریق درخواستهای دستکاریشده پروتکل HTTP، از SSL مجوزهای غیرمجاز دریافت کند.
آسیبپذیری CVE-2019-1579 مربوط به شبکههای Palo Alto و ویپیانهای Global Protect است که امکان اجرای کدهای مخرب از راه دور را برای مهاجمان فراهم میکند.
آسیبپذیری CVE-2019-19781 مربوط به سرورهای “ADC” Citrix و کنترل و تحویل دروازههای Citrix Gateway و Citrix SD-WAN WANOP است که پیش از این تحت عنوان NetScaler Gateway شناخته میشد و به مهاجمان امکان میدهد که از راه دور کدهای مخرب خود را اجرا کنند.
آسیبپذیری CVE-2020-5902 مربوط به دستگاههای F5 BIG-IP است که امکان اجرای کدهای RCE را از طریق رابط TMUI فراهم میکند و پیشتر نیز در مقاله « هشدار افبیآی درباره حمله هکرهای ایرانی» به آن پرداخته شد.
بنا بر این گزارش، گروه هکری بچهگربههای پیشتاز به شکل معمول از طریق ایجاد تونلهای SSH و استفاده از نرمافزارهای متنباز و یا تجاری، مانند Ngrok و SSHMinio، و همچنین بهرهبرداری از پروتکل کنترل دسکتاپ از راه دور RDP به شبکه قربانیان خود نفوذ میکردند.
کمتر از دو ماه پیش، «پلیس فدرال آمریکا» نیز در هشداری رسمی، خطاب به کسبوکارهای کوچک و بزرگ، در خصوص بهرهبرداری هکرهای وابسته به حکومت ایران از ضعفهای امنیتی موجود در ویپیانها هشدار داده بود.
بهمن ماه سال ۱۳۹۸ ClearSky و Dragos، دو شرکت فعال در حوزه امنیت سایبری، گزارش ویژهای را درباره فعالیتهای کمپین Fox Kitten منتشر کردند که به دامنه آن در تابستان سال ۲۰۱۹ میلادی پرداخته بود. در این گزارش آمده بود که Fox Kitten حاصل همکاری چند گروه هکری وابسته به جمهوری اسلامی در ایران است که به نامهای APT34-OilRig ، APT33-Elfin و APT39-Chafer شناخته میشود. این گروههای هکری بههمپیوسته، از سال ۲۰۱۷ به این سو حملات تهاجمی مختلفی را با استفاده از آسیبپذیریهای گوناگون، علیه شرکتهای مختلفی در جهان، مخصوصا شرکتهای اسرائیلی ترتیب دادهاند. آنها ابتدا مسیرهای نفوذ را کشف و بعد از نفوذ و سرقت اطلاعات، تلاش میکردند که به شیوههای مختلف از جمله باز کردن لینکهای RDP از طریق SSH و تونل زدن، دسترسی خود را به منابع هکشده تثبیت کنند. آنها برای پنهان ماندن از رمزنگاری بهره میبردند و علاوه بر ادامه سرقت اطلاعات، تلاش میکردند تا دیگر شرکتهای مرتبط با قربانیان را نیز به صورت زنجیرهای هک کنند.
اگر چه گزارش ClearSky و Dragos بر این نکته تاکید داشت که این نفوذهای صورتگرفته به نوعی هموار کردن راه برای مرحله بعدی، یعنی حضور گروههای دیگر همکار مهاجمان به منظور بهرهبرداریهای مد نظر جمهوری اسلامی در ایران است، اما گزارش تازه شرکت crowdstrike نشان میدهد که دستکم از مرداد ماه امسال، کار فروش اطلاعات ضعفهای امنیتی و راههای نفوذ به شرکتها توسط هکرهای ایرانی آغاز شده است. به اعتقاد نویسندگان این گزارش، هکرها علاوه بر انجام سفارشهای دادهشده توسط جمهوری اسلامی، تصمیم گرفتهاند تا با فروش اطلاعاتی که حکومت ایران میلی به آن ندارد، برای خود کسب درآمد کنند.
اهداف هکرهای حکومتی در ایران به شکل سنتی زیرساختهای مدیریتی، اداری و تحقیقاتی صنایع دفاعی، بهداشت و فناوری، هواپیمایی، دانشگاهها، رسانهها، زیرساختهای خدماتی در کشورهایی مانند آمریکا، اسرائیل و کشورهای حاشیه خلیج فارس هستند. اما در گزارش فوق گفته شده است که هکرهای گروه بچهگربههای پیشتاز، علاوه بر این اهداف، کشورهایی را در آفریقا و آمریکای شمالی نیز هدف قرار دادهاند.
اطلاعاتی که توسط هکرهای حکومتی به فروش میرسد، ممکن است مشتریهای گوناگونی، از جمله دولتها، سرویسهای اطلاعاتی و رقیبان تجاری داشته باشد. اما اصلیترین متقاضی اطلاعات نفوذ به شرکتها و سازمانهای تجاری، گردانندگان باجافزارهای اینترنتی هستند که با پرداخت هزینه اندکی قادر خواهند بود، بدون درد سر، باجافزارهای خود را در زیرساختهای شبکه قربانیان پیادهسازی کنند و به اخاذی از آنها بپردازند.
مطالب مرتبط:
جعل هویت روزنامهنگاران رسانههای مطرح از سوی هکرهای وابسته به جمهوری اسلامی
کشف ردپای هکرهای تازهکار ایرانی پشت حملات یک باجافزار معروف
هشدار افبیآی درباره حمله هکرهای ایرانی
درباره هکرهای مظنون به حمله سایبری حساب کاربران سرشناس توییتر چه میدانیم؟
رژه سپاه سایبری ادامه دارد؛ کاویان میلانی، سوژه جدید هکرهای حکومتی
کارکنان دولت آمریکا، اهداف حملات فیشینگ هکرهای وابسته به حکومت ایران
هکر به جای سرباز؛ بدافزارها جانشین موشک و گلولههای جنگی
توجه! هکرهای حکومتی ایران مشغول کارند
ایران وایر :