فروش اطلاعات توسط هکرهای وابسته به جمهوری اسلامی

احمد باطبی

هکرهای وابسته به جمهوری اسلامی که ماه‌​هاست سازمان‌​ها و شرکت‌​های تجاری را در سراسر جهان، از طریق بهره​‌برداری از آسیب‌پذیری‌​های موجود در «شبکه‌​های مجازی خصوصی» یا VPN، مورد حمله قرار داده‌​اند، به تازگی اطلاعات مربوط به آسیب​‌پذیری​‌ها و راه‌​های نفوذ به شرکت‌​های قربانی‌شده را در فروم​‌های زیرزمینی در معرض فروش گذاشته‌​اند تا از این طریق کسب درآمد کنند.

شرکت crowdstrike که در حوزه امنیت سایبری فعال است، روز دوشنبه دهم شهریور ماه گزارشی منتشر کرده است که ابعاد این اقدام هکرهای وابسته به حکومت ایران را تشریح می‌​کند. در این گزارش، هکرهای حکومتی با عنوان Pioneer Kitten یا «بچه​‌گربه‌های پیشتاز» معرفی شده‌اند که نام جایگزینی است برای نام‌​های Fox Kitten و یا Parisite که قبلا با آن شناخته می‌​شدند.

به ​اعتقاد شرکت crowdstrike، گروه هکری بچه​‌گربه‌های پیشتاز به صورت پیمانکاری در خدمت جمهوری اسلامی ایران و مجری پروژه​‌های هک، نفوذ و گردآوری اطلاعات به منظور جاسوسی و یا خرابکاری است. این گروه به طور مشخص از سال گذشته میلادی تا به امروز، تمرکز ویژه‌​ای بر آسیب‌​پذیری​‌های موجود در وی‌پی‌ان‌​ها داشته و از این طریق، ده​‌ها شرکت و سازمان دولتی را مورد حمله قرار داده‌ است که بسیاری از این حملات موفقیت‌آمیز بوده است.

Virtual Private Network یا شبکه​‌های مجازی خصوصی در حقیقت، با رمزنگاری اطلاعات ارسال و دریافت‌شده بین کاربر و مقصد، شبکه‌​ای خصوصی ایجاد می‌​کند که رصد و یا شکستن رمزهای آن از بیرون از این شبکه تقریبا غیر ممکن است و گویی کاربر و مقصد از طریق یک تونل امن، به یکدیگر متصل شده‌اند. از این رو، وی‌پی‌ان​‌ها یکی از مهم​‌ترین امکانات فضای مجازی است که امروزه دولت‌​ها، شرکت‌​ها و کاربران معمولی از آن برای حفظ حریم خصوصی و گاه نیز عبور از فیلترینگ استفاده می​‌کنند. اما نرم​‌افزار​های راه‌​اندازی شبکه‌​های مجازی خصوصی و یا گاهی پیکربندی سرورهای میزبان این نرم‌​افزارها دارای خطاهای برنامه‌​نویسی و یا ضعف​‌های طراحی هستند که به مهاجمان و مجرمان سایبری اجازه می‌​دهند با بهره‌​برداری از این خطاها، به سروری که وی​‌پی‌ان روی آن فعال شده است نفوذ کنند و یا به ملزومات احراز هویت بین کاربر و سرور میزبان دسترسی پیدا کنند. بهره‌​برداری موفق از چنین نقاط ضعفی، عملا مهاجم را به مرحله‌​ای قبل از فرایند رمزنگاری می‌برد و به او امکان می‌​دهد که تمامی اطلاعات دریافتی و ارسالی را مشاهده و یا از آن نسخه‌برداری کند. تصویر زیر نحوه عملکرد وی‌پی‌ان‌​ها را در یک مدل فرضی، بین‌کاری که وب‌سایت «ایران‌وایر» را مطالعه می​‌کند، نشان می‌​دهد.

 لیست زیر برخی از آسیب‌پذیری‌​های شناخته‌شده مربوط به انواع وی‌پی‌ان‌​ها و سخت‌​افزارهای پشتیبانی‌کننده این تکنولوژی است که هکرهای وابسته به جمهوری اسلامی در ایران، در حملات اخیر خود به شرکت‌​ها، از آن بهره برده‌اند.

آسیب‌​پذیری CVE-2019-11510 موسوم به ضربان امنیتی ارتباطات وی‌پی‌ان در شرکت‌​ها است که برای مهاجمان امکان ارسال لینک دست​‌کاری‌شده از راه دور جهت بهره‌برداری از ضعف امنیتی موجود را فراهم می‌​کند.

آسیب‌​پذیری CVE-2018-13379 مربوط به وی‌پی‌ان‌​های Fortinet است که امکان بهره‌​برداری از FortiOS را فراهم می‌​کند. در این نوع آسیب‌​پذیری، مهاجم می‌​تواند از طریق درخواست​‌های دستکاری‌شده پروتکل HTTP، از SSL مجوزهای غیرمجاز دریافت کند.

آسیب‌​پذیری CVE-2019-1579 مربوط به شبکه‌​های Palo Alto و وی‌پی‌ان‌​های Global Protect است که امکان اجرای کد​های مخرب از راه دور را برای مهاجمان فراهم می‌​کند.

آسیب‌​پذیری CVE-2019-19781 مربوط به سرورهای “ADC” Citrix و کنترل و تحویل دروازه‌​های Citrix Gateway و Citrix SD-WAN WANOP است که پیش از این تحت عنوان NetScaler Gateway شناخته می‌شد و به مهاجمان امکان می‌​دهد که از راه دور کدهای مخرب خود را اجرا کنند.

آسیب‌​پذیری CVE-2020-5902 مربوط به دستگاه‌های F5 BIG-IP است که امکان اجرای کدهای RCE را از طریق رابط TMUI فراهم می‌کند و پیش‌تر نیز در مقاله ​« هشدار اف​‌بی‌​آی درباره حمله هکرهای ایرانی» به آن پرداخته شد.

بنا بر این گزارش، گروه هکری بچه‌​گربه‌​های پیشتاز به شکل معمول از طریق ایجاد تونل‌​های SSH و استفاده از نرم​‌افزارهای متن‌باز و یا تجاری، مانند Ngrok و SSHMinio، و همچنین بهره‌برداری از پروتکل کنترل دسک‌تاپ از راه دور RDP به شبکه ​قربانیان خود نفوذ می‌​کردند.

کمتر از دو ماه پیش، «پلیس فدرال آمریکا» نیز در هشداری رسمی، خطاب به کسب‌وکارهای کوچک و بزرگ، در خصوص بهره‌​برداری هکرهای وابسته به حکومت ایران از ضعف‌​های امنیتی موجود در وی‌پی‌ان‌​ها هشدار داده بود.

بهمن​ ماه سال ۱۳۹۸ ClearSky و Dragos، دو شرکت فعال در حوزه امنیت سایبری، گزارش ویژه‌​​ای را درباره فعالیت‌​​های کمپین Fox Kitten منتشر کردند که به دامنه آن در تابستان سال ۲۰۱۹ میلادی پرداخته بود. در این گزارش آمده بود که Fox Kitten حاصل همکاری چند گروه هکری وابسته به جمهوری اسلامی در ایران است که به نام‌​های APT34-OilRig ، APT33-Elfin و APT39-Chafer شناخته می​‌​شود. این گروه‌​​های هکری به‌هم‌​پیوسته، از سال ۲۰۱۷ به این سو حملات تهاجمی مختلفی را با استفاده از آسیب‌​پذیری‌​​های گوناگون، علیه شرکت‌​​های مختلفی در جهان، مخصوصا شرکت‌​​های اسرائیلی ترتیب داده​‌​اند. آن‌​ها ابتدا مسیرهای نفوذ را کشف و بعد از نفوذ و سرقت اطلاعات، تلاش می‌​​کردند که به شیوه‌​​های مختلف از جمله باز کردن لینک‌​​های RDP از طریق SSH و تونل زدن، دسترسی خود را به منابع هک‌​شده تثبیت کنند. آن​‌ها برای پنهان ماندن از رمزنگاری بهره می‌بردند و علاوه بر ادامه سرقت اطلاعات، تلاش می‌​کردند تا دیگر شرکت‌​​های مرتبط با قربانیان را نیز به صورت زنجیره‌​​ای هک کنند.

اگر چه گزارش ClearSky و Dragos بر این نکته تاکید داشت که این نفوذهای صورت‌گرفته به نوعی هموار کردن راه برای مرحله بعدی، یعنی حضور گروه‌​های دیگر همکار مهاجمان به منظور بهره‌برداری‌های مد نظر جمهوری اسلامی در ایران است، اما گزارش تازه شرکت crowdstrike نشان می‌​دهد که دست‌​کم از مرداد ماه امسال، کار فروش اطلاعات ضعف‌​های امنیتی و راه​‌های نفوذ به شرکت​‌ها توسط هکرهای ایرانی آغاز شده است. به اعتقاد نویسندگان این گزارش، هکرها علاوه بر انجام سفارش​‌های داده‌شده توسط جمهوری اسلامی، تصمیم گرفته‌اند تا با فروش اطلاعاتی که حکومت ایران میلی به آن ندارد، برای خود کسب درآمد کنند.

اهداف هکرهای حکومتی در ایران به شکل سنتی زیرساخت‌​های مدیریتی، اداری و تحقیقاتی صنایع دفاعی، بهداشت و فناوری، هواپیمایی، دانشگاه‌​ها، رسانه‌​ها، زیرساخت‌​های خدماتی در کشورهایی مانند آمریکا، اسرائیل و کشورهای حاشیه خلیج فارس هستند. اما در گزارش فوق گفته شده است که هکرهای گروه بچه​‌گربه‌​های پیشتاز، علاوه بر این اهداف، کشورهایی را در آفریقا و آمریکای شمالی نیز هدف قرار داده‌اند.

اطلاعاتی که توسط هکرهای حکومتی به فروش می‌​رسد، ممکن است مشتری‌​های گوناگونی، از جمله دولت​‌ها، سرویس‌​های اطلاعاتی و رقیبان تجاری داشته باشد. اما اصلی‌ترین متقاضی اطلاعات نفوذ به شرکت‌​ها و سازمان‌های تجاری، گردانندگان باج‌​افزارهای اینترنتی هستند که با پرداخت هزینه ​اندکی قادر خواهند بود، بدون درد سر، باج‌​افزارهای خود را در زیرساخت‌​های شبکه قربانیان پیاده‌سازی کنند و به اخاذی از آن‌ها بپردازند.

مطالب مرتبط:

جعل هویت روزنامه‌نگاران رسانه‌های مطرح از سوی هکرهای وابسته به جمهوری اسلامی

کشف ردپای هکرهای تازه‌کار ایرانی پشت حملات یک باج​‌افزار معروف

هشدار اف‌بی‌آی درباره حمله هکرهای ایرانی

درباره هکرهای مظنون به حمله سایبری حساب کاربران سرشناس توییتر چه می‌دانیم؟

رژه سپاه سایبری ادامه دارد؛ کاویان میلانی، سوژه جدید هکرهای حکومتی

کارکنان دولت آمریکا، اهداف حملات فیشینگ هکرهای وابسته به حکومت ایران

هکر به جای سرباز؛ بدافزارها جانشین موشک‌ و گلوله‌های جنگی

توجه! هکرهای حکومتی ایران مشغول کارند