اقدامات هکرهای ایرانی، علیه اسرائیل و آمریکا در راستای تاثیر بر افکار عمومی مرتبط با تهاجم اسرائیل
اخبار داغ فناوری اطلاعات و امنیت شبکه
گروه تحلیلگر تهدید گوگل ادعا کرده است که هکرهای مورد حمایت ایران از قابلیتهای سایبری خود برای کاهش حمایت عمومی از درگیری اسرائیل و حماس در ایالات متحده و اسرائیل استفاده کردهاند.
در گزارش Tool of First Resort: Israel-Hamas War in Cyber، که یک گزارش اطلاعاتی تهدید مشترک است که بهتازگی منتشر شده، گروه تحلیلگر تهدید گوگل (TAG) و Mandiant ادعا کردهاند که مهاجمان ایرانی ٨٠ درصد از کل فعالیتهای فیشینگ تحت حمایت دولت را تشکیل میدهند که کاربران مستقر در اسرائیل را در شش ماه منتهی به جنگ حماس و اسرائیل، هدف قرار میدهد.
ساندرا جویس، معاون Mandiant Intelligence، طی یک کنفرانس مطبوعاتی گفت: "گروههای تحت حمایت ایران که در طول دوره مورد تجزیه و تحلیل فعال بودند، برای محققان گوگل آشنا هستند".
برخی از این موارد عبارتند از APT32 (با نام مستعار Charming Kitten، Mint Sandstorm)، Dusty Cave (با نام مستعار Imperial Kitten، Crismon Sandstorm) و Dune (با نام مستعار Banished Kitten، STORM-0842).
در سال ٢٠٢٣، این گروههای تهدید به طور تهاجمی نهادهای ایالات متحده و اسرائیل را هدف قرار دادند که اغلب نتایج متفاوتی به همراه داشت.
محققان گوگل دریافتند که مهاجمان ایرانی به طور مداوم سعی میکردند بر تاثیر این حملات را بسیار فراتر از آنچه که بود، نشان دهند.
جویس در ادامه توضیح داد: "در بیش از یک مورد، برای اهدافی که به طور بخصوصی تاثیرگذار نبودند، مهاجمان سعی کردند چیزی را ارائه دهند که به ظاهر فراتر از آنچه بود که درواقعیت به وقوع پیوسته بود".
تلاشهای متمرکز برای کاهش حمایت عمومی از جنگ اسرائیل و حماس
پس از عملیات ٧ اکتبر که حماس علیه اسرائیل انجام داد، تاکتیکهای گروههای تهدید تحت حمایت ایران تغییر کرد و حتی بیشتر بر اسرائیل تمرکز کرد و سرعت حملات به طور قابل توجهی افزایش یافت. در این گزارش آمده است: "از اکتبر ٢٠٢٣، ما شاهد تلاش متمرکزی برای کاهش حمایت عمومی از جنگ بوده ایم".
برخی از فعالیتهای سایبری این گروهها پس از عملیات حماس عبارتند از:
• حملات مخرب علیه سازمانهای کلیدی اسرائیل
• عملیات هک و نشت، ازجمله ادعای اغراقآمیز حملات علیه زیرساختهای حیاتی در اسرائیل و ایالات متحده
• عملیات اطلاعاتی (IO) برای تضعیف روحیه شهروندان اسرائیلی، از بین بردن اعتماد به سازمانهای مهم و تغییر جهت افکار عمومی جهانی علیه اسرائیل.
• کمپینهای فیشینگ با هدفگیری کاربران مستقر در اسرائیل و ایالات متحده برای جمعآوری اطلاعات درباره تصمیم گیرندگان حیاتی.
محققان گوگل دریافتند جدا از این افزایش فعالیت ایران، روزهای پس از عملیات ٧ اکتبر با افزایش عمومی در فعالیت سایبری مهاجمان همراه نبود. همچنین جویس در ادامه ادعاهای خود گفت: "ما چیزی شبیه آنچه را که در طول و پس از تهاجم روسیه به اوکراین در سال ٢٠٢٢ مشاهده کردیم، ندیدیم".
کمپینهای جاسوسی سایبری در حال انجام است
برای سالها مشاهده شده است که هکرهای طرفدار حماس ترکیبی از هدفگیریهای درون فلسطینی و همچنین هدف قرار دادن منظم اسرائیل، ایالات متحده، اروپا و کشورهای همسایه اسرائیل و فلسطین را انجام میدهند.
گروه Google TAG و Mandiant دریافتند که برخی از این گروههای مرتبط با حماس، مانند Blackstem (معروف به Molerats، Extreme Jackal) و Desert Varnish (معروف به Desert Falcons، Arid Viper، Renegade Jackal) نیز در طول سال ٢٠٢٣ کمپینهای جاسوسی سایبری را برای جمعآوری اطلاعات از اهدافی در داخل اراضی فلسطین و اسرائیل قبل از عملیات ٧ اکتبر انجام دادهاند. محققان افزودند که آنها از تکنیکها، تاکتیکها و رویه ها (TTP) «ساده اما موثر» استفاده کردهاند.
این TTPها شامل کمپینهای فیشینگ گسترده با هدف قرار دادن کاربران در فلسطین و همسایگان منطقهای آن و همچنین تلاشهای مداوم برای هدف قرار دادن نهادهای اسرائیلی با استفاده از انواع قابلیتهای سایبری سفارشی و متن باز، ازجمله بدافزار اندروید و نرمافزارهای جاسوسی است.
یک کمپین، که توسط Blackatom در سپتامبر ٢٠٢٣ انجام شد، نشانههایی از قابلیتهای پیشرفتهتر، ازجمله مهندسی اجتماعی پیچیده متناسب با مهندسین نرمافزار و بدافزارهای سفارشی توسعهیافته برای ویندوز، مک و لینوکس را نشان داد.
بااین وجود، محققان ارزیابی کردند که حماس از عملیات سایبری برای حمایت تاکتیکی از عملیات ٧ اکتبر استفاده نکرده است.
گنجشک درنده مهاجم ضد ایرانیست که ایران را هدف گرفت. درنهایت، محققان گوگل دریافتند که حداقل در یک مورد در سال ٢٠٢٣، زیرساختهای حیاتی ایران توسط مهاجمی که مدعی واکنش به درگیریهاست، مختل شده است. این گروه تهدید که خود را «گنجشک درنده» (Predatory Sparrow) مینامد، مدعی شد که اکثر پمپ بنزینهای ایران را آفلاین کرده و به زیرساختها و سیستمهای پرداخت آنها حمله کرده است.
اگرچه ایران این فعالیت را به اسرائیل نسبت داده است، اما محققان گوگل گفتند که شواهد کافی برای ارزیابی این ادعاها یا ارائه هیچگونه انتسابی در این مرحله ندارند.
جان هالتکوئیست، تحلیلگر ارشد Mandiant Intelligence، اظهار داشت: "مباحثاتی در مورد سطح منابع لازم برای انجام این حمله و حملات قبلی منتسب به Predatory Sparrow وجود داشته است، که میتواند منجر به این برداشت شود که این گروه، یک دشمن ماهر است. اما من ترجیح میدهم که مراقب باشم نتیجهگیری و اظهارنظری این باره نکنم".
پیشبینی تهدیدات سایبری گوگل برای سال ٢٠٢٤
بر اساس مشاهدات، محققان گوگل در ادعاهایی، ارزیابیهای آیندهنگرانه خود را در مورد این عوامل تهدید برای سال ٢٠٢٤، به شرح ذیل ارائه کردند:
• گروههای مرتبط با ایران احتمالا به انجام حملات سایبری مخرب، بهویژه در صورت تشدید درگیریها، ادامه میدهند که شامل فعالیتهای جنبشی گروههای نیابتی جمهوری اسلامی در کشورهای مختلف مانند لبنان و یمن میشود.
• عملیات هک و نشت اطلاعات و عملیات اطلاعاتی، همچنان بهعنوان جز کلیدی این اقدامات در راستای انتقال پیام قصد و توانایی در طول جنگ، هم برای دشمنان جمهوری اسلامی و هم برای سایر مخاطبانی که آنها بهدنبال تاثیرگذاری هستند، باقی خواهند ماند.
• درحالیکه چشمانداز عملیات سایبری آتی توسط مهاجمان مرتبط با حماس در کوتاهمدت نامشخص است، ما پیشبینی میکنیم که فعالیت سایبری حماس درنهایت، با تمرکز بر جاسوسی برای جمعآوری اطلاعات در امور داخلی فلسطین، اسرائیل، ایالات متحده، اروپا و دیگر بازیگران منطقهای در خاورمیانه، از سر گرفته شود.
برچسب ها: Cyber Operation, Blackatom, Cyberspy, Desert Falcons, Renegade Jackal, Desert Varnish, Blackstem, Banished Kitten, STORM-0842, Dune, Crismon Sandstorm, Dusty Cave, Cyber Attack, Predatory Sparrow, Imperial Kitten, Mint Sandstorm, Arid Viper, Hamas, حماس, Cyber Espionage, گنجشک درنده, Palestine, فلسطین, Molerats, Extreme Jackal, APT32, TAG, Iran, cybersecurity, Social Engineering, مهندسی اجتماعی, ایران, israel, phishing, malware, Charming Kitten, اسرائیل, جاسوسی سایبری, فیشینگ, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news