بچه گربه جذاب
Модный мишка | |
بنیانگذاری | ح. ۲۰۰۴–۲۰۰۷[۱] |
---|---|
گونه | تهدید دائمی پیشرفته |
تمرکز | جاسوسی سایبری، جنگ سایبری |
منطقه | خاورمیانه |
شیوهها | حمله روز صفر، فیشینگ نیزهای، بدافزار، مهندسی اجتماعی |
اعضا | حداقل ۵ نفر |
زبانهای رسمی | فارسی |
سازمان مادر | سپاه پاسداران انقلاب اسلامی |
وابستگی | Rocket Kitten |
نام پیشین | APT35 Turk Black Hat Ajax Security Team Phosphorus |
بچه گربه جذاب یا بچه گربه ملوس[۱] (به انگلیسی: Charming Kitten) (نام مستعار دیگر شامل APT35 (توسط مندیانت)، فسفر یا Phosphorus (توسط مایکروسافت)،[۲] Ajax Security (توسط فایرآی)،[۳] NewsBeef (توسط کسپراسکی،[۴])[۵] یک گروه جنگ سایبری دولتی ایران است. که توسط چندین شرکت و مقامات دولتی به عنوان یک تهدید دائمی پیشرفته توصیف شدهاست.
در ۱۵ دسامبر ۲۰۱۷، این گروه توسط فایرآی به عنوان یک تهدید دائمی پیشرفته مبتنی بر دولت ملی، بدون توجه به عدم پیچیدگی آن، تعیین شد. تحقیقات انجام شده توسط فایرآی در سال ۲۰۱۸ نشان داد که APT35 ممکن است در حال گسترش قابلیتهای بدافزاری و کمپینهای نفوذ خود باشد.[۶]
از آن زمان این گروه به استفاده از فیشینگ برای جعل هویت وبسایت شرکتها،[۷] و همچنین از حسابهای جعلی و دامنه اینترنتی جعلی برای رمزگیری گذرواژههای کاربران شناخته شدهاست.
تاریخچه
[ویرایش]مونیکا ویت (اوایل ۲۰۱۳)
[ویرایش]در سال ۲۰۱۳، گروهبان فنی سابق نیروی هوایی ایالات متحده و پیمانکار دفاعی اطلاعات نظامی، مونیکا ویت، به ایران فرار کرد[۸] زیرا میدانست که ممکن است برای انجام این کار مورد اتهامات جنایی توسط ایالات متحده باشد.
حمله سایبری اچبیاو (۲۰۱۷)
[ویرایش]در سال ۲۰۱۷، پس از یک حمله سایبری به اچبیاو به این دلیل که ممکن است اطلاعات محرمانه درز کردهاست تحقیقات مشترک گستردهای آغاز شد. بیانیه شرطی یک هکر با نام مستعار سکوت وحشت (به انگلیسی: Sokoote Vahshat) که در آن گفته شده بود اگر پول پرداخت نشود، فیلمنامههای قسمتهایی از سریالها از جمله قسمتهایی از بازی تاج و تخت را لو خواهد داد. این هک باعث نشت ۱/۵ ترابایت داده شد که برخی از آنها برنامهها و قسمتهایی بودند که در آن زمان پخش نشده بودند.[۹] HBO از آن زمان اعلام کردهاست که اقدامات لازم را برای اطمینان از عدم نقض مجدد آنها انجام میدهد.[۱۰]
متعاقباً بهزاد مصری به اتهام هک متهم شد. از آن زمان گفته میشود که او بخشی از واحد عملیاتی است که اطلاعات محرمانه را درز کرده بود.[۱۱]
به گفته سرتفا، بچه گربه جذاب، مقامات آمریکایی درگیر در برنامه جامع اقدام مشترک (برجام) را هدف قرار داده بود اما دولت ایران هرگونه دخالت در این ماجرا را رد کرد.[۱۲][۱۳]
کیفرخواست دوم (۲۰۱۹)
[ویرایش]هیئت منصفه بزرگ فدرال در دادگاه منطقه ای ایالات متحده در ناحیه کلمبیا Witt را به اتهام جاسوسی (به ویژه "توطئه برای ارائه و ارائه اطلاعات دفاع ملی به نمایندگان دولت ایران") متهم کرد. کیفرخواست در ۱۹ فوریه ۲۰۱۹ باز شد. در همین کیفرخواست، چهار شهروند ایرانی — مجتبی معصوم پور، بهزاد مصری، حسین پرور و محمد پریار — به اتهام اجتماع و تبانی، تلاش برای ارتکاب نفوذ رایانهای و سرقت هویت تشدید شده برای کمپینی در سالهای ۲۰۱۴ و ۲۰۱۵ متهم شدند.[۱۴]
در مارس ۲۰۱۹، مایکروسافت مالکیت ۹۹ دامنه اینترنتی متعلق به هکرهای تحت حمایت دولت ایران را در اقدامی با هدف کاهش خطر فیشینگ و سایر حملات سایبری در اختیار گرفت.[۱۵]
تلاشهای مداخله در انتخابات ۲۰۲۰ (۲۰۱۹)
[ویرایش]طبق گفته مایکروسافت، در یک دوره ۳۰ روزه بین اوت و سپتامبر ۲۰۱۹، گربه جذاب ۲۷۰۰ تلاش هدفمند برای به دست آوردن اطلاعات حسابهای ایمیل انجام دادند.[۱۶] که شامل ۲۴۱ حمله و در معرض خطر قرار گرفتن ۴ حساب کاربری بود. اگرچه تصور میشد که این ابتکار با هدف کمپین ریاست جمهوری ایالات متحده انجام شدهاست، اما هیچیک از حسابهای به خطر افتاده مربوط به انتخابات نبود.
مایکروسافت مشخص نکرد که چه کسی هدف قرار گرفته شده بود، اما گزارش بعدی رویترز مدعی شد که این کارزار انتخاباتی مجدد دونالد ترامپ بودهاست.[۱۷] این ادعا با این واقعیت تأیید میشود که فقط کمپین ترامپ از ماکروسافت اتلوک به عنوان مشتری ایمیل استفاده میکردهاست.
ایران هرگونه دخالت در انتخابات را تکذیب کرد و محمدجواد ظریف، وزیر امور خارجه ایران در مصاحبهای با NBC گفت: «ما در انتخاب شما (ایالات متحده) ترجیحی برای مداخله نداریم» و «ما در امور داخلی دخالت نمیکنیم».[۱۸]
کارشناسان امنیت سایبری در مایکروسافت و شرکتهای شخص ثالث مانند ClearSky Cyber Security معتقدند که ایران، بهویژه بچه گربه جذاب، پشت این مداخله بودهاست. در اکتبر ۲۰۱۹، ClearSky گزارشی منتشر کرد که از نتیجهگیری اولیه مایکروسافت حمایت میکرد.[۱۹] در این گزارش، جزئیات مربوط به این حمله سایبری با موارد حملات قبلی که از بچه گربه جذاب نشات گرفته بود، مقایسه و شباهتهای زیر یافت شد:
- پروفایلهای قربانی مشابه: کسانی که هدف قرار گرفتند در دستههای مشابه قرار گرفتند. همه آنها در زمینههای دانشگاهی، روزنامهنگاری، فعالیتهای حقوق بشری و مخالفان سیاسی با علاقه به موضوع ایران بودند.
- همپوشانی زمانی: فعالیت تأیید شده بچه گربه جذاب در همان بازه زمانی که تلاشهای مداخله در انتخابات انجام شد، افزایش یافت.
- بردارهای حمله ثابت: روشهای حمله با ابزارهای مخرب توسط فیشینگ نیزهای و از طریق پیامک مشابه بودند.
2020 HYPERSCRAPE، ابزار استخراج داده (۲۰۲۱)
[ویرایش]در ۲۳ اوت ۲۰۲۲، وبلاگ Google Threat Analysis Group (TAG) ابزار جدیدی را که توسط بچه گربه جذاب برای سرقت اطلاعات از ارائه دهندگان ایمیل معروف (به عنوان مثال گوگل، یاهو و مایکروسافت) استفاده شده منتشر کرد.[۲۰] این ابزار برای ایجاد یک جلسه از طرف خود به اعتبار هدف نیاز دارد و به گونهای عمل میکند که استفاده از سرویسهای پستی قدیمی برای سرور عادی به نظر میرسد و ایمیلهای قربانی را دانلود میکند و همچنین تغییراتی را برای پنهان کردن اثر انگشت خود انجام میدهد.
بر اساس گزارش، این ابزار بر روی پلت فرم ویندوز توسعه یافتهاست، اما نه برای دستگاه قربانی. از هر دو ابزار خط فرمان و رابط کاربری گرافیکی برای وارد کردن اعتبار یا سایر منابع مورد نیاز مثل کوکیها استفاده میکند.
منابع
[ویرایش]- ↑ «دیدهبان حقوق بشر از حمله سایبری «عوامل مورد حمایت حکومت» ایران خبر داد». بیبیسی فارسی. دریافتشده در ۵ دسامبر ۲۰۲۲.
- ↑ "Microsoft uses court order to shut down APT35 websites". CyberScoop. March 27, 2019.
- ↑ "Ajax Security Team lead Iran-based hacking groups". Security Affairs. May 13, 2014.
- ↑ "Freezer Paper around Free Meat". securelist.com.
- ↑ Bass, Dina. "Microsoft Takes on Another Hacking Group, This One With Links to Iran". news.bloomberglaw.com.
- ↑ "OVERRULED: Containing a Potentially Destructive Adversary". FireEye.
- ↑ "Iranian Charming Kitten ATP group poses as Israeli cybersecurity firm in phishing campaign". Security Affairs. July 3, 2018.
- ↑ Blinder, Alan; Turkewitz, Julie; Goldman, Adam (2019-02-16). "Isolated and Adrift, an American Woman Turned Toward Iran". The New York Times (به انگلیسی). ISSN 0362-4331. Retrieved 2022-04-23.
- ↑ "The HBO hack: what we know (and what we don't) - Vox". August 5, 2017.
- ↑ Petski, Denise (July 31, 2017). "HBO Confirms It Was Hit By Cyber Attack".
- ↑ "HBO Hacker Was Part of Iran's "Charming Kitten" Elite Cyber-Espionage Unit". BleepingComputer.
- ↑ "Iranian Hackers Target Nuclear Experts, US Officials". Dark Reading. December 15, 2018.
- ↑ Satter, Raphael (December 13, 2018). "AP Exclusive: Iran hackers hunt nuclear workers, US targets". AP NEWS.
- ↑ "Former U.S. Counterintelligence Agent Charged With Espionage on Behalf of Iran; Four Iranians Charged With a Cyber Campaign Targeting Her Former Colleagues" (Press release). United States Department of Justice, Office of Public Affairs. February 13, 2019.
- ↑ "Microsoft seizes 99 domains owned by Iranian state hackers". News @ WebHosting.info. March 28, 2019.
- ↑ "Recent cyberattacks require us all to be vigilant". Microsoft On the Issues (به انگلیسی). 2019-10-04. Retrieved 2020-12-10.
- ↑ Bing, Christopher; Satter, Raphael (October 4, 2019). "Exclusive: Trump campaign targeted by Iran-linked hackers - sources". Reuters.
- ↑ AP. "Iran denies US election meddling, claims it has no preference". www.timesofisrael.com (به انگلیسی). Retrieved 2020-12-10.
- ↑ "The Kittens Are Back in Town 2" (PDF). ClearSky Cyber Security. October 2019.
- ↑ Bash, Ajax (Aug 23, 2022). "New Iranian APT data extraction tool". Threat Analysis Group (TAG).