هکرهای ایرانی عامل حمله باج‌افزار به گروه رسانه‌ای کاکس در امریکا

احمد باطبی

وب‌سایت «رکورد» (The Record)، بازتاب‌ دهنده اخبار و رویداد‌های حوزه امنیت فضای مجازی می‌گوید به شواهدی دست یافته است که نشان می‌دهند عوامل پشت پرده حمله باج‌افزاری اردیبهشت‌ ۱۴۰۰ به «گروه رسانه‌ای کاکس» (Cox Media Group)، مستقر در شهر آتلانتا، در ایالت جورجیای امریکا، هکرهایی مرتبط با ایران بوده‌اند. 

کار نفوذ به شبکه و آلوده‌سازی دستگاه‌های این موسسه از حدود خرداد سال جاری آغاز شد اما خبر این حمله باج‌افزاری ۱۲ تیر به بیرون درز کرد؛ زمانی که مهاجمان باج‌افزارهای خود را فعال و با رمزنگاری تعدادی از سرورها، بخشی از سیستم‌های فناوری اطلاعات و پخش زنده ایستگاه‌های رادیویی و تلویزیونی این موسسه را فلج کردند. 

گروه رسانه‌ای کاکس در ابتدا تلاش کرد موضوع را کم اهمیت جلوه داده و از خبرنگاران محلی و کسانی که از طریق توییتر جزییات این حمله باج‌افزاری را منتشر کرده بودند، خواست توییت‌های خود را حذف کنند؛ اگرچه وسعت حمله به حدی نبود که باعث توقف کامل فعالیت‌های این گروه رسانه‌ای شود اما سبب شد که چهار ماه بعد، در ماه مهر، کاکس به صورت رسمی انجام این حمله را تایید کند. 

حمله باج‌افزاری به این گروه رسانه‌ای در ابتدا به گروهی با اسم رمز «DEV-0270» نسبت داده شد؛ گروهی که به غیر از کاکس، حمله باج‌افزاری به چند شرکت امریکایی دیگر نیز به آن نسبت داده می‌شود.

رصد عوامل تهدید درحال تکامل، موسوم به گروه‌های «DEV»، توسط «شرکت فناوری مایکروسافت» نشان می‌دهد که گروه «DEV-0270» مدت‌ها با انگیزه‌های مالی در حال واکاوی اینترنت و گردآوری اطلاعات بوده است.  

«مرکز اطلاعات تهدیدات مایکروسافت» (MSTIC)، روز ۲۵ آبان سال جاری گزارش مفصلی را تحت عنوان «فرآیند درحال توسعه عوامل تهدید ایرانی» منتشر کرد و به تغییرات ایجاد شده در عملکرد هکرهای وابسته به رژیم حاکم بر ایران پرداخت. 

در این گزارش گفته شد که در یک سال اخیر، هکرهای وابسته به جمهوری اسلامی دست‌کم در سه حوزه رشد کرده‌اند. 

• استفاده روزافزون از باج‌افزار برای باج‌گیری اینترنتی و یا اخلال در فعالیت‌های عادی قربانیان
• صبوری و آرامش بیشتر نسبت به گذشته در مقابل چالش‌ها و یا رسیدن به هدف
• تداوم حملات تهاجمی و بی‌رحمانه به قربانیان، در عین حفظ آرامش و صبوری

مرکز اطلاعات تهدیدات مایکروسافت از شهریور ۱۳۹۹ تاکنون دست‌کم شش گروه از عوامل تهدید مرتبط با رژیم ایران را شناسایی کرده است که در حوزه حملات باج‌افزاری فعال بوده‌ند و دست‌کم هر شش تا هشت هفته، یک موج تازه از حمله‌های باج‌افزاری را به راه انداخته‌اند. 

گروه هکری موسوم به «فسفورس» (PHOSPHORUS)، از زیرمجموعه​‌های «تهدید پیشرفته مدام » (APT)، تحت فرمان رژیم حاکم بر ایران که پیش‌تر نیز ماکروسافت بارها از آن نام برده، یکی از این شش عامل تهدید است. 

این گروه در سال ۲۰۲۱،  دست‌کم در یک مورد از حملات باج‌افزاری، از ضعف امنیت موجود در «Fortinet FortiOS SSL VPN»  استفاده کرده و با گرفتن دسترسی از سرورهای آسیب‌پذیر، آن‌ها را به باج‌افزار آلوده کرده بود. این آلوده‌سازی از طریق رمزنگاری «BitLocker» و در پنج مرحله انجام شده بود.  

• اسکن: گره فسفورس از اوایل سال ۲۰۲۱ با اسکن میلیون‌ها «آی‌پی» در سراسر جهان برای یافتن آسیب‌پذیری «CVE-2018-13379»، اعتبارنامه‌های دست‌کم ۹۰۰ سرور «VPN Fortinet» را در امریکا، اروپا و اسرائیل گردآوری کرده و از نیمه دوم سال جاری میلادی به ارتباط گیری با سرورهای ترمیم نشده پرداخته بود.
• بهره‌برداری: فسفورس با هدف تثبیت و تداوم حضور خود در دستگاه‌های قربانیان و از یک «Plink runner» یا خطر فرمان به نام «MicrosoftOutLookUpdater.exe» استفاده کرده بود که امکان ارسال و اجرای فرمان‌های بیشتری را از راه دور فراهم می‌کند. هکرها هم‌چنین از طریق یک ایمپلنت سفارشی رمزنگاری شده، امکان تغییر رجیستری دستگاه و هم‌چنین بارگیری و یا بارگذاری فایل‌های مورد نظر خود کرده‌اند. 
• مرور: هکرهای فسفورس بعد از تثبیت حضور در دستگاه قربانی، اقدام به ایجاد یک حساب کاربری ویژه با امکان دسترسی از راه دور می‌کردند تا دسترسی خود به عنوان مدیر را در آینده نیز تضمین کنند. 
• مرحله اجرای باج‌افزار: در این مرحله، هکرها با استفاده از «BitLocker»، اقدام به رمزنگاری دستگاه قربانی کرده و از طریق سرورهای آلوده و اجرای اسکریپتی مخصوص، به صورت زنجیره‌ای، دیگر دستگاه‌های موجود در شبکه را نیز رمزنگاری و از دسترس خارج می‌کردند. 

کارشناسان مرکز اطلاعات تهدیدات مایکروسافت با اشاره به صبر و پشتکار هکرهای گروه فسفورس و راه‌اندازی کمپین‌های متعدد فیشینگ، هم‌چون ارسال ایمیل‌های جعلی تحت عنوان پیشنهاد شغلی و یا مصاحبه استخدام، به هزینه‌بر بودن این اقدامات اشاره می‌کنند و این را نشان از برخورداری این گروه از پشتیبانی و توان مالی مناسب می‌دانند. 

گروه هکری «کوریوم» (CURIUM) یکی دیگر از تهدید‌های باج‌افزاری ایرانی است که در یک‌سال اخیر توسط شرکت مایکروسافت رصد شده است. این گروه نیز حملات فیشینگ را محور اصلی فعالیت‌های خود قرار داده و با صبوری مخصوص، به فعالیت مشغول بود. این گروه گاه خود را «زنی جذاب» معرفی کرده و از طریق «لینکدین»، «فیس‌بوک» و غیره به چت روزانه با قربانیان می‌پرداخت و با هدف جلب بیش از پیش اعتماد قربانیان، فیلم‌هایی از زنان می‌فرستاد و در نهایت با ارسال فایل آلوده، اقدام به استخراج اطلاعات قربانیان می‌کرد.

گروه هکری در حال توسعه دیگری با شناسه «DEV-0343»، یکی دیگر از تهدید‌های سایبری مرتبط با ایران است که متخصصان مایکروسافت موفق به شناسایی آن شده‌اند. 

این گروه از شنبه تا پنج‌شنبه، از ساعت چهار صبح تا چهار بعد‌ازظهر به وقت ایران فعالیت‌ می‌کند و تا کنون به ده‌ها هدف در حوزه نظامی، هوافضا، ارتباطات، حمل و نقل و غیره در امریکا، اروپا، اسرائیل و خاورمیانه حمله کرده‌ است. 

مایکروسافت می‌گوید مشاهده شده است «DEV-0343» به اهدافی که پیش‌تر توسط گروه‌های هکری دیگر ایرانی مورد حمله قرار گرفته‌اند نیز حمله می‌کند. این خود نشان از هدف مشترک تمام عوامل تهدید مرتبط با ایران در جرایم سایبری دارد. 

مایکروسافت می‌گوید امروزه عوامل تهدید ایرانی قادر هستند با استفاده از باج‌افزار، پاک‌سازی بدون بازگشت داده‌های قربانیان، هک تلفن همراه، سرقت واژه‌های عبور، حملات فیشینگ، استثمار جمعی و زنجیره تامین عملیات‌های اطلاعاتی را سازمان‌دهی و اجرا کنند و یا دست به اخلال و تخریب بزنند و حتی از عملیات‌های فیزیکی نیز پشتیبانی کنند. 

گروه رسانه‌ای کاکس در بیانیه‌ای که منتشر کرده، گفته است این حمله باج‌افزاری در همان روز اول از سوی کارشناسان این موسسه شناسایی و بلافاصله اقدامات پیش‌گیرانه، از جمله از دسترس خارج کردن سیستم‌های پاک آغاز شد. هم‌زمان، تحقیقات لازم با همکاری پلیس فدرال امریکا (FBI) از منطقه «نیوآرک» و «دالاس» نیز انجام و در نهایت بدون پرداخت هیچ باجی، کنترل اوضاع مجدا به دست گرفته شد. 

علاوه بر این، رصد فضای مجازی و وب تاریک نیز نشان می‌دهد که هیچ اطلاعات شخصی و یا سازمانی تاکنون در فضای مجازی نشت نکرده است. 

در این بیانیه اشاره‌ای به هویت عوامل پشت پرده این حمله باج‌افزاری نشده است و سخن‌گویان گروه رسانه‌ای کاکس درخواست‌های (The Record) برای اظهار نظر درباره این موضوع را بی‌پاسخ گذاشته‌اند.