به گفته شرکت سیمانتک اخیراً گروههای جاسوسی ناشناس بهطور مستقل ایران را مورد حمله خود قرار دادهاند.
بهگفته سیمانتک دو گروه جاسوسی ناشناس به نامهای Cadelle و Chafer با استفاده از در پشتی، بهطور مستقل فعالیتهای سیاسی را مورد جاسوسی قرار دادهاند. همچنین کشورهای انگلیس، آمریکا، آلمان و هلند نیز در طی هجدهماه گذشته مورد این حملات قرار گرفتهاند.
این گروهها تاکنون به بیش از ۱۰۰ شرکت هواپیمایی، سامانههای شبکههای مخابراتی و دیگر سازمانها در کشور ایران و کشورهای خاورمیانه مانند افغانستان و عربستان سعودی و همچنین به یک شرکت در آمریکا نفوذ کردهاند. هدف اصلی آنها افرادی هستند که از ISP ها و خدمات میزبانی یا هاستینگ داخل ایران استفاده میکنند.
تحقیقات نشان میدهد که تمرکز این حملات زیر نظر گرفتن فعالیتهای اشخاص حقیقی میباشد. البته بیشترین تعداد قربانیها بعد از ایران، کشور آمریکا است. از نظر رتبهبندی بر اساس تعداد قربانیها، کشورهای آلمان، انگلیس و هلند به ترتیب در ردههای ششم، هفتم و دوازدهم قرار میگیرند.
هنوز هیچ جزئیاتی از اهداف این گروهها در کشورهای مذکور فاش نشده است . سیمانتک معتقد است که هر دوی این گروهها در ایران مستقر بوده و هرکدام شامل ۵ تا ۱۰ عضو هستند و ممکن است که با یکدیگر نیز رابطه داشته باشند. اعضای این گروهها همگی در روزها و ساعات مشخص و معینی اقدام به توسعهی این جاسوسافزار کردهاند که با ساعات کاری ایران (شنبه تا پنجشنبه) مطابقت دارد.
همچنین با بررسی یکی از بستههای نفوذی بهکار رفته مشخص شده که تعدادی رشته حاوی عبارات تقویم هجری شمسی در آن وجود دارد. این گروهها از ماه جولای ۲۰۱۴ فعالیت خود را در این زمینه آغاز کردهاند ولی با توجه اطلاعات کارگزار کنترل و فرماندهی، احتمال تشکیل آنها از سال ۲۰۱۱ نیز وجود دارد.
بسیاری از کسانی که توسط این دو گروه مورد جاسوسی قرار گرفتهاند با استفاده از سرویسهای پراکسی یا فیلترشکن معروف به اینترنت متصل بودهاند. سرویسهایی که استفاده از آنها در بین گروههای خاص سیاسی و یا محققان بسیار شایع است.
سیمانتک معتقد است که قربانیان این دو گروه به احتمال زیاد افراد علاقهمند به گروههای خاص هستند. سیمانتک اضافه میکند هر دوی این گروهها توانستهاند بهطور موفقیتآمیز از درهای پشتی ساخته خودشان سوءاستفاده کنند و با استفاده از آنه، با نامهای Cadelspy و Remexi به جاسوسی دو گروه سایبری Cadelle و Chafer از ISPهای ایرانی پرداخته یا به سامانههای قربانیان خود نفوذ کنند. بهعنوان نمونه در یک سازمان، ۶۰ رایانه در حدود یک سال مورد سوءاستفاده قرار گرفته است.
این دو گروه بهخوبی آگاه هستند که مجبور نیستند بهطور مستقیم به اهداف خود حمله کنند و میتوانند با سوءاستفاده از سرویسهایی که افراد موردنظرشان از آنها استفاده میکنند، برای انجام حملات و رسیدن به اهداف خود فعالیت کنند.
بسته نفوذی Cadelspy این امکان را میدهد که از تمام اطلاعات واردشده از طریق صفحه کلید قربانی گزارشگیری شود. همچنین میتواند با ضبط صدا، گرفتن تصاویر از صفحه سامانه و یا از کاربر با استفاده از وبکم، دسترسی به clipboard، جمعآوری عناوین پنجرههای بازشده و سرقت تمامی پروندههای ارسالی به چاپگر از قربانی خود جاسوسی کند. بیشترین فعالیت Cadelspy توسط سیمانتک در ماه سپتامبر گزارش شده است که به ۹ سازمان حمله کرده است. بسته نفوذی Remexi یک تروجان ساختهشده از در پشتیهای پایه است که امکان دسترسی از راه دور برای اجرای دستورات مختلف را به حملهکننده میدهد.
Remexi میتواند گذرواژههای قربانی را به سرقت ببرد و امکان دسترسی به سامانه را به حملهکننده بدهد. سیمنتک اینگونه ادامه میدهد که فعالیتهای این دو گروه نشان میدهد که آنها نیازی به داشتن مهارتهای پیشرفته برای جاسوسی از قربانیان خود ندارند. همچنین حملات آنها بهگونهای مدیریت میشود که تقریباً تا یک سال بر روی سامانهی هدف باقی بماند و در این صورت حملهکننده میتواند به اطلاعات حساس زیادی در طول این مدت دسترسی داشته باشد.
بررسی فعالیتهای این گروهها توسط یکی از محققان F-Secure نشان میدهد که حملات آنها نمونهای از حملات APT است، اگرچه Remexi نمونهای از یک در پشتی استاندارد است.
بهگفته این محقق، خودکار نبودن ابزارها و یا مخفی نبودن آنها به معنی پیشرفتهنبودن حملات نیست. به نظر میرسد ایران برای شناسایی و تشخیص حملات APT از روش پیچیده و اختصاصی استفاده میکند.
سیمانتک میگوید: به نظر میرسد گروههای Cadelle و Chafer از دیگر گروههای مظنون جاسوسی سایبری ایرانی مثل Rocket kitten پیروی میکنند که فعالیت آنها در حمله به دولتهای اروپایی و صهیونیستی و سازمانهای خصوصی فاش شده بود.
سیمانتک ادامه میدهد: طبق اطلاعات بررسی شده در ماه قبل، جاسوسی دو گروه سایبری Cadelle و Chafer از ISPهای ایرانی نشان میدهد که گروه Rocket kitten به بیش از ۱۶۰۰ هدف حمله کرده است و اطلاعات بهدست آمده حاکی از آن است که این گروه وابسته به سپاه پاسداران انقلاب است.
در همین حال، در دسامبر سال ۲۰۱۴ میلادی Cylance فاش کرد که گروههای جنگ سایبری ایرانی که با نام Operation Cleaver از آنها یاد میشود به بیش از ۵۰ سازمان زیرساخت در ۱۶ کشور جهان از جمله آمریکا، انگلیس، فرانسه و آلمان حمله کردهاند. سیمانتک در مورد Remexi میگوید که فعالیتهای آن یادآور حملات گروه Operation Cleaver بوده و احتمالاً ادامه سیاستهای این گروه است.
یکی از محققان امنیتی اروپایی به نام Aatish Pattni عنوان میکند که در ماه گذشته محققان حوزه سایبری اطلاعات زیادی در مورد گروه Rocket kitten و فعالیتهای مظنون آنها فاش کردهاند.
شاید تنها خاورمیانه نباشد که مورد حملات سایبری قرار میگیرد و سازمانهای اروپایی نیز باید این هشدار را دریافت کنند.
سیمانتک از فعال بودن دو گروه Cadelle و Chafer ابراز نگرانی میکند و اینگونه عنوان میکند که فعالیتهای آنها بهزودی خاتمه نمییابد.
افتانا، پایگاه خبری امنیت فناوری اطلاعات