هکرهای حکومتی ایران در حملاتشان از زیرساخت فنی گروه هزاردستان استفاده کردند

چهارشنبه ۱۴۰۳/۰۶/۰۷

نتایج تحقیقات یک شرکت امنیت سایبری نشان می‌دهد هکرهای وابسته به سپاه پاسداران انقلاب اسلامی برای اجرای حملات سایبری خود به ستادهای انتخاباتی دونالد ترامپ و جو بایدن-کامالا هریس، از زیرساخت‌های فنی گروه «هزاردستان»، مالک شرکت‌های کافه‌بازار و دیوار استفاده کردند.

محققان شرکت امنیت سایبری «رکوردد فیوچر» (Recorded Future) با انتشار گزارشی درباره جزییات حملات سایبری اخیر جمهوری اسلامی به ایالات متحده، از کشف آدرس‌های آی‌پی ایرانی در زیرساخت مورد استفاده هکرها خبر دادند.

دست‌کم دو نمونه از آی‌پی‌هایی که هکرها از آن‌ها برای انجام عملیات فیشینگ علیه ستادهای انتخاباتی در آمریکا استفاده کرده‌اند به شرکت «آوای همراه هوشمند هزاردستان» تعلق دارد.

این آی‌پی‌ها در اختیار یکی از زیرمجموعه‌های این هولدینگ با نام «ستون» است که به سازمان‌ها و کسب‌وکارها، خدمات میزبانی وب و فن‌آوری ابری ارائه می‌دهد.

به گفته محققان، آی‌پی‌های مورد اشاره از تاریخ چهارم مرداد امسال (۲۵ ژوییه ۲۰۲۴) تا لحظه انتشار این گزارش فنی، با زیرساخت هکرها ارتباط داشته و احتمالا برای حملات فیشینگ مورد استفاده قرار گرفته‌اند.

این گزارش، درباره عمدی یا غیرعمدی بودن نقش این مجموعه ایرانی در حملات یاد شده نتیجه‌گیری نکرده است.

اواخر مرداد ۱۴۰۳، اف‌بی‌آی، دفتر مدیر اطلاعات ملی و آژانس امنیت سایبری و امنیت زیرساخت آمریکا در بیانیه‌ای جمهوری اسلامی را مسئول تلاش برای هک کردن ستادهای انتخاباتی ترامپ و بایدن-هریس معرفی کردند.

در این بیانیه آمده بود که جمهوری اسلامی به دنبال دامن زدن به اختلاف و تضعیف اعتماد به نهادهای دموکراتیک در ایالات متحده است و علاقه دیرینه خود را به بهره‌برداری از تنش‌های اجتماعی از طریق روش‌های مختلف، از جمله با استفاده از عملیات سایبری به منظور تلاش برای دسترسی به اطلاعات حساس مرتبط با انتخابات آمریکا نشان داده است.

یک گزارش از روزنامه واشینگتن‌پست نشان می‌دهد کارکنان ستادهای انتخاباتی آمریکا در هفته‌های گذشته ایمیل‌های فیشینگ دریافت کردند که کلیک روی آن‌ها منجر به دسترسی مهاجمان به سیستم قربانیان می‌شد.

در ادامه این گزارش‌ها، شرکت‌های بزرگ فن‌آوری جهان مانند گوگل، متا و مایکروسافت نیز جزییات فنی مختلفی از حملات سایبری صورت گرفته علیه شخصیت‌های انتخاباتی آمریکا منتشر کردند.

گوگل در گزارشی تاکید کرد هکرهای حکومتی ایران به‌شکلی فعالانه برای رخنه به حساب‌های کاربری افراد نزدیک به بایدن، رییس‌جمهوری آمریکا و هریس، معاون او و نیز ترامپ، رییس‌جمهوری پیشین ایالات متحده تلاش می‌کنند.

شرکت متا روز جمعه دوم شهریور از شناسایی فعالیت‌های گروهی هکری وابسته به جمهوری اسلامی خبر داد که می‌کوشد به حساب‌های واتس‌اپ مقام‌های آمریکایی در دولت‌ بایدن و مقامات پیشین دولت ترامپ دسترسی پیدا کند.

مایک ترنر، رییس جمهوری‌خواه کمیته اطلاعات مجلس نمایندگان آمریکا، روز سه‌شنبه ششم شهریور در نامه‌ای به بایدن، خواستار «اقدام فوری و قاطعانه» دولت آمریکا علیه تلاش‌های جمهوری اسلامی برای نفوذ در انتخابات ایالات متحده شد.

کارشناسان شرکت رکوردد فیوچر می‌گویند گروه هکری «گرین چارلی» (GreenCharlie) یکی از دو گروه مسئول عملیات سایبری علیه ستادهای انتخاباتی در آمریکا بوده است.

فروردین ۱۴۰۲ شرکت مایکروسافت با انتشار هشداری درباره احتمال وقوع حملات سایبری مخرب از سوی جمهوری اسلامی، گفت این گروه استراتژی خود را از فعالیت‌های شناسایی، به حمله به زیرساخت‌های حیاتی ایالات متحده تغییر داده است.

گروه هکری گرین چارلی که با نام‌های دیگری از جمله «بچه گربه‌های دلربا» (Charming Kitten) و «طوفان شنی نعنایی» (Mint Sandstorm) شناخته می‌شود، به سازمان اطلاعات سپاه پاسداران منتسب شده است.

بر اساس گزارش رکوردد فیوچر، هکرهای حکومتی ایران علاوه بر استفاده از زیرساخت شرکت هزاردستان، از خدمات شرکت‌های خارجی نظیر «پروتون وی‌پی‌ان» و «پروتون میل» نیز استفاده کرده‌اند.

نوامبر ۲۰۲۲ شرکت بریتانیایی «پرایس‌واترهاوس‌کوپرز» در گزارشی از نقش شرکت ابرآروان در تامین زیرساخت برای گروه‌های هکری وابسته به حکومت ایران خبر داد.

این موضوع از جمله دلایلی بود که سبب شد ایالات متحده این شرکت را به فهرست تحریم‌های خود اضافه کند.

کسب‌وکارهای ارائه‌دهنده خدمات میزبانی ایرانی پیش از این نیز در تامین زیرساخت برای هکرهای حکومتی نقش ایفا کرده‌اند.

شرکت امنیت سایبری «هالسیون» (Halcyon) در مرداد ۱۴۰۲ از نقش یک مجموعه ایرانی ارائه‌دهنده خدمات ابری با نام «ابرناک» در ارائه زیرساخت فنی به مجرمان و هکرهای حکومتی بین‌المللی با هدف تسهیل حملات سایبری و باج‌افزاری پرده برداشت.

بر اساس این گزارش، ابرناک در پوشش یک شرکت آمریکایی به نام «کلادزی» (Cloudzy) با دور زدن احتمالی تحریم‌های ایالات متحده به ارائه‌دهنده‌ای پرطرفدار بین مجرمان سایبری و هکرهای حکومتی تبدیل شده است.

خبرهای بیشتر

پربیننده‌ترین ویدیوها

جهان‌نما
خبرها
گزارش روز با مجتبا پورمحسن
خبرها

شنیداری

پادکست‌ها