شروع به کار مجدد Elfin برای انتشار بد افزار ایران را مورد سوء ظن قرار می دهد

تحقیقات جدیدی که موسسه ارزیابی تهدیدهای امنیتی « فیوچِر» (Recorded future) نشان می‌دهد فعالیت‌های گروه APT33 به‌شدت افزایش یافته است. آن‌ها بر این باورند APT33 که در انتشار بد افزار شمعون (Shamoon) دست داشته، گروهی از هکرهای ایرانی هستند. این موسسه همچنین معتقد است این گروه جاسوسی سایبری ایران و حملات بد افزاری مخرب را هدایت می‌کند.

شواهدی که نشان می‌دهد APT 33 مجدداً فعال شده

تحقیقات این شرکت امنیتی نشان می‌دهد که APT33  تعداد 1200 دامنه برای کنترل و انتشار بد افزارها ایجاد کرده است که نشان می‌دهد به‌زودی حملات آغاز خواهند شد. به‌علاوه این شرکت گفته است با توجه به اطلاعاتی که به دست آورده، به‌طور قطع می‌توان اشخاص مرتبط با APT33 (که به آن‌ها Elfin هم گفته می‌شود) را دست اندر کار حملات به شرکت‌های عربستان سعودی دانست. شرکت‌هایی که تحت حملات قرار گرفته بودند شامل دو مرکز درمانی، یک شرکت رسانه‌ای هندی و گروهی از مؤسسات دیپلماتیک می‌شدند.
بیشتر حملات با استفاده از بد افزارهای آزاد و عمومی انجام شده که قابلیت دسترسی از راه دور را ممکن می‌کند. طبق گزارش Recorded Future گروه AFT33 یا گروه دیگری که با آن مرتبط است همچنان دامنه‌ها را تحت کنترل دارد. این دامنه‌ها از 28 مارس 2019 در حال استفاده هستند. 728 مورد از این دامنه‌ها به‌طور قطعی با هاست هایی که به آن‌ها حمله شده، در ارتباط هستند. 575 عدد از 728 دامنه با هاست هایی که توسط یکی از رایج‌ترین بد افزار در میان 19 بد افزار دسترسی از راه دور (RAT) آلوده شده‌اند، ارتباط دارند. به‌علاوه حدود نیمی از این دامنه‌ها با بد افزار StoneDrill و Shamoon wiper که اولین بار در سال 2017 دیده شد، مرتبط هستند.
پیش‌تر، تعداد زیادی از این 1200 دامنه غیرفعال شده بودند. یعنی زمانی که شرکت Symantec روشن کرد APT33 را در حملات انجام شده دست داشته است.

عدم شناسایی منتشر کنندگان بد افزار

به گفته منتشر کنندگان تحقیقات امنیتی، یکی از استراتژی‌های رایج و شناخته شده APT33 استفاده از بد افزارهای عمومی برای عملیات است. آن‌ها می‌گویند عملیات سایبری ایران از طریق ساز و کاری که توسط سازمان نصر (سازمان نظام صنفی رایانه‌ای کشور) هدایت می‌شود، انجام می‌گیرد.
طبق اطلاعات شرکت Insikt Group research، عملیات سایبری به عملیات کوچک‌تر تقسیم شده و بین سازمان‌های مختلف که حدود 50 عدد هستند، تقسیم می‌شود. به همین دلیل بین فعالیت‌های APT33 و فعالیت‌های گروه‌های خطر دیگر حمایت شده از سوی ایران همپوشانی‌هایی وجود دارد. این شرکت می‌گوید سازمان‌های دخیل در این ماجرا فعالیت‌های مثل تحقیق آسیب پذیری، کشف نقاط نفوذ و نهایتاً هدایت حمله به شبکه یا ایجاد اختلال را انجام داده‌اند. همچنین طبق داده‌ها این شرکت می‌گوید عملیات و اقدامات مختلف تهاجمی به گرو ه های مختلف سپرده شد است تا تشخیص یکپارچگی عملیات به‌سادگی قابل تشخیص نباشد.
به گفته آن‌ها یکی از سازمان‌هایی که در این عملیات مشارکت می‌کند، مرکز امنیتی کاوش است. داده‌هایی وجود دارد که نشان می هد این نهاد امنیتی با گروهی که مسئول جاسوسی از تأمین کننده نظامی ترکیه است، همکاری دارد.
تکنیک استفاده از بد افزارهای عمومی باعث می‌شود که بسیاری از فعالیت‌ها با فعالیت‌های مجرمانه دیگر تفاوتی نداشته باشند و قابل تشخیص نباشند. بسیاری از عملیات با همان تکنیک‌های فعالیت‌های مجرمانه انجام می‌شوند و در نتیجه در بسیاری از موارد کاملاً ناشناس باقی می‌مانند.

ظاهراً شرکت‌هایی که قبلاً توسط APT33 مورد هدف قرار گرفته‌اند باید خودشان را بیش از پیش آماده کنند. مثل شرکت‌های هواپیمایی، نظامی و تولید انرژی. مهم‌ترین کار برای این شرکت‌ها تمرکز بر روی تشخیص و کنترل دسترسی به سطوح مختلف است. مشابه همین هشدار را چندی پیش سازمان CISA ، سازمان امنیت سایبری زیرساخت‌ها داده بود.

منبع: arstechnica.com