سایت ملیون ایران

یک گروه هکری تازه مرتبط با جمهوری اسلامی، بخش فناوری اطلاعات اسرائیل را هدف گرفت

 

ایران اینترنشنال

شرکت امنیت سایبری چک‌پوینت گزارش داد یک گروه هکری تازه مرتبط با جمهوری اسلامی، از اوایل سال ۲۰۲۶ سازمان‌های دولتی و نهادهای فعال در حوزه فناوری اطلاعات اسرائيل را هدف قرار داده است.

واحد پژوهشی شرکت چک‌پوینت، مستقر در تل‌آویو، در گزارشی که دوشنبه ۱۵ تیر منتشر کرد،این گروه را با نام «کَوِرن مانتیکور» شناسایی و دنبال می‌کند. به گفته این شرکت، روش‌های فنی این گروه با دو گروه هکری دیگر به نام‌های «مادی‌واتر» و «لیسیوم» شباهت دارد. پیش‌تر فاش شده بود که این گروه‌هابه وزارت اطلاعات جمهوری اسلامی مرتبط‌اند.

پژوهشگران چک‌پوینت همچنین می‌گویند این گروه از یک زیرساخت ماژولار برای فرماندهی و کنترل حملات سایبری استفاده کرده است به گفته آنها این زیرساخت پیش از این شناسایی و مستند نشده بود.

بر اساس این گزارش، تمرکز اصلی عملیات این گروهی هکری بر سازمان‌های اسرائیلی، به‌ویژه ارائه‌دهندگان خدمات فناوری اطلاعات و نهادهای دولتی است.

در بخش دیگری از این گزارش آمده است: توانایی این گروه در نفوذ به سازمان‌های دفاعی و دولتی اسرائیل، هم‌زمان با کارزار نظامی آمریکا در ایران، نشان می‌دهد این گروه با سرعت بالا عمل و اهداف خود را با دقت انتخاب می‌کند.»

  • اسرائیل از افزایش چشمگیر حملات سایبری جمهوری اسلامی پس از جنگ اخیر خبر داد

کَوِرن مانتیکور چطور عمل می‌کند؟

منظور از «زیرساخت ماژولار یا چندبخشی» این است که ابزار هکری این گروه از چند بخش جداگانه ساخته شده و هر بخش کار مشخصی انجام می‌دهد. این ساختار به مهاجمان امکان می‌دهد حمله را برای هر هدف تغییر دهند و اگر یک بخش شناسایی شد، بخش‌های دیگر همچنان پنهان بمانند.

به گفته چک‌پوینت، گروه کَوِرن مانتیکور معمولا برای ورود به شبکه‌های هدف، از نرم‌افزارهای مدیریت و نظارت از راه دور، موسوم به آراِم‌اِم سوءاستفاده می‌کند. این نرم‌افزاره معمولا برای کنترل و پشتیبانی سیستم‌ها از راه دور به کار می‌روند.

این گروه با استفاده از همین ابزارها می‌تواند در شبکه قربانی جابه‌جا شود و بدافزارهای خود را در قالب به‌روزرسانی‌های عادی و معتبر نصب کند.

یکی دیگر از روش‌های این گروه برای دسترسی اولیه، سوءاستفاده از ابزارهای دسکتاپ از راه دورِ مبتنی بر مرورگر است؛ از جمله قابلیت‌هایی مانند چاپ از راه دور. این روش به مهاجمان کمک می‌کند در شرایطی که کُپی و پِیْست یا انتقال فایل محدود شده است، همچنان داده‌ها را از شبکه هدف خارج کنند.

  • ادامه بحران سایبری در شبکه بانکی ایران؛ از شائبه «تعارض منافع» تا تکذیبیه بانک مرکزی

پس از ورود اولیه، این گروه به‌روزرسانی نرم‌افزار SysAid را فعال می‌کند؛ اقدامی که در نهایت به نصب فایل‌ها و اجزای مخرب در محیط هدف منجر می‌شود.

ارتباط با دیگر گروه‌های هکری ایرانی

گزارش واحد پژوهشی شرکت چک‌پوینت در بخش مربوط به قربانیان، نوشته است که تمرکز اصلی کَوِرن مانتیکور بر اهداف اسرائیلی است و این گروه به‌طور خاص به سازمان‌های دولتی و شرکت‌های فعال در بخش فناوری اطلاعات توجه دارد. چک‌پوینت می‌گوید شواهد نشان می‌دهد این گروه شناخت خوبی از زنجیره پیچیده تأمین‌کنندگان فناوری اطلاعات در اکوسیستم سایبری اسرائیل دارد.

در بخش دیگری آمده است که چک‌پوینت هنگام بررسی ابزارهای قدیمی‌تر کَوِرن مانتیکور، یک ماژول ارتباطی به نام CAV3RN_Http_Module شناسایی کرده است. به گفته این شرکت، برخی روش‌های ارتباطی این ابزار با روش‌هایی همخوانی دارد که پیش‌تر در عملیات‌های منتسب به زیرگروه «لیسیوم» دیده شده بود.

چک‌پوینت همچنین می‌گوید چند همپوشانی دیگر نیز احتمال ارتباط این فعالیت با ایران را تقویت می‌کند. از جمله اینکه هدف قرار دادن سرورهای SysAid پیش‌تر در فعالیت‌هایی دیده شده بود که به عاملان همسو با وزارت اطلاعات ایران، از جمله گروه «مادی‌واتر»، نسبت داده شده‌اند.

  • مونته‌نگرو یک شهروند ایرانی تحت تعقیب آمریکا به اتهام حملات سایبری را بازداشت کرد

گزارش اضافه می‌کند که این کارزار نیز مانند برخی فعالیت‌های قبلی، بر ارائه‌دهندگان بزرگ خدمات فناوری اطلاعات در اسرائیل متمرکز بوده است.

در نهایت، چک‌پوینت می‌گوید دامنه اصلی مشاهده‌شده در این کارزار، یعنی hospitalinstallation[.]com، نشان داده که این دامنه از طریق «فارس دِیتا»، یک ارائه‌دهنده ایرانی خدمات میزبانی، ثبت شده است.

در نتیجه‌گیری گزارش نیز آمده است که کَوِرن مانتیکور نشانه‌ای از ادامه تکامل توانمندی‌های سایبری مرتبط با جمهوری اسلامی است.

چک‌پوینت همچنین می‌گوید توانایی این مهاجم در دسترسی به سازمان‌های دفاعی و دولتی، هم‌زمان با کارزار نظامی آمریکا با نام «عملیات اپیک فیوری»، نشان‌دهنده سرعت عملیاتی بالا و دقت در انتخاب اهداف است.

 

Exit mobile version