ایران: هک فعالان، روزنامه‌نگاران، و سیاستمداران به دست عوامل مورد حمایت حکومت

(بیروت) – دیده‌بان حقوق بشر امروز گفت در کمپینی فیشینگ هویت و مهندسی اجتماعی  ادامه دار، هکرهای تحت حمایت حکومت ایران  دو نفر از کارکنان دیده‌بان حقوق بشر و حداقل ۱۸ نفر از فعالان، روزنامه‌نگاران، پژوهشگران، دانشگاهیان، دیپلمات‌ها، و سیاستمدار برجسته و فعال در موضوعات مرتبط با خاورمیانه را مورد هدف قرار داده‌اند.

تحقیق دیده‌بان حقوق بشر این حمله فیشینگ را به نهادی مرتبط با حکومت ایران به نام APT42 منسوب کرد که گهگاه با نام «بچه گربه ملوس» نیز شناخته می‌شود. تحلیل فنی که به شکل مشترک به دست آزمایشگاه امنیت عفو بین‌الملل و دیده‌بان حقوق بشر انجام شد ۱۸ قربانی دیگر را شناسایی کرد که در همین کمپین مورد هدف قرار گرفته‌اند. ایمیل و دیگر داده‌های حساس حداقل سه نفر از آنها در دسترس هکرها قرار گرفته است: خبرنگار یک روزنامه بزرگ آمریکایی، یک مدافع حقوق زنان ساکن منطقه خلیج فارس، و نیکلاس نوئه، مشاور تبلیغات سازمان پناهندگان بین‌الملل که در لبنان مستقر است.

عبیر غطاس، مدیر بخش امنیت اطلاعات دیده‌بان حقوق بشر گفت «هکرهای حکومت ایران به شکل تهاجمی در حال استفاده از تاکتیک‌های جمع‌آوری اطلاعات ورود به حساب‌های کاربری(credential harvesting) و مهندسی اجتماعی هستند تا به اطلاعات حساس و دفترچه تماس‌های گروه‌های جامعه مدنی و پژوهشگران حوزه خاورمیانه دسترسی پیدا کنند». او اضافه کرد «این امر خطری که متوجه روزنامه‌نگاران و مدافعان حقوق بشر در ایران و دیگر نقاط منطقه می‌شود را به شدت افزایش می‌دهد».

در مورد سه نفری که از نفوذ در حساب‌هایشان اطلاع در دست است، مهاجمان به ایمیل‌ها، آرشیو حافظه کلاود، تقویم‌ها، و دفترچه تماس‌ها دسترسی پیدا کردند و همچنین گوگل تیک‌آوت را اجرا کردند؛ گوگل تیک‌آوت سرویسی است که داده‌های خدمات اصلی و فرعی یک حساب گوگل را اکسپورت می‌کند.

چندین شرکت امنیتی درباره کمپین‌های فیشینگ APT42 و هدف گرفتن مخالفان، گروه‌های جامعه مدنی، و پژوهشگران حوزه خاورمیانه گزارش داده‌اند. بیشتر آنها APT42 را بر اساس الگوهای هدف‌گیری و شواهد فنی شناسایی می‌کنند. سازمان‌هایی از جمله گوگل، رکوردد فیوچر، پروف‌پرینت، و ماندیانت گروه APT42 را به مقامات ایرانی منتسب می‌کنند. شرکت امنیت سایبری آمریکایی ماندیانت در ماه سپتامبر این فعالیت‌ها را به سپاه پاسداران انقلاب اسلامی ایران منتسب کرد. شناسایی و نام بردن از یک بازیگر تهدید به پژوهشگران کمک می‌کند تا فعالیت سایبری ستیزه‌جویانه را مورد شناسایی، رهگیری، و پیوند قرار دهند.

در اکتبر ۲۰۲۲ یکی از کارکنان دیده‌بان حقوق بشر که در حوزه خاورمیانه و شمال آفریقا کار می‌کند در واتس‌اپ پیام‌هایی مشکوک از کسی دریافت کرد که تظاهر می‌کرد برای یک اندیشکده در بیروت لبنان کار می‌کند و او را به کنفرانسی دعوت می‌کرد. بررسی‌های مشترک نشان داد که لینک‌های فیشینگ ارسال‌شده از طریق واتس‌اپ، در صورت کلیک کردن روی آن‌ها، هدف را به یک صفحه لاگین جعلی هدایت می‌کردند که پسورد ایمیل فرد و کد تأیید را دریافت می‌کرد. تیم پژوهشی زیرساخت‌هایی را مورد بررسی قرار داد که لینک‌های مخرب را میزبانی می‌کردند و اهداف دیگری در این کمپین در حال ادامه را شناسایی کرد.

دیده‌بان حقوق بشر و عفو بین‌الملل با ۱۸ فرد برجسته شناسایی‌شده به عنوان اهداف این کمپین تماس گرفتند. پانزده نفر از آنها پاسخ دادند و تأیید کردند که آنها در بازه ۱۵ سپتامبر تا ۲۵ نوامبر ۲۰۲۲ پیام‌های واتس‌اپ مشابهی دریافت کرده‌اند.

در ۲۳ نوامبر ۲۲ دومین نفر از کارکنان دیده‌بان حقوق بشر نیز مورد هدف قرار گرفت. او همان پیام‌های واتس‌اپ را از همان شماره‌ای دریافت کرد که با دیگر هدف‌ها تماس گرفته بود.

تلاش‌های فیشینگ و مهندسی اجتماعی همچنان بخش‌های کلیدی حملات سایبری ایران هستند. از سال ۲۰۱۰ اپراتورهای ایرانی اعضای دولت‌های خارجی، نیروهای نظامی، و کسب و کارها، و همچنین مخالفان سیاسی و مدافعان حقوق بشر را مورد هدف قرار داده‌اند. در طول زمان این حملات در شیوه پیاده‌سازی آنچه «مهندسی اجتماعی» شناخته می‌شود پیچیده‌تر شده‌اند.

به گفته ماندیانت، شرکت امنیت سایبری در آمریکا، APT42 مسئول انجام چندین حمله فیشینگ در اروپا، آمریکا، و منطقه خاورمیانه و شمال آفریقا بوده است. در ۱۴ سپتامبر ۲۰۲۲ دفتر کنترل دارایی‌های خارجی وزارت خزانه‌داری آمریکا(اوفک) افراد مرتبط با گروه را تحت تحریم قرار داد.

بررسی‌ها همچنین ناکافی بودن حفاظت‌های امنیتی گوگل برای تأمین امنیت داده‌های کاربرانش را نشان داد. افرادی که به شکل موفق هدف حمله فیشینگ قرار گرفته‌اند به دیده‌بان حقوق بشر گفتند که آنها متوجه نشده بودند که به حساب جیمیل آنها نفوذ شده است یا گوگل تیک‌آوت آغاز شده است، زیرا هشدارهای امنیتی درباره فعالیت‌های حساب گوگل مورد پوش(push) قرار نمی‌گیرد و هیچ نوتیفیکیشن دائمی در اینباکس کاربر نمایش داده نمی‌شود و پیام پوش به اپ جیمیل افراد در گوشی‌هایشان ارسال نمی‌شود.

اکتیویتی امنیتی گوگل نشان داد که حمله‌کننندگان تقریباً بلافاصله پس از نفوذ به حساب اهداف دسترسی داشته‌اند و تا زمان اطلاع‌رسانی تیم تحقیقاتی دیده‌بان حقوق بشر و عفو بین‌الملل به هدف‌ها و کمک به آنها در رفع دستگاه‌های وصل شده مهاجمان، این دسترسی به حساب را حفظ کرده‌اند.

دیده‌بان حقوق بشر گفت گوگل باید فوراً هشدارهای امنیتی حساب جیمیل را تقویت کند تا از روزنامه‌نگاران، مدافعان حقوق بشر، و کاربرانش که بیش از دیگران در معرض ریسک هستند حفاظت بهتری به عمل بیاورد.

غطاس گفت «در خاورمیانه‌ای که پر از تهدیدهای نظارتی برای فعالان است، پژوهشگران امنیت دیجیتال نه تنها باید یافته‌هایشان را منتشر و ترویج کنند، بلکه باید برای حفاظت از فعالان، روزنامه‌نگاران، و رهبران جامعه مدنی مورد تهدید در منطقه اولویت قائل شوند».

تحلیل فنی کمپین فیشینگ

در ۱۸ اکتبر ۲۰۲۲ یکی از کارکنان دیده‌بان حقوق بشر که در حوزه خاورمیانه و شمال آفریقا کار می‌کند در واتس‌اپ پیام‌هایی از کسی دریافت کرد که ادعا می‌کرد برای اتاق فکری در لبنان کار می‌کند و دریافت‌کننده پیام را به یک کنفرانس دعوت می‌کرد. این دعوتنامه فرمتی مشابه دعوتنامه‌های قبلی این اتاق فکر داشت، که حاکی از سطحی پیشرفته از مهندسی اجتماعی است. فردی که هویتش در این پیام‌های واتس‌اپ توسط گروه بازیگر تهدید APT42 جعل شده بود پیش از این در این اتاق فکر کار می‌کرد.

همکار دیده‌بان حقوق بشر پیام‌ها را به تیم امنیت اطلاعات فوروارد کرد و آنها تأیید کردند که این پیام‌ها تلاشی برای فیشینگ هستند. اگر این فرد روی لینک cutly[.]biz کلیک کرده بود، او به آدرس https://sharefilesonline[.]live/xxxxxx/BI-File-2022.html هدایت می‌شد که میزبان یک صفحه لاگین جعلی مایکروسافت است:

لینک فیشینگ ارسال‌شده به همکار دیده‌بان حقوق بشر شامل مسیری تصادفی از پنج کاراکتر متشکل از حروف کوچک و اعداد است، که حدود ۶ میلیون جایگشت را ممکن می‌کند، و این امکان را فراهم می‌کند که تمامی مسیرهای موجود در زیرساخت حمله‌کنندگان را برشمرد و به پیوندهای موجود دیگر دست پیدا کرد. این کار سبب کشف ۴۴ آدرس معتبر دیگر شد، و خیلی از آنها به یک صفحه فیشینگ منتهی می‌شد که آدرس ایمیل هدف را نمایش می‌داد. این صفحات فیشینگ مشخصاً برای تقلید از صفحه‌های لاگین مایکروسافت، گوگل، و یاهو ساخته شده بودند.

بررسی‌های بیشتر نشان داد که کیت فیشینگ اجازه عبور از شیوه‌های احراز هویت چندعاملی غیر از کلید امنیتی سخت‌افزاری را ممکن می‌ساخت. احراز هویت چندعاملی(MFA)، که غالباً احراز هویت دوعاملی یا 2FA نامیده می‌شود، نیازمند شیوه‌های ثانویه احراز هویت علاوه بر پسورد است. عوامل ثانویه دوم شامل کد موقتی ارسال‌شده با پیامک، کد موقتی داده‌شده در یک اپ گوشی هوشمند(مثل FreeOTP یا Google Authenticator)، و کد تولیدشده توسط یک کلید امنیتی سخت‌افزاری(مثل Yubikey یا Solo Key) می‌شود. با استفاده از شیوه‌های فنی مختلف امکان‌پذیر است که جعبه ابزار فیشینگی ایجاد کرد که بعد از ارسال کد موقت توسط پیامک یا اپ گوشی هوشمند از احراز هویت چندعاملی عبور کرد. در حال حاضر برای کیت‌های فیشینگ امکان ندارد که از احراز هویت چندعاملی عبور کنند که از کلید سخت‌افزاری استفاده می‌کند.

چت‌های واتس‌اپ افرادی که از هدف‌گرفته شدن موفقشان اطلاع در دست نشان می‌دهد که حمله‌کنندگان در زمان کلیک کردن هدف‌ها روی لینک‌های فیشینگ مرتباً با آنها در تماس بوده‌اند. پس از آن که هدف‌ها اطلاعات ورودشان را در صفحه فیشینگ وارد می‌کردند از آنها خواسته می‌شد تا کدی را در صفحه‌ای برای عبور از 2FA وارد کنند، و حمله‌کنندگان از آن برای دسترسی به حساب ایمیل آنها استفاده می‌کردند. کیت‌های فیشینگ با امکانات عبور از MFA حداقل از سال ۲۰۱۸ معمول بوده‌اند، و آزمایشگاه امنیت عفو بین‌الملل چندین استفاده از چنین کیت‌هایی را علیه مدافعان حقوق بشر در ۲۰۱۸ و ۲۰۲۰ ثبت کرده است.

هدف گرفتن روزنامه‌نگاران و مدافعان حقوق بشر به دست APT42

علاوه بر دو همکار دیده‌بان حقوق بشر، عفو بین‌الملل و دیده‌بان حقوق بشر ۱۸ حساب ایمیل دیگر را نیز شناسایی کردند که در جریان این کمپین مورد هدف قرار گرفته بودند. این عده شامل ۶ روزنامه‌نگار می‌شدند.

دیده‌بان حقوق بشر و عفو بین‌الملل با همه افراد تماس گرفتند و ۱۵ نفر پاسخ دادند. آنها تأیید کردند که همه آنها در بازه زمانی ۱۵ سپتامبر تا ۲۵ نوامبر ۲۰۲۲ هدف رویکرد مهندسی اجتماعی مشابهی قرار گرفته‌اند. بین ۲۰ فرد مورد هدف، حداقل سه نفر مورد نفوذ بازیگر تهدید قرار گرفته بودند. تأیید نفوذ منجر شد تیم پژوهشی به اطلاعاتی بیشتر از فرایند استخراج داده‌ها دست پیدا کند. همچنین دیده‌بان حقوق بشر با قطع اتصال مهاجمان با حساب‌های روزنامه‌نگاران و ایمن‌سازی دوباره حساب‌ها این روزنامه‌نگاران را مورد پشتیبانی قرار داد.

این نفوذ به مهاجمان امکان دسترسی به ایمیل‌ها، درایو حافظه کلاود، تقویم‌ها، و دفترچه تماس‌های افراد مورد هدف را داد. در حداقل یک مورد، فرد مهاجم میل‌باکس او را سینک کرده و دست به اجرای گوگل تیک‌آوت زده بود؛ سرویسی که همه فعالیت‌ها و اطلاعات یک حساب از جمله سرچ‌های وب، پرداخت‌ها، سفرها و مکان‌ها، تبلیغ‌های کلیک‌شده، فعالیت در یوتیوب، و دیگر اطلاعات حساب را اکسپورت می‌کند. این جامع‌ترین و مداخله‌جویانه‌ترین شیوه استخراج داده‌های یک حساب گوگل است.

اکتیویتی امنیتی گوگل نشان داد که حمله‌کننندگان تقریباً بلافاصله پس از نفوذ به حساب اهداف دسترسی داشته‌اند و تا زمانی که دیده‌بان حقوق بشر به هدف‌ها اطلاع‌رسانی کرد و به آنها کمک کرد تا دستگاه‌های وصل شده مهاجمان را قطع کنند، یعنی حدود پنج روز، این دسترسی را حفظ کرده‌اند.

انتساب

تیم امنیت اطلاعات دیده‌بان حقوق بشر با اطمینانی بالا و بر اساس نشانگرهای فنی ویژه مرتبط با این حملات فیشینگ و زیرساخت‌های عملیاتی مورد استفاده مهاجمان در زمان دسترسی به حساب‌های تحت نفوذ، این حملات را به بازیگر تهدید ایرانی APT42 منتسب می‌کند که علاوه بر این از سوی پروف‌پرینت TA453، از سوی مایکروسافت فسفر، و از سوی کلیراسکای و سرتفا «گربه ملوس» خوانده می‌شود. فهرست اهداف APT42 که دیده‌بان حقوق بشر شناسایی کرده است همگی مرتبط با خاورمیانه، از جمله ایران، می‌شوند و یک حساب مورد نفوذ از یک آدرس آی‌پی در تهران مورد دسترسی قرار گرفته بود. چندین سازمان بر پایه تحقیقات خودشان درباره کمپین‌های مرتبط این انتساب را تأیید کرده‌اند.

سازمان‌های زیادی از جمله گوگل، و شرکت‌های امنیت سایبری مثل رکوردد فیوچر، و پروف‌پرینت، که حملات APT42 را مورد بررسی قرار داده‌اند به این نتیجه رسیده‌اند که APT42 از سوی مقامات ایرانی هدایت می‌شود. شرکت امنیت سایبری آمریکایی ماندیانت در ماه سپتامبر این فعالیت‌ها را به سپاه پاسداران انقلاب اسلامی ایران منتسب کرد.

سورس کد صفحه فیشینگ استفاده‌شده علیه این ۲۰ نفر شامل کد جاوااسکریپتی می‌شود که بسیار به کدی شبیه است که در یک صفحه فیشینگ میزبانی‌شده روی دامین mailer-daemon[.]net در نوامبر ۲۰۲۲ مورد استفاده قرار گرفته بود و بخشی از کمپین فیشینگی بود که توسط رکوردد فیوچر به بازیگر تهدید ایرانی APT42 منتسب شده بود. همین کد در اوت ۲۰۲۱ درcontinuetogo[.]me  یافته شده بود که بخشی از کمپین فیشینگی بود که از سوی گوگل به بازیگران تهدید تحت حمایت حکومت ایران منتسب شده بود.

دومین نفر از کارکنان دیده‌بان حقوق بشر، که در ۲۳ نوامبر ۲۰۲۲ مورد هدف قرار گرفت، همان پیام‌های واتس‌اپ را از همان شماره‌ای دریافت کردند که با دیگر هدف‌ها تماس گرفته بود. لینک مخرب به اشتراک گذاشته‌شده با او روی mailer-daemon[.]org  میزبانی می‌شد و مهاجمان از همان کوتاه‌کننده آدرس(cutly[.]biz) برای پنهان کردن اسم کامل دامین استفاده کرده بودند.

استفاده از کوتاه‌کننده‌های آدرس جعلی، غیرمعمول، و سفارشی پیش از این در حمله‌های منتسب به دیگر بازیگران تهدید ایرانی مثل فسفر علیه اهداف اسراییلی و آمریکایی در ژوئن ۲۰۲۲ دیده شده بود. آنها از litby[.]us استفاده کرده بودند.

بررسی زیرساخت مهاجمان نشان داد که همان گروه دامین uani[.]us را ثبت کرده بودند؛ دامینی با آدرس جعلی که گروه ذی‌نفوذ مستقر در آمریکا به نام اتحاد علیه ایران هسته‌ای را کپی می‌کند که در نوامبر ۲۰۲۱ هدف گربه ملوس قرار گرفته بود.

همه آدرس‌های آی‌پی مورد استفاده برای اتصال به حساب‌های مورد نفوذ از سرویس Express VPN بودند. با وجود این، دیده‌بان حقوق بشر یک آدرس آی‌پی ایرانی، 5.160.239.XXX، را پیدا کرد که به اینباکس یکی از اهداف وصل شده بود. این احتمالاً آدرس آی‌پی عمومی شبکه فرد مهاجم است، که شاید در نتیجه غفلت آنها از فعال کردن وی‌پی‌ان خود قبل از اتصال افشا شده باشد.

یکی از ویژگی‌های بسیار قابل توجه گروه‌های تهدید تحت حمایت حکومت ایران فیشینگ هدف‌گیری شده با دقت بالا و تکنیک‌های مهندسی اجتماعی و جعل هویت برگزارکنندگان کنفرانس‌ها و اجلاس‌ها برای اعتمادسازی و برقراری رابطه با اهدافشان است. در این حمله APT42 از اتاق فکر مستقر در لبنان برای فریب دادن اهدافش استفاده کرد. سازمان‌دهندگان کنفرانس امنیتی مونیخ و اجلاس تینک۲۰(T20) در عربستان سعودی به شیوه مشابه مورد جعل هویت قرار گرفته‌اند.

گزارش اخیر ماندیانت درباره APT42 اطلاعات جزیی بیشتری درباره تفاوت‌ها و پیوندها بین گروه‌های APT35 و APT42 ارائه می‌کند. ماندیانت هر دو را به سپاه پاسداران ایران منتسب می‌کند. برای مثال، پس از انتشار این گزارش، سرتفا انتساب یک کمپین را از APT35 به APT42 تغییر داده است.

جزییات فنی اقدامات بعد از نفوذ و نشانگرهای نفوذ
دیده‌بان حقوق بشر در جریان تحقیقات از روزنامه‌نگاران و مدافعان حقوق بشری که مورد نفوذ این کمپین فیشینگ قرار گرفته بودند پشتیبانی به عمل آورد. این به دیده‌بان حقوق بشر این امکان را داد که از اقدامات پس از نفوذ مهاجمان کسب اطلاع کند.

در حداقل یک مورد مهاجمان دست به اجرای گوگل تیک‌آوت زدند؛ سرویسی که تمام اطلاعات و فعالیت‌های یک حساب از جمله سرچ‌های وب، پرداخت‌ها، سفرها و مکان‌ها، تبلیغ‌های کلیک‌شده، فعالیت در یوتیوب، و دیگر اطلاعات حساب را اکسپورت می‌کند. این جامع‌ترین و مداخله‌جویانه‌ترین شیوه استخراج داده‌های یک حساب گوگل است. استفاده از گوگل تیک‌آوت برای استخراج داده از حساب مورد نفوذ با خصوصیت‌های ابزار HYPERSCRAPE شناسایی‌شده توسط گروه تحلیل تهدید گوگل همخوانی دارد، اما دیده‌بان حقوق بشر بر اساس لاگ‌هایی که به آن دسترسی داشت نتوانست تأیید کند که این ابزار مورد استفاده قرار گرفته است یا خیر.

برای چندین هدف، مهاجمان میل‌باکس مورد نفوذ را به یکی از سرویس‌های مایکروسافت سینک کردند تا محتویات میل‌باکس را استخراج کنند. تا جایی که می‌دانیم این اولین باری است که این رفتار به عنوان تاکتیک پس از نفوذ مورد استفاده APT42 گزارش می‌شود.

اکتیویتی امنیتی گوگل نشان داد که مهاجمان تقریباً بلافاصله بعد از نفوذ به حساب اهدافشان به آنها دسترسی گرفته بودند و تا زمانی که ما به اهداف اطلاع دادیم و به آنها کمک کردیم تا وسایل متصل‌شده مهاجمان را قطع اتصال کنند به این دسترسی ادامه داده بودند.

بر اساس لاگ‌های امنیتی گوگل، ما آدرس‌های آی‌پی استفاده شده برای اتصال به حساب مورد نفوذ را شناسایی کردیم

ما نام کامپیوتر مشابهی را دیدیم که به همه حساب‌های مورد نفوذ وصل شده بود:

DESKTOP-F8QNCC0.

نشانگرهای نفوذ

شماره‌های واتس‌اپس مورد استفاده مهاجمان:

1. +12343121624
2. +12092330560
3. +18045001154

forms.office.com/r/sn1EBES4u0

cutly[.]biz

hxxps://sharefilesonline[.]live/xxxxxx/BI-File-2022.html

hxxps://sharefilesonline[.]live/xxxxxx/G-check-first.html

hxxps://sharefilesonline[.]live/xxxxxx/G-transfer.html

hxxps://sharefilesonline[.]live/xxxxxx/continue.html

hxxps://sharefilesonline[.]live/xxxxxx/index.php

hxxps://mailer-daemon[.]net/file=sharing=system/xxxxxx/first.check.html

hxxp://mailer-daemon[.]org/ xxxxxx /index.php

DESKTOP-F8QNCC0

5.160.239.XXX