حمله خاموش سایبری؛ اسرائیل از جاسوسی «بیسابقه» منتسب به ایران پرده برداشت
اسرائیل اعلام کرد یک کارزار سایبری پیچیده و هدفمند که آن را به ایران نسبت میدهد، شماری از مسئولان و شخصیتهای حساس این کشور را هدف قرار داده است؛ حملهای که بهگفته مقامهای امنیتی «بیسابقه» بوده و با نام رمز «SpearSpecter» شناسایی شده است.
روزنامه «یدیعوت آحارونوت» گزارش داد این عملیات به گروهی مرتبط با دستگاه اطلاعاتی سپاه پاسداران نسبت داده شده و بر پایه مهندسی اجتماعی عمیق طراحی شده است.
بهگفته آژانس ملی دیجیتال اسرائیل، این گروه که با نامهایی مانند APT42 و CharmingCypress نیز شناخته میشود، رویکردی متفاوت از حملات گسترده و کور در پیش گرفته و بر نفوذ دقیق به افراد مشخص در بخشهای دفاعی و دولتی متمرکز است. نیر بار یوسف، رئیس واحد سایبری آژانس، اعلام کرد مهاجمان روزها یا حتی هفتهها صرف ایجاد ارتباطی شبیه رابطه حرفهای یا شخصی واقعی با اهداف خود میکنند. او گفت این حملات دیگر صرفا برای سرقت گذرواژهها انجام نمیشود، بلکه هدف، ایجاد دسترسی طولانیمدت و پنهان به افراد کلیدی است.
در این گزارش آمده است که تاکتیکهای متداول مهاجمان شامل دعوتنامههای ظاهرا معتبر برای شرکت در «کنفرانسهای معتبر» یا تنظیم «جلسات سطح بالا» است. ایران تاکنون نه این ادعاها را تایید کرده و نه آنها را رد کرده است.
یکی از ابزارهای محوری این شبکه، پیامرسان واتساپ معرفی شده است؛ بستری که بهدلیل ظاهر آشنا، زمینهساز ایجاد اعتماد اولیه با هدف میشود. کارشناسان امنیتی توضیح دادند پس از مرحله شناخت اولیه، فرد مهاجم با هویت جعلی، اما مبتنی بر شخصیتی واقعی، با هدف تماس میگیرد و پس از جلب اطمینان، لینکی آلوده ارسال میکند که زنجیره حمله را فعال میکند. برای اهداف کماهمیتتر، صفحات جعلی جلسه آنلاین به کار گرفته میشود که دادههای ورود کاربر را در همان لحظه ثبت میکند.
اما در مورد افراد با ارزش اطلاعاتی بالا، مهاجمان تلاش میکنند یک «در پشتی» پیشرفته با نام «TAMECAT» را نصب کنند؛ ابزاری مبتنی بر پاورشل که شرکت گوگل آن را شناسایی کرده و ردیابی آن با ابزارهای معمول امنیتی دشوار است. همچنین از قابلیتهای داخلی ویندوز و پروتکل WebDAV برای آمادهسازی محموله آلوده استفاده میشود.
برای پنهانسازی جریان اطلاعات، زیرساخت فرماندهی و کنترل حمله بر بستر سرویسهای مشروعی مانند تلگرام و دیسکورد بنا شده است؛ روشی که باعث میشود تبادل دادهها طبیعی به نظر برسد. بار یوسف تأکید کرد در فضای کنونی تهدیدات سایبری «اصل نخست این است: یک بار بررسی کن، دوباره بررسی کن و سپس دوباره مطمئن شو».
