گوگل: تله‌گذاری اینترنتی یک گروه هکری مرتبط با سپاه پاسداران برای کاربران اسرائیلی و آمریکایی شدت گرفته است

بخش دانش و فن‌آوری

چهارشنبه ۱۴ اوت / ۲۴ مرداد، گروه «تحلیل تهدیدهای گوگل» (TAG) گزارشی از کارزارهای فیشینگ هدفمند گروه APT42 علیه اهداف اسرائیلی و آمریکایی منتشر کرد.

فیشینگ (رمزگیری یا تله‌گذاری) به تلاش برای به دست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی، آیپی و مانند آن‌ها از طریق جعل یک وب‌سایت، آدرس ایمیل، درگاه پرداخت و مانند آن‌ها گفته می‌شود.

• بیشتر بخوانید: مقابله با فیشینگ

به گفته TAG، این گروه تحت حمایت دولت جمهوری اسلامی ایران است. گوگل همچنین گزارش‌های اخیر در مورد هدف قرار دادن حساب‌های مرتبط با انتخابات ریاست‌جمهوری آمریکا توسط APT42 را تایید کرده است.

بر اساس گزارشی که در بخش بلاگ گوگل منتشر شده است، APT42 که با سپاه پاسداران انقلاب اسلامی ایران (IRGC) مرتبط است، به طور مداوم کاربران شناخته‌شده‌ای را در اسرائیل و ایالات متحده هدف قرار می‌دهد. مقام‌های فعلی و سابق دولتی، کنشگران سیاسی، دیپلمات‌ها، افرادی که در اندیشکده‌ها کار می‌کنند، و همچنین سازمان‌های غیر دولتی و مؤسسات علمی که در بحث‌های سیاست خارجی نقش دارند از جمله این کاربران هستند.

در شش ماه گذشته، ایالات متحده و اسرائیل حدود شصت درصد از هدف‌گیری جغرافیایی APT42 را تشکیل داده‌اند. گوگل این فعالیت‌ها را نشان‌دهنده «تلاش‌های چندجانبه و تهاجمی گروه برای تغییر سریع تمرکز عملیاتی خود در حمایت از اولویت‌های سیاسی و نظامی ایران» می‌داند.

در آپریل سال جاری میلادی، APT42 هدف‌گیری کاربران مستقر در اسرائیل را تشدید کرد. آن‌ها به دنبال افراد مرتبط با ارتش و بخش دفاعی اسرائیل، و همچنین دیپلمات‌ها، دانشگاهیان، و سازمان‌های غیر دولتی مرتبط بودند.

بنا بر این گزارش، گروه APT42 از تاکتیک‌های مختلفی به عنوان بخشی از کارزارهای فیشینگ ایمیلی خود استفاده می‌کند – از جمله میزبانی بدافزارها، صفحات فیشینگ و تغییر مسیرهای مخرب. آن‌ها معمولاً سعی می‌کنند از خدماتی مانند گوگل (مانند سایت‌ها، درایو، جیمیل و غیره)، دراپ‌باکس، وان‌درایو و غیره برای این مقاصد سوء استفاده کنند.

در یکی از این موارد، TAG چندین صفحه ایجادشده توسط APT42 در گوگل‌سایت‌ها را که ظاهراً توماری اینترنتی از طرف یک آژانس قانونی یهودی حامی اسرائیل به‌ظاهر می‌رسید، تعطیل کردیم. متن دادخواست به‌جای HTML در فایل‌های تصویری جاسازی شده بود. صفحه سایت شامل یک آدرس اینترنتی تغییر مسیر بود، که APT42 قبلاً از آن برای هدایت کاربران به صفحات فیشینگ استفاده کرده است.

بنابر این گزارش، APT42 همچنین تلاش کرده تا با استفاده از مهندسی اجتماعی، مقام‌های ارشد سابق نظامی اسرائیل و یک مدیر اجرایی صنایع هوایی را هدف قرار دهد. این اقدام از طریق ارسال ایمیل‌هایی که ظاهراً یک خبرنگار فرستاده بود و در مورد حملات هوایی اخیر نظر می‌خواست انجام شده است.

آن‌ها همچنین ایمیل‌های مهندسی اجتماعی به دیپلمات‌های اسرائیلی، دانشگاهیان، سازمان‌های غیر دولتی و نهادهای سیاسی ارسال کردند. ایمیل‌ها از حساب‌های میزبانی‌شده توسط سرویس‌های مختلف ایمیل ارسال شدند و حاوی محتوای مخرب نبودند. این ایمیل‌ها احتمالاً برای جلب مشارکت از دریافت‌کنندگان قبل از تلاش APT42 برای ضربه‌زدن به اهداف ارسال شده بودند. گوگل می‌گوید حساب‌های جیمیل مرتبط با APT42 را تعلیق کرده است.

• بیشتر بخوانید: محافظت از اطلاعات شخصی در شبکه‌های اجتماعی

Ad placeholder

APT42 در چندین کارزار از آپریل ۲۰۲۴ با ظاهرسازی به عنوان «مؤسسه سیاست خاور نزدیک واشنگتن» دیپلمات‌ها و خبرنگاران اسرائیلی، محققان در اندیشکده‌های آمریکایی و دیگران را هدف قرار داده است. در این کارزارها، مهاجمان نام نمایشگر ایمیل را به نام یک محقق مشروع مرتبط با مؤسسه واشنگتن تنظیم کردند، اما آدرس ایمیل از دامنه رسمی org نبود.

بر اساس این گزارش، گوگل فعالیت‌های APT42 برای هدف‌گیری حساب‌های مرتبط با کمپین‌های ریاست‌جمهوری بایدن و ترامپ را نیز از انتخابات ۲۰۲۰ تاکنون رصد و مختل کرده است.

در انتخابات ریاست‌جمهوری 2024، TAG فعالیت رمزگیری این گروه را شناسایی و مختل کرده است. در ماه‌های مه و ژوئن سال جاری، اهداف APT42 شامل حساب‌های ایمیل شخصی حدود دوازده نفر مرتبط با جو بایدن و دونالد ترامپ بوده است.

این گزارش همچنین می‌گوید APT42 به‌طور موفقیت‌آمیز به حساب‌هایی در چندین ارائه‌دهنده ایمیل نفوذ کرده است. TAG هنوز هم شاهد تلاش‌های ناموفق APT42 برای نفوذ به حساب‌های شخصی افراد مرتبط با رئیس‌جمهور بایدن، معاون رئیس‌جمهور هریس و دونالد ترامپ است.

گروه اطلاعات تهدیدهای گوگل که شامل TAG و Mandiant می‌شود، در شناسایی، نظارت و مقابله با تهدیدات، از عملیات‌های تأثیرگذاری هماهنگ گرفته تا کمپین‌های جاسوسی سایبری علیه نهادهای با ریسک بالا، فعالند. TAG بیش از ۲۷۰ گروه مهاجم تحت پیشتبانی بیش از ۵۰ دولت را رصد و برای مختل کردن آن‌ها تلاش می‌کند. این گزارش در پایان با اشاره به APT42 می‌گوید:

[این گروه] یک بازیگر تهدیدگر پیچیده و توقف‌ناپذیر است و هیچ نشانه‌ای از توقف تلاش‌هایش برای هدف‌گیری کاربران و استفاده از تاکتیک‌های جدید نشان نمی‌دهد. در بهار و تابستان امسال، آن‌ها توانایی اجرای چندین کارزار فیشینگ همزمان را نشان داده‌اند، که به‌ویژه بر اسرائیل و ایالات متحده تمرکز داشتند. با تشدید خصومت‌ها بین ایران و اسرائیل، می‌توانیم انتظار داشته باشیم که کمپین‌های بیشتری از APT42 در آنجا مشاهده کنیم.