شرکت امنیت سایبری Mandiant در گزارش تازه خود از یکی از گروههای هکری وابسته به سازمان اطلاعات سپاه پرده برداشت. عمده عملیات این گروه شامل جمعآوری اطلاعات حسابهای آنلاین افراد از طریق حملات فیشینگ، جاسوسی از فعالیتهای آنلاین قربانیان و تولید و پخش بدافزار بوده است.
اولین ردپاهای فعالیتهای این گروه که APT42 نامگذاری شدهاند دست کم به سال ۲۰۱۵ میلادی برمیگردد. اهداف این گروه بیشتر علیه طیف مختلفی از اشخاص و سازمانهایی است که جاسوسی از آنها با اولویتها ومنافع جمهوری اسلامی ایران همسویی استراتژیک دارد.
عملیات گروه APT42 که با هدف ایجاد اعتماد در قربانی هدف طراحی شدهاند، شامل دسترسی به حسابهای شخصی و سازمانی مقامات دولتی، چهرههای سیاسی یا سیاستگذاران سابق ایرانی، فعالان گروههای ضد نظام، خبرنگاران و اساتید دانشگاهی که درباره ایران تحقیقات میکردند بوده است.
این گروه پس از آن که موفق به سرقت اطلاعات حساب قربانیان خود میشد، در مواردی اقدام به نصب بدافزار روی دستگاههای ویندوزی یا گوشی اندرویدی آنها میکرد.
این بدافزار قادر بود تا موقعیت مکانی فرد را گزارش کند، به ضبط مکالمات تلفنی بپردازد، به تصاویر و ویدیوهای روی گوشی دسترسی پیدا کند و کلیه پیامکهای موجود در دستگاه را به مهاجم ارسال کند.
دنبال کردن ردپاهای APT42 در بیش از ۳۰ عملیات در ۱۴ کشور مختلف از جمله استرالیا، کشورهای اروپایی، خاورمیانه و ایالات متحده آمریکا نشان داده این گروه در بازههای مختلف زمانی تمرکز عملیات خود را بسته به اولولیتهای جمهوری اسلامی تغییر داده است.
در یکی از حملات APT42 که در سال ۲۰۲۰ و در دوره ابتدایی همهگیری کرونا در جهان اتفاق افتاده است، این گروه با ارسال ایمیلهای جعلی تحت عنوان یک متخصص واکسن از دانشگاه آکسفورد، تلاش داشت تا شرکتهای دارویی خارجی را هدف حمله و سرقت اطلاعات قرار دهد.
اعضای این گروه همچنین سال گذشته با استفاده از آدرس ایمیلهای لو رفته از سازمانهای رسانهای آمریکایی، با ارسال درخواستهای مصاحبه جعلی، پیش از آن که لینک صفحات فیشینگ را برای سرقت اطلاعات قربانیان بفرستند، با برخی از آنها برای مدت ۳۷ روز در تماس و گفتگو بودهاند.
محققان شرکت Mandiant بر این باورند که با توجه به نفوذ ناپذیری APT42 در برابر گزارشهای عمومی یا از میان بردن زیرساختهای فنی، این گروه در بلندمدت کماکان عملیات جاسوسی خود را برای منافع جمهوری اسلامی ایران ادامه خواهد داد.
علاوه بر این، الگوهای رفتاری و تکنیکی این گروه در سالهای گذشته نشان میدهد APT42 با یکی دیگر از گروههای هکری جمهوری اسلامی که با نام APT35 یا «بچه گربههای دلربا» شناخته میشوند ارتباط دارد.
