بررسی‌های منتشر شده از سوی شرکت امنیت سایبری "پروف‌پوینت"، نشان می‌دهد این حمله‌ها در راستای کارزار مهندسی اجتماعی تازه‌ای از سوی سپاه پاسداران انقلاب اسلامی است که هدف آن جمع‌آوری اطلاعات حساس است.

فعالیت‌های این گروه هکری که تی‌ای۴۵۳ (TA453) نامگذاری شده است با سایر گروه‌های هکری وابسته به جمهوری اسلامی مانند ای‌پی‌تی۴۲ (APT42)، «بچه‌گربه‌های دلربا» و «فسفروس» همپوشانی دارد.

این هکرها در کارزار جدید طراحی شده با جعل هویت اشخاص فعال در سازمان‌های پژوهشی سیاست خارجی در غرب، تلاش کرده‌اند تا به نیابت از سپاه پاسداران انقلاب اسلامی به جمع‌آوری اطلاعات بپردازند.

شخصیت‌های جعلی ساخته شده به وسیله این هکرها شامل افراد فعالی در مجموعه‌هایی مانند «مرکز تحقیقات پیو»، «موسسه تحقیقات سیاست خارجی»، «موسسه سلطنتی روابط بین‌المللی چتم‌هاوس» و نیز مجله «نیچر» است.

گفته می‌شود تکنیک جدید به کار رفته در این کارزار از اواسط ماه ژوئن سال ۲۰۲۲ اجرایی شده است.

آن‌چه این کارزار فیشینگ را از دیگر حمله‌ها در گذشته متمایز می‌کند، استفاده از شیوه‌ای است که آن را «جعل هویت چند شخصیتی» نامگذاری کرده‌اند.

هکرها در این شیوه به جای استفاده از یک هویت جعلی، همزمان چند هویت جعلی تحت کنترل را برای ارتباط با قربانی به کار می‌گیرند تا از این طریق شانس موفقیت حمله را افزایش دهند.

هدف از اعمال این ایده که بر اساس اصل روان‌شناسی «اثبات اجتماعی» عمل می‌کند این است که اعتبار مکاتبات با قربانی هدف را افزایش و احتمال کشف ساختگی بودن موضوع، افراد و گفت‌وگوها را کاهش دهد.

نکته قابل توجه در این تکنیک، نیازمندی آن به استفاده از منابع بیشتر به ازای هر هدف و احتمالا لو دادن هویت‌های جعلی بیشتر است.

این شیوه همچنین نیازمند هماهنگی بالاتری برای مدیریت همزمان چندین هویت جعلی است.

هکرها در این شیوه، هنگام ارسال ایمیل خود از طرف یک هویت جعلی، چند هویت جعلی دیگر را نیز به آن ایمیل اضافه می‌کنند. پس از آن که مخاطب هدف به ایمیل ارسالی اول پاسخ می‌دهد، هکرها در ایمیل‌های بعدی، لینک یک سند آلوده مایکروسافت آفیس را برای او ارسال می‌کنند.

این فایل با استفاده از راهکاری که به آن «تزریق قالب از راه دور» (Remote Template Injection) می‌گویند، پس از اجرا به هکر اجازه می‌هد تا به نام‌های کاربری، فهرستی از فعالیت‌های در حال اجرای سیستم و نیز آدرس آی‌پی قربانی دسترسی پیدا کند.

در یکی از نمونه‌ها، هکرها با جا زدن خود به جای آرون استین (Aaron Stein)، مدیر پژوهش در موسسه تحقیقات سیاست خارجی، سعی می‌کنند از قربانی سوالاتی درباره اسرائیل، عراق، کشورهای حاشیه خلیج فارس و پیمان ابراهیم بپرسند. در حالی که این گونه پرسش‌ها عموما برای ایجاد بهانه‌ای به منظور ارسال لینک فیشینگ یا فایل مخرب در مراحل بعدی کاربرد دارند، این احتمال نیز وجود دارد که چنین سوالاتی مستقیما از طرف سپاه با اهداف اطلاعاتی از قربانی پرسیده شوند.

در این نمونه مورد اشاره، به جز هویت جعلی اولیه، نام ریچارد وایک (Richard Wike)، مدیر تحقیقات نگرش‌های جهانی در مرکز تحقیقات پیو به عنوان هویت جعلی دوم دیده می‌شود.

یک روز پس از ارسال ایمیل از سوی آرون استین، ریچارد وایک جعلی نیز وارد گفت‌وگو شده و از قربانی خواهش می‌کند تا نظراتش را در رابطه با موضوع یاد شده با آن‌ها به اشتراک بگذارد.

گزارش منتشر شده شرکت امنیت سایبری پروف‌پوینت نشان می‌دهد هکرها در این شیوه صرفا به استخراج داده‌ها بسنده می‌کنند و هیچ بهره‌برداری دیگری پس از نفوذ در سیستم انجام نمی‌شود.

این رفتار مشکوک احتمال حمله مجدد به قربانی را به کمک اطلاعات جمع‌آوری شده، افزایش می‌دهد.

هفته گذشته نیز شرکت امنیت سایبری مندیانت، از یک گروه هکری وابسته به سازمان اطلاعات سپاه پرده برداشته بود.

همچنین واحد امنیت شرکت مایکروسافت در گزارشی از حمله‌های باج‌افزاری گروه هکری دِوْ۰۲۷۰ (DEV-0270) خبر داده بود که تحت نام‌های مستعار عمومی سک‌نرد (Secnerd) و لایف‌وب (Lifeweb) فعالیت می‌کند.

حمله‌های سایبری هکرهای سپاه پاسداران در حالی است که نمایندگی دائم آلمان در سازمان ملل به تازگی در واکنش به حمله سایبری اخیر عوامل جمهوری اسلامی علیه آلبانی، بر لزوم پاسخگو کردن ایران در ارتباط با این حمله به زیرساخت‌های آلبانی تاکید کرده است.

نمایندگی دائم آلمان در سازمان ملل گفته است: «امنیت سایبری موضوعی حیاتی است و نماینده سیاست خارجی در امور سایبری آلمان، بر عزم ما برای پاسخگویی مناسب به این مساله در همکاری با شرکا تاکید کرده است.»

با این حال مرکز ملی فضای مجازی جمهوری اسلامی گزارش آلبانی درباره حمله سایبری ایران علیه این کشور را «بی‌اساس» خوانده و اعلام کرده است برای هماهنگی در خصوص اعزام هیات فنی به منظور بررسی موضوع و تبادل اطلاعات فنی آمادگی دارد.