جاسوسی سایبری شرکت «امنبان» از خطوط هوایی جهان
اسناد منتشر شده از سوی یک پژوهشگر امنیت اینترنت نشان میدهند شرکتی به نام امنبان، وابسته به جمهوری اسلامی، مسئول حملات سایبری به خطوط هوایی بینالمللی در شماری از کشورها بوده است.
اسناد منتشر شده از سوی یک پژوهشگر امنیت اینترنت نشان میدهند شرکتی به نام امنبان، وابسته به جمهوری اسلامی، مسئول حملات سایبری به خطوط هوایی بینالمللی در شماری از کشورها بوده است.
نریمان غریب، پژوهشگر امنیت اینترنت ساکن لندن، در جدیدترین تحقیق خود اطلاعات گستردهای از عملیات جاسوسی سایبری شرکت «امنبان، فناوریهای پیشرفته شریف» را منتشر کرد.
این یافتهها نشان میدهند این شرکت، تحت پوشش خدمات امنیت سایبری، عملیات سایبری متنوعی علیه خطوط هوایی بینالمللی انجام داده که در دایره اقدامات سایبری برای دستگاه اطلاعاتی جمهوری اسلامی بوده است.
غریب که به دادههای بسیاری از سرورهای داخلی این شرکت دست یافته، نوشت: «هکرهایی که قول دادند شبکههای ایران را محافظت کنند، حتی نتوانستند از شبکه خودشان محافظت کنند.»
این شرکت که در سال ۱۳۹۸ با ادعای ارائه خدمات امنیت سایبری و با استخدام فارغالتحصیلان دانشگاههای شریف و امیرکبیر تاسیس شد، در واقع بازوی عملیاتی گروه هکری APT39 بوده است.
گروه سایبری APT39 با وزارت اطلاعات جمهوری اسلامی در ارتباط است.
در سالهای قبل، یکی از شرکتهای پوششی این گروه با نام «رایانش هوشمند رانا» از سوی وزارت خزانهداری آمریکا تحریم شد.
حملات گسترده به خطوط هوایی بینالمللی
اسناد فاش شده نشان میدهند امنبان بهطور سیستماتیک و تحت پوشش «آموزش OSINT» خطوط هوایی متعددی را هدف حملات سایبری قرار داده است.
غریب تاکید کرد در این فهرست، خطوط هوایی کشورهای متحد جمهوری اسلامی مانند روسیه و قطر در کنار خطوط هوایی کشورهایی که تهران آنها را متخاصم میداند، قرار دارند.
ارتباط مستقیم با وزارت اطلاعات جمهوری اسلامی
یکی از مهمترین بخشهای این افشاگری، اسناد و مدارک ارتباط مستقیم امنبان با وزارت اطلاعات است.
بهنام امیری، مدیرعامل این شرکت، پیش از این از سوی آژانسهای اطلاعاتی غربی برای ارتباط با APT39 شناسایی شده بود.
امیری همچنین علی کمالی را استخدام کرده بود. افبیآی و وزارت خزانهداری آمریکا، کمالی را در سال ۲۰۲۰ به دلیل حمله به زیرساختهای آمریکایی تحریم کرده بودند.
علاوه بر این، تصاویر و ویدیوهای موجود در سرورهای شرکت، حضور مکرر حامد مشایخی، رابط وزارت اطلاعات را در دفاتر امنبان نشان میدهند.
غریب نوشت: «APT39 که با نام Chafer نیز شناخته میشود، سگ زنجیری مورد علاقه وزارت اطلاعات است. آنها دنبال پول نیستند - دنبال اطلاعات خطوط هوایی خارجی، سیستمهای دولتی و شرکتهای مخابراتی هستند.»
نحوه سازماندهی حملات
بر اساس ویدیوهای به دست آمده، عوامل امنبان به طور دقیق و حسابشده راههای حمله به هر هدف را پیدا میکنند.
این عملیاتها در پوشههایی با عناوین «پروژهها» و «تحقیق و توسعه» سازماندهی شده بودند.
غریب تاکید کرد: «محققان امنیتی، هک خطوط هوایی را پروژه نمینامند. آژانسهای اطلاعاتی این کار را میکنند.»
عملیات علیه صرافیهای ارز دیجیتال
علاوه بر خطوط هوایی، اسناد نشان میدهد امنبان از مدتها قبل کارزار گستردهای علیه صرافیهای ارز دیجیتال نیز راهاندازی کرده بود.
در فایلی با نام «social engineering.docs»، جزییات تلاشهای مهندسی اجتماعی علیه کارمندان صرافیهایی مانند کوکوین، بایننس و کوینسوییچ مستند شده است.
از جمله روشهای استفاده شده به شرح زیر است:
در یک مورد، عوامل امنبان با ارسال پیامی نامفهوم به نماینده بایننس، او را وادار به کلیک روی لینک مخرب کردند و متوجه شدند که این کارمند اگرچه از آیپی آمازون ژاپن استفاده میکرد، اما منطقه زمانی و زبان سیستم او مربوط به چین بود.
زیرساخت جهانی برای حملات
تحقیق غریب همچنین فاش کرد که امنبان دهها آدرس ایمیل جعلی و سرورهایی در سراسر جهان ایجاد کرده است که هر کدام نقطه دیگری برای کارزارهای سایبری آنها محسوب میشود.
این افشاگریها نشان میدهند که شرکتهایی مانند امنبان تحت پوشش فعالیتهای قانونی، در واقع بازوی عملیاتی دستگاههای اطلاعاتی جمهوری اسلامی برای جاسوسی سایبری در سطح بینالمللی هستند.
