شرکت امنیت سایبری «گروپ آیبی» در سنگاپور اعلام کرد که گروه هکری وابسته به جمهوری اسلامی با نام «مادیواتر» در یک کارزار فیشینگ پیچیده، بیش از ۱۰۰ نهاد را در خاورمیانه و شمال آفریقا هدف قرار داده است.
شرکت گروپ آیبی چهارشنبه ۳۰ مهر در گزارشی نوشت مهاجمان از حساب ایمیل هکشدهای برای انتشار بدافزار در میان سازمانهای مختلف از جمله نهادهای دولتی استفاده کردهاند.
هدف اصلی این عملیات جمعآوری اطلاعات سیاسی و امنیتی از سازمانهای بینالمللی عنوان شده است.
در این کارزار، هکرها از سرویس قانونی نورثویپیان برای دسترسی به صندوق ایمیل قربانیان استفاده کرده و ایمیلهایی با پیوستهای مخرب ارسال کردند. این ایمیلها حاوی فایلهای وورد بودند که با فعالسازی «ماکروها» کدهای مخربی را اجرا و نسخه چهارم بدافزار «فونیکس بددور» را بر روی سیستم قربانی نصب میکردند.
بر اساس یافتههای این شرکت، بدافزار یادشده با استفاده از ابزار تزریق موسوم به «فیکآپدیت» اجرا و سپس به سرور فرمان و کنترل (سی۲) متصل میشود تا دادههای هدف را جمعآوری و دستورات جدید دریافت کند.
کارشناسان این شرکت گفتند ساختار کد، سرورهای کنترل، و ابزارهای مورد استفاده در این عملیات با کارزارهای پیشین مادیواتر مطابقت دارد و این گروه را با «اطمینان بالا» عامل اصلی حملات اخیر معرفی کردند.
گزارش میگوید در زیرساخت کنترل این گروه، ابزارهای مدیریت از راه دور و همچنین یک نرمافزار سرقت گذرواژه از مرورگرها شناسایی شده است. این بدافزار با ظاهری شبیه ماشینحساب طراحی شده تا شکی در کاربران ایجاد نکند و اطلاعات ذخیرهشده در مرورگرهایی مانند کروم، بریو، اوپرا را استخراج کند.
آژانس ملی فضای سایبری اسرائیل نیز ۳۰ مهر از شناسایی موجی از حملات سایبری علیه شرکتهای اسرائیلی فعال در حوزه خدمات فناوری اطلاعات خبر داد که احتمال میرود با جمهوری اسلامی در ارتباط باشد.
این نهاد اعلام کرد حمله ناموفق به مرکز پزشکی شامیر در روز یومکیپور در اوایل ماه جاری، که منجر به افشای ایمیلهایی حاوی اطلاعات حساس بیماران شد، تلاشی از سوی ایران برای اخلال در عملکرد بیمارستان بوده است. با این حال، حمله پیش از آنکه سامانه مرکزی پروندههای پزشکی بیمارستان آسیب ببیند، مهار شد.
گروپآیبی تاکید کرد «مادیواتر» که به جمهوری اسلامی منتسب است، همچنان یکی از فعالترین بازیگران جاسوسی سایبری در منطقه محسوب میشود و دامنه فعالیت آن از خاورمیانه به اروپا، آفریقا و آمریکای شمالی نیز گسترش یافته است.
در این گزارش آمده است: «گروه مادیواتر با ترکیب بدافزارهای اختصاصی و ابزارهای تجاری قانونی، توانسته سطح پنهانکاری و ماندگاری خود را بهطور قابل توجهی افزایش دهد.» کارشناسان هشدار دادند با توجه به تمرکز این گروه بر اهداف دولتی و تنشهای ژئوپلیتیک منطقه، انتظار میرود عملیات مشابهی در آینده نیز ادامه یابد.
