AI Squared شرکت ماموریت محور کوچکی است که در گوشهای از کمپانی Vermont فعالیتهای خود را انجام میدهد. این شرکت نرمافزارهای تولید شده توسط وبسایتها را برای افرادی که اختلال بینایی دارند تغییر میدهد و هیچگاه فکر نمیکرد روزی توسط هکرهای ایرانی هک شود!
اما شرکت AI Squared مدرک زندهای است برای اثبات اینکه هر شرکت آمریکایی، چه به بزرگی مایکروسافت باشد چه کوچک، میتواند یکی از قربانیان احتمالی حمله هکرها باشد. در حقیقت، AI Squared تنها شرکت خصوصی آمریکایی است که تا به امروز حمله به آن توسط گروهی از جوانان ایرانی با نام OilRig کشف شده است. OilRig که کار خود را در اواخر ۲۰۱۵ آغاز کرد، حالا یکی از فعالترین گروههای هکری است. وبسایت FORBES تعدادی از هدفهای این گروه را برای اولین بار در روز چهارشنبه معرفی کرده است که نفوذ سریع این گروه در سراسر جهان در کمتر از ۱ سال را نشان میدهد.
Collin Anderson محقق فعال در ایالت واشنگتن که در حال جمعآوری گزارشی کامل و جامع از قدرت سایبری ایران است، در این باره میگوید: “نکته جالب درباره OilRig تمرکز و تمایل بالای این گروه برروی بخشهای خصوصی خارجی است. هنوز از نوع اطلاعات به سرقت رفته از سازمانهای آمریکایی توسط گروه OilRig خبری به دست نیامده است. معروفترین حمله مخرب انتساب داده شده به هکرهای ایرانی به سال ۲۰۱۴ و نفوذ به سیستم کازینو Sand در لاسوگاس برمیگردد.
حمله چگونه صورت گرفت؟
مشکلات AI Squared از هفتهی دوم ژانویه و زمانی که از شرکت امنیتی Symantec اخطاریه دریافت کردند، آغاز شد. در اخطاریه آمده بود، مدارکی که صحت و اعتبار تکنولوژی شرکت را تایید میکنند، مورد سرقت قرار گرفتهاند. آنچه که Symantec به آن اشاره نکرد بود و حالا AI Squared در حال تحقیق درباره آن است، ارتباط و دخالت OilRig در این سرقت اینترنتی است.
به گفته Forbes این گروه با سرقت مدارک AI Square قصد رد پوشانی بدافزار خودشان را داشته اند. در گزارش منتشر شده در اوایل ژانویه توسط شرکت امنیتی ClearSky آمده که هدف از حملات این گروه ایرانی، قانونی جلوه دادن ابزارهای نظارتی بر روی اهداف مورد نظرشان در خاورمیانه، اروپا و ایالات متحده بوده است. ClearSky میگوید گروه OilRig ابزارهای سرقت اطلاعات خود را به شکل ۲ صغحه اینترنتی با ظاهر مشابه صفحات دانشگاه آکسفورد منتشر کرده که یکی از صفحات استخدام در موسسه آکسفورد و دیگری صفحهی ثبتنام در یک کنفرانس بوده است. هر دو صفحه بازدیدکنندگان را تشویق به دانلود اسناد جهت تکمیل ثبت نام برای کنفرانس و دریافت فرم رزومه جهت استخدام در موسسه آکسفورد میکرده است. با کلیک بر روی گزینه دانلود، بدافزاری با نام Helminth اجرا میشد که اعظای گروه OilRig با کنترل کامپیوتر قربانی، اطلاعات او را به سرقت میبردند.
در سالهای گذشته خیلی از سازمانها قربانی حملات تیم OilRig شدهاند. سازمانهای امنیتی معتقدند که OilRig کنترل ایمیلهای بسیاری از صنایع عمومی و خصوصی را در اختیار گرفتهاند و با دسترسی به این ایمیلها موفق به گسترش فعالیتهایشان در ایالات متحده، عربستان سعودی، ترکیه و دیگر کشورها شدهاند.
یکی از ایمیلهای فریبندهی این گروه که توسط Forbes.com در جولای ۲۰۱۶ منتشر شد، به آدرس ایمیل سه نفر از مقامات وزارت خارجهی ترکیه فرستاده شده بود. این افراد شامل مشاور نماینده ترکیه در سازمان ملل، یکی از کارمندان سفارت ترکیه در کشور لتونی و یکی دیگر از مقامات ترک میشد. ایمیلها ظاهرا از طرف یک شرکت هواپیمایی رسمی در ترکیه ارسال شده بودند و این یعنی این گروه موفق به سرقت اطلاعات این شرکت هواپیمایی و ساختن اکانتهای جعلی با نام آنها شدهاند. پیام داخل ایمیل دریافت کننده را تشویق به وارد کردن اطلاعات ورود به اکانت از طریق باز کردن یک فایل اکسل میکرد. پس از کلیک بر روی فایل اکسل، بدافزار Helminth شروع به کار میکرد.
البته مشاور نماینده ترکیه در سازمان ملل گفته که هیچوقت این ایمیل را ندیده و بر روی آن کلیک نکرده است. دیگر افراد مورد هدف قرار گرفته نیز هیچ گونه اظهار نظری در این رابطه نکردهاند. شرکت هواپیمایی ترکیه نیز هیچ نظری در اینباره اعلام نکرد. علیرغم اینکه ایمیل منتشرشده از طرف OilRig، افراد مورد هدف را نشان میدهد، اما هنوز از موفقیت آمیز بودن سرقت اسناد هیچ اطلاعاتی به دست نیامده است.
حمله به صنایع خاص
OilRig به کمپانیهای خصوصی هم حملاتی داشته است. ایمیل جدید کشف شده در ماه می ۲۰۱۶ نشان میدهد که این هکرها از سرورهای شرکت Al-Elm تامینکننده امنیت آیتی دولت عربستان، جهت ارسال ایمیلها استفاده کردهاند. ایمیلهای منتشر شده توسط محققین امنیتی ثابت میکند که این گروه به شرکت Al-Elm نیز نفوذ داشتهاند.
این پیام در میان ایمیلهای در حال رد و بدل بین شرکت Al-Elm و موسسه مالی Samba یکی از بزرگترین وامدهندگان در کشور عربستان، جاسازی شده بود. این پیام حاوی کیت نظارتی بدافزار Helminth بود و به محض اینکه دریافت کننده فایل پیوست را باز مینمود، اجرا میشد. فایل اکسل اجرایی در این ایمیل “Notes.xls” نام داشت. تا بهحال هیچکدام از شرکتهای Al-Elm و Samba در اینباره اظهار نظر نکردهاند.
طبق گزارش منتشر شده از شرکت امنیت سایبری SecureWorks، گروه OilRig در ژانویه امسال ایمیلهای حاوی بدافزار را از طریق سرورهای قانونی یکی از بزرگترین تامینکنندگان امنیت آیتی عربستانی و یک شرکت ارائه دهنده خدمات آیتی مصری با نام ITWorkx ارسال کرده است. مشخص است که با استفاده از این اکانتهای ایمیل، شرکتی نامعلوم در خاورمیانه مورد هدف قرار گرفته است . متن ایمیلهای ارسالی نیز درباره لینکهای پیشنهاد کار و استخدام بودهاند. فایل پیوستی نیز PupyRAT نام داشته که نوعی ویروس تروجان با قابلیت کنترل از راه دور توسط پلتفورمهای اندرویدی، لینوکسی و ویندوزی است.
منبع: آی تی ایران