چهارشنبه ۱۴ اوت / ۲۴ مرداد، گروه «تحلیل تهدیدهای گوگل» (TAG) گزارشی از کارزارهای فیشینگ هدفمند گروه APT42 علیه اهداف اسرائیلی و آمریکایی منتشر کرد.
فیشینگ (رمزگیری یا تلهگذاری) به تلاش برای به دست آوردن اطلاعاتی مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی، آیپی و مانند آنها از طریق جعل یک وبسایت، آدرس ایمیل، درگاه پرداخت و مانند آنها گفته میشود.
- بیشتر بخوانید: مقابله با فیشینگ
به گفته TAG، این گروه تحت حمایت دولت جمهوری اسلامی ایران است. گوگل همچنین گزارشهای اخیر در مورد هدف قرار دادن حسابهای مرتبط با انتخابات ریاستجمهوری آمریکا توسط APT42 را تایید کرده است.
بر اساس گزارشی که در بخش بلاگ گوگل منتشر شده است، APT42 که با سپاه پاسداران انقلاب اسلامی ایران (IRGC) مرتبط است، به طور مداوم کاربران شناختهشدهای را در اسرائیل و ایالات متحده هدف قرار میدهد. مقامهای فعلی و سابق دولتی، کنشگران سیاسی، دیپلماتها، افرادی که در اندیشکدهها کار میکنند، و همچنین سازمانهای غیر دولتی و مؤسسات علمی که در بحثهای سیاست خارجی نقش دارند از جمله این کاربران هستند.
در شش ماه گذشته، ایالات متحده و اسرائیل حدود شصت درصد از هدفگیری جغرافیایی APT42 را تشکیل دادهاند. گوگل این فعالیتها را نشاندهنده «تلاشهای چندجانبه و تهاجمی گروه برای تغییر سریع تمرکز عملیاتی خود در حمایت از اولویتهای سیاسی و نظامی ایران» میداند.
در آپریل سال جاری میلادی، APT42 هدفگیری کاربران مستقر در اسرائیل را تشدید کرد. آنها به دنبال افراد مرتبط با ارتش و بخش دفاعی اسرائیل، و همچنین دیپلماتها، دانشگاهیان، و سازمانهای غیر دولتی مرتبط بودند.
بنا بر این گزارش، گروه APT42 از تاکتیکهای مختلفی به عنوان بخشی از کارزارهای فیشینگ ایمیلی خود استفاده میکند – از جمله میزبانی بدافزارها، صفحات فیشینگ و تغییر مسیرهای مخرب. آنها معمولاً سعی میکنند از خدماتی مانند گوگل (مانند سایتها، درایو، جیمیل و غیره)، دراپباکس، واندرایو و غیره برای این مقاصد سوء استفاده کنند.
در یکی از این موارد، TAG چندین صفحه ایجادشده توسط APT42 در گوگلسایتها را که ظاهراً توماری اینترنتی از طرف یک آژانس قانونی یهودی حامی اسرائیل بهظاهر میرسید، تعطیل کردیم. متن دادخواست بهجای HTML در فایلهای تصویری جاسازی شده بود. صفحه سایت شامل یک آدرس اینترنتی تغییر مسیر بود، که APT42 قبلاً از آن برای هدایت کاربران به صفحات فیشینگ استفاده کرده است.
بنابر این گزارش، APT42 همچنین تلاش کرده تا با استفاده از مهندسی اجتماعی، مقامهای ارشد سابق نظامی اسرائیل و یک مدیر اجرایی صنایع هوایی را هدف قرار دهد. این اقدام از طریق ارسال ایمیلهایی که ظاهراً یک خبرنگار فرستاده بود و در مورد حملات هوایی اخیر نظر میخواست انجام شده است.
آنها همچنین ایمیلهای مهندسی اجتماعی به دیپلماتهای اسرائیلی، دانشگاهیان، سازمانهای غیر دولتی و نهادهای سیاسی ارسال کردند. ایمیلها از حسابهای میزبانیشده توسط سرویسهای مختلف ایمیل ارسال شدند و حاوی محتوای مخرب نبودند. این ایمیلها احتمالاً برای جلب مشارکت از دریافتکنندگان قبل از تلاش APT42 برای ضربهزدن به اهداف ارسال شده بودند. گوگل میگوید حسابهای جیمیل مرتبط با APT42 را تعلیق کرده است.
- بیشتر بخوانید: محافظت از اطلاعات شخصی در شبکههای اجتماعی
APT42 در چندین کارزار از آپریل ۲۰۲۴ با ظاهرسازی به عنوان «مؤسسه سیاست خاور نزدیک واشنگتن» دیپلماتها و خبرنگاران اسرائیلی، محققان در اندیشکدههای آمریکایی و دیگران را هدف قرار داده است. در این کارزارها، مهاجمان نام نمایشگر ایمیل را به نام یک محقق مشروع مرتبط با مؤسسه واشنگتن تنظیم کردند، اما آدرس ایمیل از دامنه رسمی org نبود.
بر اساس این گزارش، گوگل فعالیتهای APT42 برای هدفگیری حسابهای مرتبط با کمپینهای ریاستجمهوری بایدن و ترامپ را نیز از انتخابات ۲۰۲۰ تاکنون رصد و مختل کرده است.
در انتخابات ریاستجمهوری 2024، TAG فعالیت رمزگیری این گروه را شناسایی و مختل کرده است. در ماههای مه و ژوئن سال جاری، اهداف APT42 شامل حسابهای ایمیل شخصی حدود دوازده نفر مرتبط با جو بایدن و دونالد ترامپ بوده است.
این گزارش همچنین میگوید APT42 بهطور موفقیتآمیز به حسابهایی در چندین ارائهدهنده ایمیل نفوذ کرده است. TAG هنوز هم شاهد تلاشهای ناموفق APT42 برای نفوذ به حسابهای شخصی افراد مرتبط با رئیسجمهور بایدن، معاون رئیسجمهور هریس و دونالد ترامپ است.
گروه اطلاعات تهدیدهای گوگل که شامل TAG و Mandiant میشود، در شناسایی، نظارت و مقابله با تهدیدات، از عملیاتهای تأثیرگذاری هماهنگ گرفته تا کمپینهای جاسوسی سایبری علیه نهادهای با ریسک بالا، فعالند. TAG بیش از ۲۷۰ گروه مهاجم تحت پیشتبانی بیش از ۵۰ دولت را رصد و برای مختل کردن آنها تلاش میکند. این گزارش در پایان با اشاره به APT42 میگوید:
[این گروه] یک بازیگر تهدیدگر پیچیده و توقفناپذیر است و هیچ نشانهای از توقف تلاشهایش برای هدفگیری کاربران و استفاده از تاکتیکهای جدید نشان نمیدهد. در بهار و تابستان امسال، آنها توانایی اجرای چندین کارزار فیشینگ همزمان را نشان دادهاند، که بهویژه بر اسرائیل و ایالات متحده تمرکز داشتند. با تشدید خصومتها بین ایران و اسرائیل، میتوانیم انتظار داشته باشیم که کمپینهای بیشتری از APT42 در آنجا مشاهده کنیم.