دیده‌بان حقوق بشر امروز گفت در کمپینی فیشینگ هویت و مهندسی اجتماعی  ادامه دار، هکرهای تحت حمایت حکومت ایران  دو نفر از کارکنان دیده‌بان حقوق بشر و حداقل ۱۸ نفر از فعالان، روزنامه‌نگاران، پژوهشگران، دانشگاهیان، دیپلمات‌ها، و سیاستمدار برجسته و فعال در موضوعات مرتبط با خاورمیانه را مورد هدف قرار داده‌اند.
 
تحقیق دیده‌بان حقوق بشر این حمله فیشینگ را به نهادی مرتبط با حکومت ایران به نام APT42 منسوب کرد که گهگاه با نام «بچه گربه ملوس» نیز شناخته می‌شود. تحلیل فنی که به شکل مشترک به دست آزمایشگاه امنیت عفو بین‌الملل و دیده‌بان حقوق بشر انجام شد ۱۸ قربانی دیگر را شناسایی کرد که در همین کمپین مورد هدف قرار گرفته‌اند. ایمیل و دیگر داده‌های حساس حداقل سه نفر از آنها در دسترس هکرها قرار گرفته است: خبرنگار یک روزنامه بزرگ آمریکایی، یک مدافع حقوق زنان ساکن منطقه خلیج فارس، و نیکلاس نوئه، مشاور تبلیغات سازمان پناهندگان بین‌الملل که در لبنان مستقر است.
 
عبیر غطاس، مدیر بخش امنیت اطلاعات دیده‌بان حقوق بشر گفت «هکرهای حکومت ایران به شکل تهاجمی در حال استفاده از تاکتیک‌های جمع‌آوری اطلاعات ورود به حساب‌های کاربری(credential harvesting) و مهندسی اجتماعی هستند تا به اطلاعات حساس و دفترچه تماس‌های گروه‌های جامعه مدنی و پژوهشگران حوزه خاورمیانه دسترسی پیدا کنند». او اضافه کرد «این امر خطری که متوجه روزنامه‌نگاران و مدافعان حقوق بشر در ایران و دیگر نقاط منطقه می‌شود را به شدت افزایش می‌دهد».
 
در مورد سه نفری که از نفوذ در حساب‌هایشان اطلاع در دست است، مهاجمان به ایمیل‌ها، آرشیو حافظه کلاود، تقویم‌ها، و دفترچه تماس‌ها دسترسی پیدا کردند و همچنین گوگل تیک‌آوت را اجرا کردند؛ گوگل تیک‌آوت سرویسی است که داده‌های خدمات اصلی و فرعی یک حساب گوگل را اکسپورت می‌کند.
 
چندین شرکت امنیتی درباره کمپین‌های فیشینگ APT42 و هدف گرفتن مخالفان، گروه‌های جامعه مدنی، و پژوهشگران حوزه خاورمیانه گزارش داده‌اند. بیشتر آنها APT42 را بر اساس الگوهای هدف‌گیری و شواهد فنی شناسایی می‌کنند. سازمان‌هایی از جمله گوگل، رکوردد فیوچر، پروف‌پرینت، و ماندیانت گروه APT42 را به مقامات ایرانی منتسب می‌کنند. شرکت امنیت سایبری آمریکایی ماندیانت در ماه سپتامبر این فعالیت‌ها را به سپاه پاسداران انقلاب اسلامی ایران منتسب کرد. شناسایی و نام بردن از یک بازیگر تهدید به پژوهشگران کمک می‌کند تا فعالیت سایبری ستیزه‌جویانه را مورد شناسایی، رهگیری، و پیوند قرار دهند.
 
در اکتبر ۲۰۲۲ یکی از کارکنان دیده‌بان حقوق بشر که در حوزه خاورمیانه و شمال آفریقا کار می‌کند در واتس‌اپ پیام‌هایی مشکوک از کسی دریافت کرد که تظاهر می‌کرد برای یک اندیشکده در بیروت لبنان کار می‌کند و او را به کنفرانسی دعوت می‌کرد. بررسی‌های مشترک نشان داد که لینک‌های فیشینگ ارسال‌شده از طریق واتس‌اپ، در صورت کلیک کردن روی آن‌ها، هدف را به یک صفحه لاگین جعلی هدایت می‌کردند که پسورد ایمیل فرد و کد تأیید را دریافت می‌کرد. تیم پژوهشی زیرساخت‌هایی را مورد بررسی قرار داد که لینک‌های مخرب را میزبانی می‌کردند و اهداف دیگری در این کمپین در حال ادامه را شناسایی کرد.
 
دیده‌بان حقوق بشر و عفو بین‌الملل با ۱۸ فرد برجسته شناسایی‌شده به عنوان اهداف این کمپین تماس گرفتند. پانزده نفر از آنها پاسخ دادند و تأیید کردند که آنها در بازه ۱۵ سپتامبر تا ۲۵ نوامبر ۲۰۲۲ پیام‌های واتس‌اپ مشابهی دریافت کرده‌اند.
 
در ۲۳ نوامبر ۲۲ دومین نفر از کارکنان دیده‌بان حقوق بشر نیز مورد هدف قرار گرفت. او همان پیام‌های واتس‌اپ را از همان شماره‌ای دریافت کرد که با دیگر هدف‌ها تماس گرفته بود.
 
تلاش‌های فیشینگ و مهندسی اجتماعی همچنان بخش‌های کلیدی حملات سایبری ایران هستند. از سال ۲۰۱۰ اپراتورهای ایرانی اعضای دولت‌های خارجی، نیروهای نظامی، و کسب و کارها، و همچنین مخالفان سیاسی و مدافعان حقوق بشر را مورد هدف قرار داده‌اند. در طول زمان این حملات در شیوه پیاده‌سازی آنچه «مهندسی اجتماعی» شناخته می‌شود پیچیده‌تر شده‌اند.
 
به گفته ماندیانت، شرکت امنیت سایبری در آمریکا، APT42 مسئول انجام چندین حمله فیشینگ در اروپا، آمریکا، و منطقه خاورمیانه و شمال آفریقا بوده است. در ۱۴ سپتامبر ۲۰۲۲ دفتر کنترل دارایی‌های خارجی وزارت خزانه‌داری آمریکا(اوفک) افراد مرتبط با گروه را تحت تحریم قرار داد.
 
بررسی‌ها همچنین ناکافی بودن حفاظت‌های امنیتی گوگل برای تأمین امنیت داده‌های کاربرانش را نشان داد. افرادی که به شکل موفق هدف حمله فیشینگ قرار گرفته‌اند به دیده‌بان حقوق بشر گفتند که آنها متوجه نشده بودند که به حساب جیمیل آنها نفوذ شده است یا گوگل تیک‌آوت آغاز شده است، زیرا هشدارهای امنیتی درباره فعالیت‌های حساب گوگل مورد پوش(push) قرار نمی‌گیرد و هیچ نوتیفیکیشن دائمی در اینباکس کاربر نمایش داده نمی‌شود و پیام پوش به اپ جیمیل افراد در گوشی‌هایشان ارسال نمی‌شود.
 
اکتیویتی امنیتی گوگل نشان داد که حمله‌کننندگان تقریباً بلافاصله پس از نفوذ به حساب اهداف دسترسی داشته‌اند و تا زمان اطلاع‌رسانی تیم تحقیقاتی دیده‌بان حقوق بشر و عفو بین‌الملل به هدف‌ها و کمک به آنها در رفع دستگاه‌های وصل شده مهاجمان، این دسترسی به حساب را حفظ کرده‌اند.
 
دیده‌بان حقوق بشر گفت گوگل باید فوراً هشدارهای امنیتی حساب جیمیل را تقویت کند تا از روزنامه‌نگاران، مدافعان حقوق بشر، و کاربرانش که بیش از دیگران در معرض ریسک هستند حفاظت بهتری به عمل بیاورد.
 
غطاس گفت «در خاورمیانه‌ای که پر از تهدیدهای نظارتی برای فعالان است، پژوهشگران امنیت دیجیتال نه تنها باید یافته‌هایشان را منتشر و ترویج کنند، بلکه باید برای حفاظت از فعالان، روزنامه‌نگاران، و رهبران جامعه مدنی مورد تهدید در منطقه اولویت قائل شوند».

fShare

Tweet