45 subscribers
30 photos
22 videos
2 files
42 links
Freedom through power. Power through intelligence.| voidNetwork.ir
Download Telegram
APT41 (Double Dragon/Barium) – چین
منتسب به: احتمالاً وزارت امنیت دولتی چین (MSS) یا پیمانکاران دولتی. این گروه از حدود ۲۰۱۲ فعال است و تاکتیک ویژه‌ای دارد.
اهداف: دوگانه – جاسوسی دولتی و کسب درآمد شخصی. بخش جاسوسی بر سازمان‌های فناوری، سلامت و ارتباطات متمرکز است؛ بخش مجرمانه آن بر صنعت بازی‌های ویدئویی (سرقت منابع دیجیتال، حمله باج‌افزار) متمرکز بوده است.
روش‌ها: حملات فیشینگ‌محور و بهره‌برداری از زنجیره تأمین نرم‌افزار. APT41 در برخی کمپین‌ها کدهای مخرب را مستقیماً در نرم‌افزارهای بازی یا به‌روزرسانی‌های قانونی تزریق کرده است. همچنین برای پنهان‌کاری و هدف‌گیری دقیق از سازوکارهایی نظیر تطبیق شناسه سیستم استفاده می‌کند تا بدافزارها تنها در ماشین‌های مشخص فعال شوند.
نمونه حملات: حملات متعدد به شرکت‌های بازی‌سازی بزرگ، دستکاری دارایی‌های دیجیتال و توزیع به‌روزرسانی‌های آلوده در زنجیره تأمین بازی‌ها. همزمان، نفوذهایی به بخش‌های دولتی (پتنت و فناوری پیشرفته) گزارش شده است.
اثرات: ترکیب عملیات جاسوسی و سایبرکلاهبرداری این گروه را از دیگر تهدیدها متمایز می‌کند. حملات زنجیره تأمین APT41 در صنعت بازی، علاوه بر خسارت مالی مستقیم (رمز ارزها و منابع بازی)، نشان‌دهنده تهدیدی پایدار برای زیرساخت‌های حیاتی نرم‌افزاری است.
1
APT10 (Stone Panda/MenuPass) – چین
منتسب به: دفتر تیانجین وزارت امنیت دولتی چین (MSS). از حدود ۲۰۰۹ فعال است.
اهداف: زیرساخت‌های فناوری اطلاعات (به‌ویژه ارائه‌دهندگان خدمات مدیریت شده، MSP) و شبکه شرکت‌های مشتری. نام دیگر آن “عملیات کلاود هاپر” است.
روش‌ها: نفوذ از طریق شرکت‌های خدمات IT. حملات هدفمند گسترده‌ای علیه ارائه‌کنندگان سرویس ابری اجرا کرده که در نهایت دسترسی به داده‌های مشتریان آن‌ها را ممکن ساخت. از ابزارهای پیشرفته و صفر-روز در این حملات استفاده کرده است.
نمونه حملات: «عملیات Cloud Hopper» که شرکت‌های بزرگ فناوری و خارجی را هدف قرار داد و توانست به شبکه بیش از یکصد شرکت چندملیتی نفوذ کند.
اثرات: در نتیجه، اطلاعات محرمانه تحقیقاتی و طرح‌های تجاری بسیاری از شرکت‌های بزرگ جهان به سرقت رفت. همچنین دو مجرم چینی مرتبط با APT10 در دادگاه آمریکا به اتهام‌های سایبری محکوم شدند (حدود ۲۰۱۸) که خود نشان‌دهنده ابعاد گسترده‌ی این کمپین‌ها بود.
1
APT1 (Unit 61398) – چین
منتسب به: ارتش آزادی‌بخش خلق چین (PLA)، پادگان 61398. فعال از سال ۲۰۰۶.
اهداف: جاسوسی اقتصادی گسترده؛ گروهی از افسران PLA را شامل می‌شود.
روش‌ها: استفاده از ده‌ها خانواده بدافزار اختصاصی برای سرقت داده، شامل ابزارهای پیشرفته جمع‌آوری اطلاعات.
نمونه حملات: گزارش مشهور ماندیانت (۲۰۱۳) نشان می‌دهد APT1 طی سال‌های متمادی به بیش از ۱۴۱ سازمان در صنایع مختلف (نفت و گاز، هوانوردی، رسانه و فناوری اطلاعات و…) حمله کرده است.
اثرات: حجم کل اطلاعات به سرقت رفته بسیار زیاد بود؛ این گزارش انتشار یافته توانست فعالیت‌های جاسوسی پرمخاطره را افشاء کند و درک جهانی از نقش چین در حملات سایبری را شکل دهد.
1
APT32 (SeaLotus/OceanLotus) – ویتنام
منتسب به: دولت ویتنام (تسلیحات سایبری دولتی). فعال از حدود ۲۰۱۴.
اهداف: هدف‌گیری صنایع خصوصی بزرگ (مثلاً بخش فناوری و ساخت)، خبرنگاران، مخالفان سیاسی و گروه‌های اپوزیسیون در جنوب شرق آسیا (ویتنام، فیلیپین، لائوس و…).
روش‌ها: گستره فعالیت وسیع، از جمله بهره‌برداری از وب‌سایت‌های مورد اعتماد (تزویر URL)، بدافزارهای نامه الکترونیکی و ابزارهای منحصربه‌فرد. این گروه به‌طور ویژه از تکنیک Web Shell و کامپرس (نفوذ از طریق نسخه‌های دستکاری‌شده اسناد) استفاده کرده است.
نمونه حملات: به عنوان مثال حملات سفارشی بدافزار به سازمان‌های خبری و وزارتخانه‌های دولت‌های جنوب شرقی آسیا با هدف سرقت اسناد و اطلاعات امنیتی گزارش شده است.
اثرات: نفوذ APT32 در برخی کشورها موجب افشای اطلاعات داخلی و زیرساختی شده است. این فعالیت‌ها بیش از هر چیز اعتبار آن‌ها را در فضای تهدیدهای منطقه تثبیت کرده است.
1
APT34 (OilRig/Helix Kitten) – ایران
منتسب به: دولت ایران (وزارت اطلاعات و امنیت). فعال از حدود ۲۰۱۴.
اهداف: سازمان‌های دولتی و کسب‌وکارهای دولتی-خصوصی در خاورمیانه (خصوصاً صنایع نفت، گاز، انرژی و مخابرات). گزارش‌ها نشان می‌دهد تمرکز ویژه روی اهداف منطقه‌ای ایران دارد، ولی در برخی مواقع آفریقای شمالی و اروپا نیز فعالیت کرده است.
روش‌ها: ایجاد حملات اسپیر فیشینگ (ایمیل‌های هدفمند)، صفحات شغلی جعلی و لینکدین جعلی برای نفوذ؛ استفاده از بدافزارهای سفارشی (بدنام به عنوان “OilRig” و «کارتاف» و…).
نمونه حملات: کمپین‌های شناخته‌شده شامل ارسال ایمیل‌های هدفمند به وزارتخانه‌های انرژی و سازمان‌های نفتی در خلیج فارس است. بدافزار OilRig روی شبکه قربانیان نصب می‌شود و در مواردی عملیات مراقبتی و ذخیره‌سازی اطلاعات محرمانه را انجام می‌دهد.
اثرات: این حملات عمدتاً منجر به نفوذ غیرقابل‌مشاهده و جمع‌آوری اطلاعات حساس (ترکیبات پالایش، داده‌های انرژی) شده‌اند، اما خسارت مستقیم مالی بزرگی مانند سرقت گزارش نشده است. با این حال، نشت چنین اطلاعاتی می‌تواند اثرات سیاسی-اقتصادی قابل توجهی برای کشورها داشته باشد.
1
APT39 (Chafer/Radio Serpens) – ایران
منتسب به: دولت ایران (روابط عمومی سپاه پاسداران). فعال از حدود ۲۰۱۴.
اهداف: سازمان‌های مخابراتی، دولت، هواپیمایی و فناوری اطلاعات در خاورمیانه و غرب (ایالات متحده، اروپا). تمرکز بر داده‌های ارتباطی و ردیابی افرادی است که برای دولت ایران مهم‌اند.
روش‌ها: حملات فیشینگ پیشرفته، نصب backdoorهای سفارشی؛ پس از نفوذ اولیه، ابزارهای رایگان (مانند Mimikatz) و تکنیک‌های حرکت جانبی استفاده می‌کنند.
نمونه حملات: کمپین‌های متعددی علیه شرکت‌های خدمات مخابراتی و مسافرتی گزارش شده است که از طریق ایمیل‌های مخرب و بدافزارهای دو مرحله‌ای انجام شده‌اند. این گروه تمایل دارد تا مشخصات و تاریخچه پرواز یا ایمیل‌های ذینفعان مهم را استخراج کند.
اثرات: APT39 معمولاً اطلاعات جمع‌آوری‌شده را برای سانسور و نظارت بلندمدت به کار می‌گیرد. اگرچه به‌اندازه حملات باج‌افزاری خسارت‌زا نبوده، اما توانسته شبکه جاسوسی پنهانی گسترده‌ای برای اهداف سیاسی ایران فراهم کند.
1
سایر گروه‌ها و نفوذهای نمونه
Stuxnet (آمریکا/اسرائیل): اگرچه مستقیماً یک “گروه APT” نیست، این بدافزار پیشرفته (حدود ۲۰۱۰) که به شبکه سانتریفیوژهای اتمی ایران نفوذ و حدود ۱۰۰۰ ماشین را تخریب کرد، نقطه عطفی در تاریخ حملات هدفمند صنعتی به حساب می‌آید. این عملیات نشان داد که گروه‌های APT فراتر از سرقت داده می‌توانند به عملیات مخرب سایبری بپردازند.
APT32 (OceanLotus) – ویتنام: که پیشتر اشاره شد، نمونه مهمی از پیوند بین دولت و منابع سایبری بخش خصوصی است.
APT35 (Charming Kitten): گروهی ایرانی مرتبط با وزارت اطلاعات که افراد ایرانی‌تبار مقیم خارج را هدف می‌گیرد. (در بالا با APT39 ترکیب نکردیم ولی وجود دارد.)
گروه‌های دیگری مانند APT33 (Refined Kitten) و MuddyWater: فعال علیه صنایع دفاع و هوافضای عربستان، نمونه‌های دیگری از APTهای منطقه خلیج فارس هستند، هرچند در این گزارش به تفصیل نیامدند.
1
تحلیل تکاملی و روند تغییرات APTها (ده سال اخیر)
روند تکامل تاکتیک‌ها: APTها در دهه اخیر از حملات ساده فیشینگ و بدافزارهای پراکنده به عملیات‌های پیچیده‌تری نظیر زنجیره تأمین و نفوذ طولانی‌مدت (Persistent) مهاجرت کرده‌اند. به عنوان مثال، مهاجمان روس از فیشینگ سنتی به سمت حملات زنجیره‌ای مانند SolarWinds رفته‌اند، و گروه‌های چینی در صنعت بازی و فناوری با تزریق بدافزار در به‌روزرسانی‌های نرم‌افزاری نفوذ می‌کنند. همچنین، تکنیک‌های حرکت جانبی (lateral movement)، نفوذ به سیستم‌های کنترل صنعتی و استفاده از ابزارهای قانونی (LOLBins) در چشم‌انداز APT به شدت گسترش یافته است.
حرکت به سمت زنجیره تأمین: نمونه‌های اخیر نشان می‌دهند که مهاجمان با هدف بهره‌برداری از اعتماد موجود، خود را در زنجیره تأمین جای می‌دهند. حمله SolarWinds (APT29) و نفوذهای از پیش طراحی‌شده در نرم‌افزارهای نصبی، این استراتژی را ملموس کرده‌اند. APT41 نیز با تزریق کد مخرب در نرم‌افزار بازی‌ها، نمونه‌ای از این نوع حملات است.
صنایع هدف: دولت‌ها و سازمان‌های دولتی همچنان مهم‌ترین اهدافند، اما تمرکز روی بخش‌های انرژی، سلامت و مالی بیشتر شده است. به عنوان مثال، پس از حمله به NHS توسط WannaCry، نشان داده شد که حتی زیرساخت‌های بهداشتی نیز هدف APTهای دولتی قرار می‌گیرند. صنایع انرژی و حمل‌ونقل (نفت، گاز، خطوط هوایی) نیز به دلیل اهمیت استراتژیک و هزینه‌بر بودن خود در فهرست حملات بالاتر رفته‌اند. بدافزار Stuxnet نیز اولین نمونه برجسته حمله به صنعت هسته‌ای بود که تأثیر جهانی داشت.
ظهور گروه‌های جدید: ظهور APTهای وابسته به رژیم‌های سرکوبگر (APT32 واطلاعات دولتی ویتنام، APT39 و… ) و همچنین کاربردهای رمزارزی برای دورزدن تحریم (LaZarus و Bluenoroff) روندهای جدیدی است. هم‌زمان، گروه‌های سنتی قوی باقی مانده‌اند و ابزارهای جدیدی توسعه داده‌اند.
رتبه‌بندی حملات بر اساس اهمیت جهانی
در میان حملات APT، موارد زیر از نظر تأثیر و پوشش رسانه‌ای برجسته‌اند:
دخالت در انتخابات ۲۰۱۶ آمریکا (APT28): افشای ایمیل‌ها و مدارک کمپین، تغییرات سیاسی و هزینه‌های هنگفت اطلاعاتی را به همراه داشت.
کمپین SolarWinds (APT29): گستردگی دسترسی به سامانه‌های مهم جهان (شرکت‌های فناوری و سازمان‌های دولتی) و در نتیجه افشای هزاران شبکه، اهمیت بالایی دارد.
باج‌افزار WannaCry (Lazarus): انتشار در ۱۵۰ کشور، توقف فرایندهای خدمات بهداشتی بریتانیا و خسارت بیش از ۱۱۲ میلیون دلار برای NHS. این حمله نشان داد حتا سیستم‌های حیاتی هم در خطر حملات APT هستند.
کمک به حملات زیرساختی (Sandworm): NotPetya ۲۰۱۷ و حمله به شبکه برق اوکراین؛ این حملات فناوری نظامی را وارد حوزه تعطیلی شبکه‌های حیاتی کردند.
دزدی میلیارد دلاری ارزی (APT38/لازاروس): تلاش برای سرقت از بانک‌های جهانی (عملیات SWIFT) با برداشتن حدود ۸۱ میلیون دلار و دست‌یابی به طرح‌هایی برای سرقت ۸۵۱ میلیون دلار، که ناآرامی در شبکه مالی ایجاد کرد.
حملات علیه صنایع انرژی خاورمیانه (APT34): درگیری‌های طولانی مدتی با شرکت‌های نفت و انرژی که داده‌های حساس را هدف قرار داده‌اند.
استاکس‌نت (آمریکا/اسرائیل): هرچند ماهیت آن هنوز محرمانه است، این بدافزار صنعتی اولین نمونه از جنگ سایبری واقعی بود که ۱۰۰۰ ماشین سانتریفیوژ را نابود کرد، و نشان داد فناوری APT می‌تواند زیرساخت‌های فیزیکی را هدف گیرد.
این رتبه‌بندی نسبی است؛ هر گروه APT ویژگی خاص خود را دارد. اما آنچه مشخص است، به موازات پیشرفت فناوری اطلاعات، تهدیدها نیز پیشرفته‌تر و خطرناک‌تر شده‌اند. در ۱۰ سال اخیر، APTها از سرقت اطلاعات ساده به عملیات‌ همه‌جانبه‌تر (لایه‌های متعدد حمله، زنجیره تأمین، بدافزارهای ویژه) منتقل شده‌اند. صنایع کلیدی مانند دولت‌ها، انرژی و مالی بیشترین هدف را داشته‌اند، و حملات بزرگ این دوره پیشگام تغییر رویه‌ها محسوب می‌شوند. رتبه‌بندی فوق بر اساس اهمیت جهانی و گستردگی حمله تدوین شده است و قطعیت، همان‌گونه که در گزارش‌های رسمی نیز آمده، در موارد متعددی قطعی نیست و برآوردهای اطلاعاتی است.
منابع: گزارش‌های CISA،‌ MITRE ATT&CK، افشای ماندیانت، و آمارهای دولتی ثروت‌گذاری نظیر وزارت خزانه‌داری آمریکا، و همچنین مقالات پژوهشی معتبر در امنیت سایبری.
1
یکی از مورد علاقه ترین حملاتی که واقعا خودم جذبش شدم وانا کرای بود که خود جادی هم یه پادکست خفن راجبش داره
مارکوس هاچینز و الان کسی دنبال میکنه؟ شک دارم
سورس کد voidnetwork.ir میزارم گیت هاب ممنون میشم توی ارتقای این پروژه همکاری کنید
نمونه‌های برجسته APT مرتبط با ایران
Mr. Nothing
نمونه‌های برجسته APT مرتبط با ایران
APT33 (Elfin Team): گروهی ایرانی (احتمالاً وابسته به سپاه IRGC) فعال از ۲۰۱۳. اهداف آن جاسوسی صنعتی در حوزه‌های هوافضا، انرژی و دفاع است تا فناوری و مالکیت فکری را برای منافع ملی ایران استخراج کند. روش نفوذ: حملات فیشینگ هدفمند با استفاده از اسناد مخرب (مثلاً پیوست‌های .hta یا لینک‌های فیشینگ در ایمیل) و سوءاستفاده از آسیب‌پذیری‌های شناخته‌شده (مانند CVE-2017-11882). این گروه برای پایداری در شبکه از ابزارهایی مانند PowerShell و Mimikatz بهره می‌برد و معمولاً پس از نفوذ، با تکنیک‌های lateral movement و ایجاد دسترسی مدیریتی (Domain Admin) در شبکه قربانی حرکت می‌کند. نمونه حمله: در سال ۲۰۱۶، کمپین‌های فیشینگ هدفمند علیه شرکت‌های نفتی و هوافضا در منطقه انجام شد که بدافزارهایی مانند POWBAT (macro-enabled) و backdoorهای سفارشی (مثلاً POWRUNER/BONDUPDATER) را توزیع می‌کرد. اثرات: سرقت گسترده اطلاعات فنی/مهندسی و اختلال احتمالی در توسعه فناوری‌های کلیدی. اخیراً ابزارهای خراب‌کارانه‌ای مانند StoneDrill (یک ویپر مدرن مبتنی بر دیسک‌کریپتور) در این مجموعه شناسایی شده که نشان از قابلیت تخریبی این گروه دارد.
کشور/گروه منتسب: سپاه پاسداران انقلاب اسلامی (IRGC) – ستاد اطلاعات نیروی هوافضای سپاه
اهداف: جاسوسی و سرقت مالکیت فکری در صنایع هوافضا، دفاع، نفت و گاز
روش‌های نفوذ: spear-phishing ایمیلی، سوءاستفاده از باگ‌های نرم‌افزاری (صفر-روز و شناخته‌شده)، ابزارهای پاورشل و Mimikatz برای جانبی‌روانی (lateral movement)
نمونه حملات: کمپین فیشینگ گسترده بانک‌ها و شرکت‌های خاورمیانه (بدافزارهای POWBAT، پوورانر و BondUpdater)
اثرات: سرقت اطلاعات فنی/مهندسی حساس، تهدید پنهان به خرابکاری (ویپرهای مخرب)
1
Mr. Nothing
نمونه‌های برجسته APT مرتبط با ایران
APT34 (OilRig/Helix Kitten): گروهی ایرانی وابسته به وزارت اطلاعات یا نهادهای دولتی، شناسایی‌شده از ۲۰۱۴. ماموریت اصلیش جاسوسی سایبری و شناسایی زیرساخت‌های منطقه‌ای علیه منافع ایران است. روش نفوذ: ترکیبی از سازوکار فیشینگ هدفمند (معمولاً ایمیل با اسناد دارای ماکرو مخرب) و بهره‌برداری از آسیب‌پذیری‌های نرم‌افزاری (مانند CVE-2017-11882، CVE-2017-0199). ابزارهای شناخته‌شده APT34 شامل اسکریپت‌های PowerShell سفارشی (POWRUNER)، بدافزارهای دانلودر مبتنی بر DGA (BONDUPDATER) و ویروس‌های جابجایی رخنه (POWBAT) است. نمونه حملات: هک چندین سازمان دولتی و مالی در خاورمیانه از سال ۲۰۱۶ به بعد؛ برای مثال حمله فیشینگ به بانک‌های منطقه که بدافزار POWBAT را پخش کرد. اثرات: دسترسی طولانی‌مدت به شبکه قربانیان برای جمع‌آوری اطلاعات محرمانه (اسناد دولتی، طرح‌های زیربنایی)، ایجاد پایه برای اقدامات بعدی (مانند کشف نفوذهای فرعی در انرژی و مخابرات). ایران به‌عنوان منبع اصلی این گروه شناسایی شده است (بنا بر نشانه‌هایی مانند ارجاع‌های زیرساختی به آدرس‌های ایران).
کشور/گروه منتسب: جمهوری اسلامی ایران (بخش اطلاعات وزارت اطلاعات یا IRGC)
اهداف: جاسوسی سایبری و شناسایی اطلاعات در صنایع مالی، انرژی، مخابرات و دولتی منطقه
روش‌های نفوذ: حملات spear-phishing با پیوست‌های مخرب، استفاده از اکسپلویت‌های Office (مثلاً CVE-2017-11882)، استقرار backdoorهای PowerShell (POWRUNER) و ابزارهایی مانند BONDUPDATER/DGA برای پایداری
نمونه حملات: کمپین فیشینگ بانک‌ها و سازمان‌های منطقه‌ای (بدافزار POWBAT)، حمله همزمان به سازمان‌های خاورمیانه با فایل‌های .rtf حاوی اکسپلویت‌های Office
اثرات: نفوذ عمیق در شبکه‌ها و جمع‌آوری اطلاعات مالی/دولتی، ایجاد امکان ادامه جاسوسی و مانور در زیرساخت‌های حساس
1
Mr. Nothing
نمونه‌های برجسته APT مرتبط با ایران
APT35 (Charming Kitten / Phosphorus / Mint Sandstorm): گروه شاخص ایرانی (وابسته به سازمان اطلاعات سپاه IRGC-IO) فعال از حدود ۲۰۱۳. اصلی‌ترین اهدافش «جمع‌آوری اطلاعات» از مخالفان رژیم، دیپلمات‌ها، روزنامه‌نگاران و نیروهای امنیتی است. روش نفوذ: فیشینگ پیچیده و مهندسی اجتماعی. اپراتورها با ایجاد هویت‌های جعلی (مانند خبرنگار یا پژوهشگر) ارتباط طولانی‌مدت برقرار کرده و اطلاعات هویتی و دسترسی قربانیان را می‌دزدند. ابزارهای این گروه شامل کی‌لاگرها و بدافزارهای سرقت اطلاعات و نسخه‌های بدافزار رمزگذار (ویپرسالاری نبوده و معمولاً بدون درخواست باج) است. Storm-0270 (DEV-0270/Nemesis Kitten) که گاهی همراه APT35 ذکر می‌شود، زیرمجموعه‌ای است که حملات رمزارز-مانند (living off the land) علیه سازمان‌های کوچک را انجام می‌دهد. اثرات: افشای گسترده ایمیل‌ها و داده‌های محرمانه فعالان و محققان (از جمله تسلیم اجباری IP و نشست‌های ویدئویی)، تأثیر بر جریان‌های سیاسی و کنترل سرمایه‌های فکری. مایکروسافت متوجه فعالیت شدید این گروه شد و در سال ۲۰۲۳ صدها دامنه فیشینگ را توقیف کرد.
کشور/گروه منتسب: جمهوری اسلامی ایران (سازمان اطلاعات سپاه پاسداران)
اهداف: جاسوسی اطلاعاتی و سیاسی – هدف قرار دادن مخالفان سیاسی، محققان حقوق بشر، دیپلمات‌ها و بنگاه‌های دفاعی و زیربنایی
روش‌های نفوذ: مهندسی اجتماعی (ساخت هویت‌های فیشینگ در شبکه‌های اجتماعی)، سرقت اعتبار‌نامه (credential harvesting)، ایمیل‌های فیشینگ پیچیده، استفاده از بدافزارهای سرقت‌ اطلاعات و کی‌لاگر
نمونه حملات: کمپین‌های هک حساب‌های ایمیل فعالان و دانشگاهیان، ارسال بدافزارهای قالب‌گیری‌شده در اسناد Word/Excel؛ عملیات سپر-۰۲۷۰ با سوءاستفاده از ابزارهای قانونی ویندوز (BitLocker) برای قفل‌کردن فایل‌ها
اثرات: نفوذ به محتوای شخصی و سازمانی معارضان، اختلال در جریان اطلاعات رسانه‌ای و آکادمیک، و افزایش احتیاط در جمع‌آوری داده‌ها؛ همچنین بخشی از پرونده حملات رمزارز مرموز علیه مؤسسات کوچک آمریکا
1
Mr. Nothing
نمونه‌های برجسته APT مرتبط با ایران
APT39 (Chafer/Remix Kitten): گروه جاسوسی سایبری ایرانی (وابسته به وزارت اطلاعات – MOIS) که از حدود ۲۰۱۴ فعال است. اهداف آن عمدتاً «اطلاعات شخصی» اقوام و مسافران (سوابق بلیت هواپیما، کارت اعتباری، جزئیات مخابراتی) است تا توانمندسازی ردیابی فیزیکی افراد مورد نظر (معترضان، روزنامه‌نگاران) فراهم شود. روش نفوذ: حملات Spear-phishing و بدافزارهای موبایل. مهاجمان با نفوذ به سازمان‌های دارای پایگاه داده‌های مسافرت و ارتباطات (هواپیمایی، شرکت‌های گردشگری و مخابرات) از طریق ایمیل‌های هدفمند و تروجان‌های اندرویدی، اطلاعات شخصی را استخراج می‌کنند. برخلاف APTهای دیگر، تمرکز APT39 کمتر بر اهداف نظامی/اقتصادی است و بیشتر روی سیستم‌های «ردیابی افراد» تمرکز دارد. اثرات: ایجاد زیرساخت جاسوسی گسترده برای نظارت بر رفت‌وآمد فعالان و مهاجران ایرانی؛ نفوذ در سیستم‌های هتل‌ها و خطوط هوایی که منجر به دسترسی به مسیرهای مسافرتی و سوابق ارتباطی می‌شود.
کشور/گروه منتسب: جمهوری اسلامی ایران (وزارت اطلاعات – MOIS)
اهداف: جمع‌آوری اطلاعات شخصی (مسافرتی، هویتی، مکالمات) افراد موردنظر برای مانیتورینگ و ردیابی آنها
روش‌های نفوذ: spear-phishing ایمیلی با ضمیمه‌های مخرب، استقرار بدافزارهای مخصوص موبایل (اندرویدی) و ابزارهای سرقت اطلاعات؛ بهره از آسیب‌پذیری‌های عمومی برای نفوذ به سیستم‌های مسافرت/مخابرات
نمونه حملات: نفوذ به شرکت‌های هواپیمایی، آژانس‌های مسافرت و اپراتورهای مخابراتی در خاورمیانه و اروپا (حمله‌هایی که منجر به دزدیدن جزئیات پروازها و CDR تلفن شد)
اثرات: توانایی دنبال‌کردن فیزیکی و اطلاعاتی افراد (به‌ویژه مخالفان و اعضای دیاسپورا) از طریق داده‌های بدست‌آمده؛ بی‌اعتمادی قربانیان به امنیت داده‌ها و افزایش اقدامات حفاظتی در بخش حمل‌ونقل و مخابرات.
1
Mr. Nothing
نمونه‌های برجسته APT مرتبط با ایران
APT42 (Crooked Charms / TA453): گروه جاسوسی ایرانی وابسته به سپاه (IRGC-IO) که از سال ۲۰۱۵ شناسایی شده است. مأموریت آن جمع‌آوری اطلاعات استراتژیک و نظارت بر افراد و سازمان‌های مهم برای حکومت ایران؛ اهداف شامل نهادهای مخالف در کشورهای غربی، پژوهشگران علمی و فعالان حقوق بشر بود. روش نفوذ: فیشینگ بسیار هدفمند؛ به ویژه ایمیل‌های مهندسی اجتماعی که قربانی را قانع به افشای رمز عبور می‌کند، و بدافزارهای موبایلی جاسوسی. عمده عملیات را credential harvesting تشکیل می‌دهد (سرقت MFA، کراک حساب‌های ایمیل). چندین ابزار سفارشی و روت‌کیت‌های اندروید برای جاسوسی بر روی دستگاه‌های شخصی استفاده می‌شود. اثرات: نفوذ به ایمیل‌های شخصی مقامات غربی و اعضای جامعه ایرانی خارج از کشور؛ امکان نظارت بر ارتباطات داخلی آنها و جمع‌آوری اطلاعات محرمانه. این گروه انعطاف‌پذیری بالایی دارد (مثلاً به سرعت به موضوع پاندمی کرونا روی آورد تا اطلاعات دارویی را سرقت کند).
کشور/گروه منتسب: جمهوری اسلامی ایران (سپاه IRGC – سازمان اطلاعات)
اهداف: جاسوسی و نظارت اطلاعاتی – هدف‌گیری فعالان، پژوهشگران، مقامات سابق و اعضای جامعه ایرانی خارج از کشور
روش‌های نفوذ: spear-phishing بسیار هوشمندانه (ساخت روابط طولانی‌مدت با قربانی)، مهاجرت به حساب‌های کاربری از طریق حملات credential harvesting و استفاده از بدافزارهای اندروید برای کنترل تلفن همراه
نمونه حملات: صدها عملیات تاییدشده از سال ۲۰۱۵ تا ۲۰۲۲؛ نفوذ به حساب‌های شخصی ایمیل و نصب تروجان موبایل برای ردیابی؛ تغییر تمرکز عملیات با تغییر اولویت‌های ایران (مثلاً هدف قرار دادن شرکت‌های دارویی در اوایل کرونا)
اثرات: درز داده‌های شخصی و شرکتی مربوط به اهداف معاند، از جمله محل فیزیکی و محتوای پیام‌های آنها؛ امکان جاسوسی مضاعف بر روی شبکه‌های دولتی از طریق حساب‌های آلود‌ه.
1
Mr. Nothing
نمونه‌های برجسته APT مرتبط با ایران
Rampant Kitten: گروهی ایرانی (احتمالاً وابسته به IRGC) با فعالیت از حدود ۲۰۱۴. مأموریت اصلی آن جاسوسی و افشای اطلاعات مخالفان حکومتی و اقلیت‌های تحت‌پیگرد است. روش نفوذ: استفاده از بدافزارهای سرقت اطلاعات (Information Stealer) که داده‌های برنامه‌های مدیریت گذرواژه (مانند KeePass) و پیام‌های تلگرام را می‌دزدند، همراه با صفحات فیشینگ پیشرفته. حتی برای دورزدن احراز هویت دو عاملی، بدافزارهای اندرویدی برای استخراج کدهای MFA به‌کار می‌رود. نمونه حملات: کمپین‌هایی که با جعل صفحات ورود جعلی و بدافزار اندروید یک‌شبه‌ای، رمزهای عبور تلفن همراه و پیام‌ها را سرقت کردند؛ کارکرد اندروید trojan برای گرفتن کد دو مرحله‌ای. اثرات: درز اسناد شخصی و پیام‌های خصوصی فعالان، ایجاد فشار امنیتی و روانی بر گروه‌های مخالف، اختلال در فعالیت شبکه‌ای و افزایش خودسانسوری در میان شهروندان معترض.
کشور/گروه منتسب: جمهوری اسلامی ایران (احتمالاً سپاه پاسداران)
اهداف: جاسوسی اطلاعاتی و افشای اطلاعات مخالفان داخلی، به‌ویژه اقلیت‌های قومی و دینی، برای سرکوب سیاسی
روش‌های نفوذ: بدافزارهای استیلر پیشرفته برای سرقت اطلاعات ورود (از جمله از KeePass)، حملات فیشینگ با صفحاتی شبیه‌سازی‌شده، هک دو مرحله‌ای (بهره‌برداری از رمز دوم)
نمونه حملات: به‌کارگیری نرم‌افزار اندرویدی مخرب برای دزدیدن کدهای SMS 2FA و اطلاعات لوکال، ارسال هرزنامه‌های هدفمند با بدافزار Dharma علیه بخشی از کاربران
اثرات: به دست‌آوردن اطلاعات حساس شخصیت‌ها، ایجاد ترس و دسیسه‌سازی خبری علیه اپوزیسیون (دکمه منتشر کردن اسناد به‌عنوان ابزار فشاری)، لطمه به ارتباطات خصوصی جامعه مدنی.
1
Pioneer Kitten (Parisite/Fox Kitten): گروه ایرانی که در اکسپلویت‌کردن آسیب‌پذیری‌های زیرساخت لبه شبکه تخصص دارد. عمدتاً در سال‌های اخیر ظاهر شده و هدفش دسترسی اولیه به شبکه‌های سازمانی با استفاده از حفره‌های امنیتی در VPNها، گیت‌وی‌های Citrix، سرورهای RDP و سرویس‌های از راه دور بوده است. روش نفوذ: بهره‌جویی از آسیب‌پذیری‌های شناخته‌شده (مانند CVE-2018-13379 در Fortinet و CVE-2019-11510 در Citrix) و استقرار وب‌شل یا backdoor. پس از نفوذ، ابزارهای متن‌باز (مانند SSH تَنل و Mimikatz) برای گسترش نفوذ و ارتقای سطح دسترسی استفاده می‌شود. این گروه همچنین پس از نفوذ، دسترسی‌های خود را می‌فروشد یا با گروه‌های دیگر به اشتراک می‌گذارد و نقشی مهم در زنجیره حملات پیچیده‌تر ایفا می‌کند. اثرات: ایجاد درب پشتی گسترده به زیرساخت‌های حمل‌ونقل، بهداشت و دفاع در منطقه، به‌گونه‌ای که میتواند مورد استفاده گروه‌های دیگر نیز قرار گیرد.
کشور/گروه منتسب: جمهوری اسلامی ایران (جاسوس‌افزار وابسته به IRGC)
اهداف: نفوذ به زیرساخت‌های تکنولوژیک حیاتی (سرورهای VPN/Citrix/Remote Desktop) و فراهم‌کردن دسترسی دائم به شبکه‌های هدف
روش‌های نفوذ: سوءاستفاده از آسیب‌پذیری‌های شناخته‌شده روی تجهیزات لبه (مثل VPN)، استقرار وب‌شل، استفاده از ابزار متن‌باز (SSH تَنل، Mimikatz) برای حفظ دسترسی
نمونه حملات: کمپین‌های حمله به شبکه‌های دولتی و بهداشتی که از exploit گیت‌وی‌های Forti/Citrix استفاده کردند؛ گزارش شده دسترسی حاصل‌شده در شبکه‌های شرکتی مختلف در اسراییل، امریکا و خاورمیانه.
اثرات: تأسیس دسترسی‌های ریشه‌ای (Persistence) در شبکه قربانی، امکان گسترش حملات جاسوسی یا خرابکارانه توسط گروه‌های وابسته، فروش دسترسی به سایر واحدهای اطلاعاتی.
1