İran hakerlərin köməyi ilə dissidentləri necə aşkar edir?

Oxunub: 667 19:18 18 Noyabr 2022

İranın dövlət tərəfindən maliyyələşdirilən təhdid aktorları tərəfindən həyata keçirilən kiber əməliyyatlar onların İran vətəndaşları, o cümlədən dissidentlər, müxalifət qüvvələri, İŞİD tərəfdarları və yerli kürdlər də daxil olmaqla, İslam Respublikasının sabitliyinə təhlükə yarada biləcək təfərrüatlı sənədlərin tərtib edilməsinə diqqətini nümayiş etdirir.

İki qabaqcıl İran kiberqrupu “Domestic Kitten” (və ya APT-C-50) və “Infy”də aparılmış geniş casusluq əməliyyatlarını izləyən “Check Point” kibertəhlükəsizlik firması onların yenilənmiş zərərli proqram alətləri dəstindən istifadəsini əhatə edən davam edən fəaliyyətlərinə dair yeni sübutlar ortaya qoyub.

“Check Point” tədqiqatçıları yeni təhlildə bildiriblər ki, hər iki qrup həm şəxslərin mobil cihazlarını, həm də fərdi kompüterlərini hədəf alan uzunmüddətli kiberhücumlar və müdaxiləli müşahidə kampaniyaları həyata keçirib. Bu kampaniyaların operatorları açıq-aydın aktivdirlər, həssasdırlar və əməliyyatlarının uzunömürlülüyünü təmin etmək üçün daim yeni hücum vektorları və üsulları axtarırlar.

Qurbanların üst-üstə düşməsinə və toplanmış məlumatların növünə baxmayaraq, iki təhlükə aktoru bir-birindən müstəqil fəaliyyət göstərirlər. Tədqiqatçıların fikrincə, eyni hədəfləri vurmaq üçün iki fərqli hücum vektorundan istifadə etməklə yaradılan “sinergik effect” gözardı edilə bilməz.

2016-cı ildən aktiv olan “Domestic Kitten” qrupunun SMS mesajları, zəng qeydləri, fotoşəkillər, videolar və səs yazıları ilə birlikdə cihazda məkan məlumatları kimi həssas məlumatları toplayan zərərli “Android” proqramları ilə xüsusi qrupları hədəf aldığı bilinir.

“Check Point”in məlumatına görə, ən sonuncusu 2020-ci ilin noyabrında başlayan dörd aktiv kampaniyada müxtəlif örtük proqramlarından istifadə edildiyi aşkar edilib. “FurBall” adlı zərərli proqramı yaymaq üçün “Exotic Flowers” (“Google Play”də mövcud olan oyunun yenidən paketlənmiş variantı) və “Iranian Woman Ninja” (divar kağızı proqramı) tətbiqlərindən istifadə edilib.

Tədqiqatçıların bildirdiyinə görə, hücumun əsas hədəfləri İran, ABŞ, Böyük Britaniya, Pakistan, Əfqanıstan, Türkiyə və Özbəkistanda yerləşən 1200 nəfər olub, 600-dən çox uğurlu müdaxilə aşkar edilib.

Quraşdırıldıqdan sonra “FurBall” proqramı hər dəfə cihaz işə salındıqda avtomatik icra etmək üçün özünə geniş icazələr verir və brauzer tarixçəsini, aparat məlumatlarını, xarici SD kartdakı faylları toplamağa və vaxtaşırı olaraq hər 20 saniyədən bir video, foto və zəng qeydlərini oğurlamağa davam edir.

Kiber təhlükəsizlik

O, həmçinin mübadilə buferinin məzmununu izləyir, cihaz tərəfindən qəbul edilən bütün bildirişlərə giriş əldə edir, audio, video və telefon zənglərini yazmaq üçün komanda və idarəetmə (C2) serverindən verilən əmrləri uzaqdan icra etmək imkanları ilə ortaya çıxır.

Maraqlıdır ki, “FurBall” “KidLogger” adlı kommersiya məqsədli “Spyware” proqramına əsaslanır və bu, aktorların ya “KidLogger” mənbə kodunu əldə etdiyini, ya da əldə olunan nümunənin tərs mühəndisliklə bütün kənar hissələrini çıxarıb, sonra daha çox imkanlar əlavə etdiyini göstərir.

İlk dəfə 2016-cı ilin may ayında “Palo Alto Networks” tərəfindən kəşf edilən “Infy”nin (həmçinin Fars Şahzadəsi adlanır) 2020-ci ilin aprelində yenilənmiş fəaliyyəti, on ildən artıqdır ki, İran dissidentlərini və bütün Avropadakı diplomatik agentlikləri hədəf alan qrupun kiber əməliyyatlarının davamını göstərir.

2016-cı ilin iyununda “Palo Alto Networks” tərəfindən qrupun C2 infrastrukturunu çökdürmək üçün həyata keçirdiyi əməliyyatdan sonra onların müşahidə səyləri hiss edilsə də, “Infy” 2017-ci ilin avqustunda “Foudre” adlı yeni “Windows” məlumat oğurluğu ilə birlikdə anti-ələ keçirmə üsullarıyla yenidən gündəmə gəldi.

Tədqiqatçılar Klaudio Quarnieri və Kollin Andersonun 2016-cı ilin iyulunda yönləndirilən C2 domenlərinin bir hissəsinin DNS dəyişdirilməsi və HTTP filtrasiyası ilə bloklandığına dair sübutları açıqlamasından sonra qrupun İran Telekommunikasiya Şirkəti ilə əlaqələri olduğu bildirilir.

2020-ci ilin aprel ayından etibarən “Foudre”nin (20-22) üç versiyası aşkar edilib, yeni variantlar növbəti mərhələ yükü kimi “Tonnerre 11”i endirib.

Hücum zənciri fars dilində yazılmış sənədləri ehtiva edən fişinq e-poçtlarının göndərilməsi ilə başlayır ki, bu da bağlandıqda, “Foudre” adlı zərərli makrodan istifadə edir, sonra “Tonnerre” proqramını yükləmək üçün C2 serverinə qoşulur.

C2 serverindən əmrlərin yerinə yetirilməsi, səslərin yazılması və ekran görüntülərinin çəkilməsi ilə yanaşı, “Tonnerre”ni fərqləndirən onun iki C2 server dəstindən istifadə etməsidir.

Tədqiqatçılar qeyd edirlər ki, 56MB-da “Tonnerre”nin qeyri-adi ölçüsü də öz xeyrinə işləyəcək və aşkarlanmadan yayınacaq, çünki bir çox satıcılar zərərli proqramların skan edilməsi zamanı böyük faylları görməməzlikdən gəlirlər.

Bununla belə, “Domestic Kitten”dən fərqli olaraq, İraq, Azərbaycan, Böyük Britaniya, Rusiya, Rumıniya, Almaniya, Kanada, Türkiyə, ABŞ, Hollandiya və İsveçdən olanlar da daxil olmaqla, bu hücumda yalnız bir neçə onlarla qurbanın hədəf alındığı aşkar edilib.

“İran kibercasus kampaniyalarının operatorları, görünür, başqaları tərəfindən həyata keçirilən hər hansı əks fəaliyyətdən təsirlənmirlər. Keçmişdə aşkar edilib, hətta müvəqqəti olaraq dayandırılmalarına baxmayaraq, onlar tam olaraq dayanmırlar”, - deyə ekspert Yaniv Balmas bildirib.

Sevinc Əliyeva
Ordu.az

© Materiallardan istifadə edərkən hiperlinklə istinad olunmalıdır

Teqlər: İran Kiberəməliyyat

Bizi "telegram"da izləyin