گروه هکر APT42 تحت حمایت دولتی ایران، دولت، سازمانهای غیردولتی و سازمانهای بیندولتی را برای جمعآوری اعتبار هدف قرار میدهد.
در حوزه امنیت سایبری، هوشیاری از اهمیت بالایی برخوردار است. افشاگریهای اخیر از Google Cloud's Mandiant، فعالیتهای پلید APT42 را روشن میکند، یک گروه جاسوسی سایبری تحت حمایت دولت که گمان میرود به نمایندگی از سپاه پاسداران انقلاب اسلامی (سپاه پاسداران انقلاب اسلامی) در ایران فعالیت میکند. با سابقه ای که حداقل به سال 2015 برمی گردد، APT42 به عنوان یک تهدید مهم ظاهر شده است و مجموعه وسیعی از نهادها از جمله سازمان های غیردولتی، نهادهای دولتی و سازمان های بین دولتی را هدف قرار داده است.
روش عملیاتی APT42 که تحت نام های مستعار مختلفی مانند Calanque و UNC788 کار می کند، به همان اندازه که نگران کننده است، پیچیده است. این گروه با استفاده از تاکتیکهای مهندسی اجتماعی، خود را به عنوان روزنامهنگاران و سازماندهندگان رویداد برای نفوذ به شبکههای اهداف خود نشان میدهد. با استفاده از این استراتژیهای فریبنده، APT42 اعتماد قربانیان ناآگاه را به دست میآورد و آنها را قادر میسازد تا اعتبارنامههای ارزشمندی را برای دسترسی غیرمجاز دریافت کنند.
یکی از ویژگی های رویکرد APT42 استفاده از درهای پشتی متعدد برای تسهیل فعالیت های مخرب آن است. گزارش Mandiant به استقرار دو درب پشتی جدید در حملات اخیر اشاره می کند. این ابزارهای مخفی APT42 را قادر میسازد تا به محیطهای ابری نفوذ کند، دادههای حساس را استخراج کند و با استفاده از ابزارهای منبع باز و ویژگیهای داخلی از شناسایی فرار کند.
تجزیه و تحلیل Mandiant بیشتر زیرساخت پیچیده استفاده شده توسط APT42 در عملیات خود را نشان می دهد. این گروه کمپینهای گستردهای را برای جمعآوری اعتبار سازماندهی میکند و اهداف خود را به سه دسته مجزا دستهبندی میکند. از خودنمایی به عنوان سازمانهای رسانهای گرفته تا جعل هویت سرویسهای مشروع، APT42 از تاکتیکهای مختلفی برای فریب قربانیان خود برای افشای اعتبار ورود به سیستم استفاده میکند.
علاوه بر این، فعالیت های APT42 فراتر از جاسوسی سایبری سنتی است. این گروه تمایل خود را برای انطباق تاکتیک های خود نشان داده است، همانطور که با استقرار درب های پشتی سفارشی مانند Nicecurl و Tamecat نشان داده شده است. این ابزارها که به ترتیب با VBScript و PowerShell نوشته شده اند، APT42 را قادر می سازند تا دستورات دلخواه را اجرا کند و اطلاعات حساس را از سیستم های در معرض خطر استخراج کند.
با وجود تنشهای ژئوپلیتیکی و درگیریهای منطقهای، APT42 همچنان در پیگیری جمعآوری اطلاعات ثابت قدم است. یافتههای Mandiant بر انعطافپذیری و پایداری این گروه تأکید میکند، زیرا همچنان به هدف قرار دادن نهادهای مرتبط با مسائل حساس ژئوپلیتیکی در ایالات متحده، اسرائیل و فراتر از آن ادامه میدهد. علاوه بر این، همپوشانی بین فعالیتهای APT42 و سایر گروههای هکر ایرانی، مانند Charming Kitten، ماهیت هماهنگ و چندوجهی عملیات سایبری ایران را برجسته میکند.
در مواجهه با چنین تهدیداتی، اقدامات پیشگیرانه امنیت سایبری ضروری است. سازمانها باید مراقب باشند و از پروتکلهای امنیتی قوی استفاده کنند و در جریان آخرین تحولات دفاع سایبری قرار بگیرند. با تقویت همکاری و به اشتراک گذاری اطلاعات، جامعه جهانی بهتر می تواند با چشم انداز تهدید در حال تکاملی که توسط گروه هایی مانند APT42 ایجاد می شود، مقابله کند.
در نهایت، افشاگری های ارائه شده توسط Mandiant به عنوان یادآوری هشیارکننده از ماهیت مداوم و فراگیر تهدیدات سایبری است. همانطور که تکنولوژی به پیشرفت خود ادامه می دهد، دفاع ما نیز باید پیشرفت کند. تنها از طریق اقدام جمعی و تلاش تزلزل ناپذیر می توان امیدوار بود که خطرات ناشی از گروه های جاسوسی سایبری تحت حمایت دولت مانند APT42 را کاهش دهیم.