تقریبا سه سال پس از آنکه گروه اسرارآمیز به نام Brother's Shadow شروع به از بین بردن هکرهای
NSA و نابودی
ابزارهای هک شده خود را بر روی وب باز کردند، هکرها ایرانی طعم و مزه خود را از این تجربه نابسامان دریافت می کنند. برای ماه گذشته یک شخص یا گروه رمز و راز هدف اصلی یک تیم هکر ایرانی است، اطلاعاتی که مخفی، ابزار و حتی هویت آنها را بر روی کانال عمومی
Telegram قرار می دهد، و نشت نشانه های توقف آن را نشان نمی دهد.
از 25 مارس یک کانال Telegram به نام Read My Lips یا Lab Dookhtegan - که از زبان فارسی به عنوان "لبهای دوخته شده" ترجمه شده است - سیستماتیک اسرار یک گروه هکر به نام APT34 یا OilRig است که محققان معتقدند که در حال کار کردن هستند خدمات حکومت ایران. تا کنون، محرمانه یا ناکارآمدی مجموعه ای از ابزار هکرها را منتشر کرده است، شواهدی از نقاط نفوذ آنها برای 66 سازمان قربانیان در سراسر جهان، آدرس آی پی سرورهای مورد استفاده توسط اطلاعات ایران و حتی هویت ها و عکس های متهمان هکر با گروه OilRig.
"ما در اینجا ابزارهای اینترنتی (APT34 / OILRIG) را نشان می دهیم که وزارت اطلاعات بی رحمانه ایران علیه کشورهای همسایه ایران، از جمله نام مدیران بی رحمانه و اطلاعات مربوط به فعالیت ها و اهداف این حملات سایبری، استفاده می کند" خواندن پیام اصلی ارسال شده به Telegram توسط هکرها در اواخر ماه مارس. "ما امیدواریم که دیگر شهروندان ایرانی برای افشای چهره زشت واقعی این رژیم اقدام کنند".
ماهیت دقیق عملیات نشت و فرد یا افرادی که در پشت آن هستند، چیزی جز روشن نیست. به نظر می رسد این نشت به هکرهای ایرانی خجالت زده است، ابزارهایشان را به نمایش می گذارد و آنها را مجبور می کند تا برای جلوگیری از شناسایی و حتی امنیت و ایمنی اعضای فردی APT34 / OilRig، آنها را بسازند. براندون Levene، رئیس اطلاعات عملیاتی در شرکت امنیتی کرونیکل می گوید: "به نظر می رسد که خود یک ناامیدی ناراضی است که از ابزار اپراتورهای APT34 نشت می کند یا این نوع انحصاری است که علاقه مند به خرابکاری عملیات برای این گروه خاص است. تجزیه و تحلیل نشت انجام شده است. "به نظر می رسد که آنها برای این بچه ها چیز خاصی داشته باشند. آنها نام و فریاد زدن دارند، نه فقط ابزارها را از بین می برند."
از روز شنبه صبح، خوانندگان من به عنوان خوانده شده لب من همچنان به ارسال اسامی، عکس ها و حتی اطلاعات تماس اعضای OilRig اعطا شده به Telegram، هر چند WIRED نمی توانست تایید کند که هر یک از مردان شناخته شده در واقع به گروه هکر ایرانی متصل است. "از حالا به بعد، ما هر چند روز یک بار اطلاعات شخصی یکی از کارکنان لعنتی و اطلاعات مخفی از وزارت اطلاعات را تهدید خواهد کرد تا این وزارت خائن را نابود کند."
تحلیلگران کرونیکل تایید می کنند که حداقل ابزارهای هک شده در واقع ابزار هک کردن OilRig هستند، همانطور که گفته شد. آنها شامل، به عنوان مثال، برنامه های Hypershell و TwoFace، طراحی شده است تا هکرها را به سمت سرورهای هک شده وب متصل کند. یکی دیگر از ابزارهای معروف PoisonFrog و Glimpse به نظر می رسد نسخه های مختلف تروجان با دسترسی از راه دور به نام BondUpdater است که محققان در Palo Alto Networks از ماه اوت گذشته از OilRig استفاده کرده اند.
به غیر از نشت این ابزارها، Read My Lick Laker همچنین ادعا می کند که محتویات سرورهای اطلاعاتی ایران را از بین برده و تصاویری از پیامی که گفته می شود آن را پشت سر گذاشته است، مانند تصویر زیر نشان داده است.
هنگامی که کارگزاران سایه جمع آوری ابزارهای هکینگ مخفی خود را در طول سالهای 2016 و 2017 از بین بردند، نتایج فاجعه آمیز بود: ابزارهای هک ناپذیر NSA EternalBlue و EternalRomance در بعضی از حملات مخرب و هزینه های سایبری در تاریخ مورد استفاده قرار گرفت ، از جمله کرمهای WannaCry و NotPetya. اما Levene Chronicle says می گوید که ابزارهای OilRig تخریب شده تقریبا به اندازه ی منحصر به فرد و خطرناک نیستند و نسخه های نابود شده از ابزارهای وب بطور خاص عناصر گمشده ای را به وجود می آورند که به راحتی قابل بازگشت می باشند. Levene می گوید: "این واقعا برش نیست. "احتمالا این تسلیحات از این ابزارها به وقوع نخواهد رسید."
یکی دیگر از ابزارهای موجود در نشت به عنوان بدافزار "DNSpionage" توصیف شده و به عنوان "کد مورد استفاده برای [man-in-the-middle] برای استخراج اطلاعات احراز هویت" و "کد برای مدیریت ی DNS" توصیف شده است. نام و شرح DNSpionage با یک عملیات که شرکت های امنیتی در اواخر سال گذشته کشف کرده اند مطابقت دارند و از زمان به ایران اعطا شده اند. این عملیات، ده ها تن از سازمان های سراسر خاورمیانه را با تغییر دایرکتوری های DNS خود برای هدایت تمام ترافیک ورودی خود به سرور دیگری که هکرها می توانند آن را به طور صریح رهگیری و سرقت هر نام کاربری و کلمه عبور که شامل آن بودند، هدف قرار دادند.
اما Levene Chronicle می گوید که، علی رغم ظاهرا، کرونیکل معتقد نیست که نرم افزارهای مخرب DNSpionage در نشت مطابق با بدافزار مورد استفاده در آن مبارزات انتخاب شده قبلا است. با این حال، دو ابزار ربودن DNS به نظر می رسد قابلیت های مشابهی دارند و دو کمپین هک شده حداقل برخی از قربانیان را به اشتراک گذاشته اند. "Read My Lips" شامل مواردی از مصادیق سرور است که OilRig در یک مجموعه گسترده از شبکه های خاورمیانه، از فرودگاه ابوظبی تا فرودگاه اتیهاد به آژانس امنیت ملی بحرین، به شرکت Solidarity Saudi Takaful که یک شرکت بیمه عربستان سعودی است، تاسیس شده است. با توجه به تجزیه و تحلیل کرونیکل از اطلاعات قربانیان نشت شده، اهداف OilRig نیز به عنوان یک شرکت بازی های کره ای جنوبی و یک مؤسسه دولتی مکزیک متفاوت است. اما Levene می گوید که بسیاری از ده ها قربانی هکرها در خاورمیانه خوشه بندی شده اند و برخی نیز توسط DNSpionage آسیب دیده اند. او می گوید: "ما هیچ ارتباطی با DNSpionage نمی بینیم، اما قربانی همپوشانی وجود دارد." "اگر آنها یکسان نیستند، حداقل منافع آنها متقابل است".
برای OilRig، نشت جاری نشان دهنده افت فشار شرم آور و نقض امنیتی عملیاتی است. Levene می گوید، اما برای جامعه تحقیقاتی امنیتی، آن را نیز ارائه می دهد یک دیدگاه نادر در داخل داخلی گروه هک از طرف دولت حمایت می کند. او می گوید: "ما اغلب نگاهی به گروه های حمایت شده از دولت و نحوه کار آنها نداریم." "این به ما یک ایده از گستره و مقیاس قابلیت های این گروه را می دهد."
با این حال، به عنوان خوانده شده لبخندهای من، اسرار ایرانیان را نشان می دهد، با این حال، منبع نشت آن هنوز رمز و راز است. و با ادعای Telegram خود قضاوت می کند، فقط شروع به کار می کند. پیامی از گروهی که هفته گذشته منتشر شد، می نویسد: "ما اطلاعات بیشتری در مورد جنایات وزارت اطلاعات و مدیران آن داریم." "ما مصمم به ادامه دادن به آنها هستیم. ما را دنبال کنید و به اشتراک بگذارید!"
درباره این سایت