نتایج تحقیقات یک شرکت امنیت سایبری نشان میدهد هکرهای وابسته به سپاه پاسداران انقلاب اسلامی برای اجرای حملات سایبری خود به ستادهای انتخاباتی دونالد ترامپ و جو بایدن-کامالا هریس، از زیرساختهای فنی گروه «هزاردستان»، مالک شرکتهای کافهبازار و دیوار استفاده کردند.
محققان شرکت امنیت سایبری «رکوردد فیوچر» (Recorded Future) با انتشار گزارشی درباره جزییات حملات سایبری اخیر جمهوری اسلامی به ایالات متحده، از کشف آدرسهای آیپی ایرانی در زیرساخت مورد استفاده هکرها خبر دادند.
دستکم دو نمونه از آیپیهایی که هکرها از آنها برای انجام عملیات فیشینگ علیه ستادهای انتخاباتی در آمریکا استفاده کردهاند به شرکت «آوای همراه هوشمند هزاردستان» تعلق دارد.
این آیپیها در اختیار یکی از زیرمجموعههای این هولدینگ با نام «ستون» است که به سازمانها و کسبوکارها، خدمات میزبانی وب و فنآوری ابری ارائه میدهد.
به گفته محققان، آیپیهای مورد اشاره از تاریخ چهارم مرداد امسال (۲۵ ژوییه ۲۰۲۴) تا لحظه انتشار این گزارش فنی، با زیرساخت هکرها ارتباط داشته و احتمالا برای حملات فیشینگ مورد استفاده قرار گرفتهاند.
این گزارش، درباره عمدی یا غیرعمدی بودن نقش این مجموعه ایرانی در حملات یاد شده نتیجهگیری نکرده است.
اواخر مرداد ۱۴۰۳، افبیآی، دفتر مدیر اطلاعات ملی و آژانس امنیت سایبری و امنیت زیرساخت آمریکا در بیانیهای جمهوری اسلامی را مسئول تلاش برای هک کردن ستادهای انتخاباتی ترامپ و بایدن-هریس معرفی کردند.
در این بیانیه آمده بود که جمهوری اسلامی به دنبال دامن زدن به اختلاف و تضعیف اعتماد به نهادهای دموکراتیک در ایالات متحده است و علاقه دیرینه خود را به بهرهبرداری از تنشهای اجتماعی از طریق روشهای مختلف، از جمله با استفاده از عملیات سایبری به منظور تلاش برای دسترسی به اطلاعات حساس مرتبط با انتخابات آمریکا نشان داده است.
یک گزارش از روزنامه واشینگتنپست نشان میدهد کارکنان ستادهای انتخاباتی آمریکا در هفتههای گذشته ایمیلهای فیشینگ دریافت کردند که کلیک روی آنها منجر به دسترسی مهاجمان به سیستم قربانیان میشد.
در ادامه این گزارشها، شرکتهای بزرگ فنآوری جهان مانند گوگل، متا و مایکروسافت نیز جزییات فنی مختلفی از حملات سایبری صورت گرفته علیه شخصیتهای انتخاباتی آمریکا منتشر کردند.
گوگل در گزارشی تاکید کرد هکرهای حکومتی ایران بهشکلی فعالانه برای رخنه به حسابهای کاربری افراد نزدیک به بایدن، رییسجمهوری آمریکا و هریس، معاون او و نیز ترامپ، رییسجمهوری پیشین ایالات متحده تلاش میکنند.
شرکت متا روز جمعه دوم شهریور از شناسایی فعالیتهای گروهی هکری وابسته به جمهوری اسلامی خبر داد که میکوشد به حسابهای واتساپ مقامهای آمریکایی در دولت بایدن و مقامات پیشین دولت ترامپ دسترسی پیدا کند.
مایک ترنر، رییس جمهوریخواه کمیته اطلاعات مجلس نمایندگان آمریکا، روز سهشنبه ششم شهریور در نامهای به بایدن، خواستار «اقدام فوری و قاطعانه» دولت آمریکا علیه تلاشهای جمهوری اسلامی برای نفوذ در انتخابات ایالات متحده شد.
کارشناسان شرکت رکوردد فیوچر میگویند گروه هکری «گرین چارلی» (GreenCharlie) یکی از دو گروه مسئول عملیات سایبری علیه ستادهای انتخاباتی در آمریکا بوده است.
فروردین ۱۴۰۲ شرکت مایکروسافت با انتشار هشداری درباره احتمال وقوع حملات سایبری مخرب از سوی جمهوری اسلامی، گفت این گروه استراتژی خود را از فعالیتهای شناسایی، به حمله به زیرساختهای حیاتی ایالات متحده تغییر داده است.
گروه هکری گرین چارلی که با نامهای دیگری از جمله «بچه گربههای دلربا» (Charming Kitten) و «طوفان شنی نعنایی» (Mint Sandstorm) شناخته میشود، به سازمان اطلاعات سپاه پاسداران منتسب شده است.
بر اساس گزارش رکوردد فیوچر، هکرهای حکومتی ایران علاوه بر استفاده از زیرساخت شرکت هزاردستان، از خدمات شرکتهای خارجی نظیر «پروتون ویپیان» و «پروتون میل» نیز استفاده کردهاند.
نوامبر ۲۰۲۲ شرکت بریتانیایی «پرایسواترهاوسکوپرز» در گزارشی از نقش شرکت ابرآروان در تامین زیرساخت برای گروههای هکری وابسته به حکومت ایران خبر داد.
این موضوع از جمله دلایلی بود که سبب شد ایالات متحده این شرکت را به فهرست تحریمهای خود اضافه کند.
کسبوکارهای ارائهدهنده خدمات میزبانی ایرانی پیش از این نیز در تامین زیرساخت برای هکرهای حکومتی نقش ایفا کردهاند.
شرکت امنیت سایبری «هالسیون» (Halcyon) در مرداد ۱۴۰۲ از نقش یک مجموعه ایرانی ارائهدهنده خدمات ابری با نام «ابرناک» در ارائه زیرساخت فنی به مجرمان و هکرهای حکومتی بینالمللی با هدف تسهیل حملات سایبری و باجافزاری پرده برداشت.
بر اساس این گزارش، ابرناک در پوشش یک شرکت آمریکایی به نام «کلادزی» (Cloudzy) با دور زدن احتمالی تحریمهای ایالات متحده به ارائهدهندهای پرطرفدار بین مجرمان سایبری و هکرهای حکومتی تبدیل شده است.