بچه گربه جذاب

بچه گربه جذاب یا بچه گربه ملوس^[۱] (به انگلیسی: Charming Kitten) (نام مستعار دیگر شامل APT35 (توسط مندیانت)، فسفر (توسط مایکروسافت)،^[۲] Ajax Security (توسط فایرآی)،^[۳] NewsBeef (توسط کسپراسکی،^[۴])^[۵] یک گروه جنگ سایبری دولتی ایران است. که توسط چندین شرکت و مقامات دولتی به عنوان یک تهدید دائمی پیشرفته توصیف شده‌است.

بچه گربه جذاب

Модный мишка
بنیان‌گذاری	ح. ۲۰۰۴–۲۰۰۷[۱]
گونه	تهدید دائمی پیشرفته
تمرکز	جاسوسی سایبری، جنگ سایبری
منطقه	خاورمیانه
شیوه‌ها	حمله روز صفر، فیشینگ نیزه‌ای، بدافزار، مهندسی اجتماعی
اعضا	حداقل ۵ نفر
زبان‌های رسمی	فارسی
سازمان مادر	سپاه پاسداران انقلاب اسلامی
وابستگی	Rocket Kitten
نام پیشین	APT35 Turk Black Hat Ajax Security Team Phosphorus

در ۱۵ دسامبر ۲۰۱۷، این گروه توسط فایرآی به عنوان یک تهدید دائمی پیشرفته مبتنی بر دولت ملی، بدون توجه به عدم پیچیدگی آن، تعیین شد. تحقیقات انجام شده توسط فایرآی در سال ۲۰۱۸ نشان داد که APT35 ممکن است در حال گسترش قابلیت‌های بدافزاری و کمپین‌های نفوذ خود باشد.^[۶]

از آن زمان این گروه به استفاده از فیشینگ برای جعل هویت وب‌سایت شرکت‌ها،^[۷] و همچنین از حساب‌های جعلی و دامنه اینترنتی جعلی برای رمزگیری گذرواژه‌های کاربران شناخته شده‌است.

تاریخچه

مونیکا ویت (اوایل ۲۰۱۳)

در سال ۲۰۱۳، گروهبان فنی سابق نیروی هوایی ایالات متحده و پیمانکار دفاعی اطلاعات نظامی، مونیکا ویت، به ایران فرار کرد^[۸] زیرا می‌دانست که ممکن است برای انجام این کار مورد اتهامات جنایی توسط ایالات متحده باشد.

حمله سایبری اچ‌بی‌او (۲۰۱۷)

در سال ۲۰۱۷، پس از یک حمله سایبری به اچ‌بی‌او به این دلیل که ممکن است اطلاعات محرمانه درز کرده‌است تحقیقات مشترک گسترده‌ای آغاز شد. بیانیه شرطی یک هکر با نام مستعار سکوت وحشت (به انگلیسی: Sokoote Vahshat) که در آن گفته شده بود اگر پول پرداخت نشود، فیلمنامه‌های قسمت‌هایی از سریال‌ها از جمله قسمت‌هایی از بازی تاج و تخت را لو خواهد داد. این هک باعث نشت ۱/۵ ترابایت داده شد که برخی از آن‌ها برنامه‌ها و قسمت‌هایی بودند که در آن زمان پخش نشده بودند.^[۹] HBO از آن زمان اعلام کرده‌است که اقدامات لازم را برای اطمینان از عدم نقض مجدد آنها انجام می‌دهد.^[۱۰]

متعاقباً بهزاد مصری به اتهام هک متهم شد. از آن زمان گفته می‌شود که او بخشی از واحد عملیاتی است که اطلاعات محرمانه را درز کرده بود.^[۱۱]

به گفته سرتفا، بچه گربه جذاب، مقامات آمریکایی درگیر در برنامه جامع اقدام مشترک (برجام) را هدف قرار داده بود اما دولت ایران هرگونه دخالت در این ماجرا را رد کرد.^[۱۲][۱۳]

کیفرخواست دوم (۲۰۱۹)

هیئت منصفه بزرگ فدرال در دادگاه منطقه ای ایالات متحده در ناحیه کلمبیا Witt را به اتهام جاسوسی (به ویژه "توطئه برای ارائه و ارائه اطلاعات دفاع ملی به نمایندگان دولت ایران") متهم کرد. کیفرخواست در ۱۹ فوریه ۲۰۱۹ باز شد. در همین کیفرخواست، چهار شهروند ایرانی — مجتبی معصوم پور، بهزاد مصری، حسین پرور و محمد پریار — به اتهام اجتماع و تبانی، تلاش برای ارتکاب نفوذ رایانه‌ای و سرقت هویت تشدید شده برای کمپینی در سال‌های ۲۰۱۴ و ۲۰۱۵ متهم شدند.^[۱۴]

در مارس ۲۰۱۹، مایکروسافت مالکیت ۹۹ دامنه اینترنتی متعلق به هکرهای تحت حمایت دولت ایران را در اقدامی با هدف کاهش خطر فیشینگ و سایر حملات سایبری در اختیار گرفت.^[۱۵]

تلاش‌های مداخله در انتخابات ۲۰۲۰ (۲۰۱۹)

طبق گفته مایکروسافت، در یک دوره ۳۰ روزه بین اوت و سپتامبر ۲۰۱۹، گربه جذاب ۲۷۰۰ تلاش هدفمند برای به دست آوردن اطلاعات حساب‌های ایمیل انجام دادند.^[۱۶] که شامل ۲۴۱ حمله و در معرض خطر قرار گرفتن ۴ حساب کاربری بود. اگرچه تصور می‌شد که این ابتکار با هدف کمپین ریاست جمهوری ایالات متحده انجام شده‌است، اما هیچ‌یک از حساب‌های به خطر افتاده مربوط به انتخابات نبود.

مایکروسافت مشخص نکرد که چه کسی هدف قرار گرفته شده بود، اما گزارش بعدی رویترز مدعی شد که این کارزار انتخاباتی مجدد دونالد ترامپ بوده‌است.^[۱۷] این ادعا با این واقعیت تأیید می‌شود که فقط کمپین ترامپ از ماکروسافت اتلوک به عنوان مشتری ایمیل استفاده می‌کرده‌است.

ایران هرگونه دخالت در انتخابات را تکذیب کرد و محمدجواد ظریف، وزیر امور خارجه ایران در مصاحبه‌ای با NBC گفت: «ما در انتخاب شما (ایالات متحده) ترجیحی برای مداخله نداریم» و «ما در امور داخلی دخالت نمی‌کنیم».^[۱۸]

کارشناسان امنیت سایبری در مایکروسافت و شرکت‌های شخص ثالث مانند ClearSky Cyber Security معتقدند که ایران، به‌ویژه بچه گربه جذاب، پشت این مداخله بوده‌است. در اکتبر ۲۰۱۹، ClearSky گزارشی منتشر کرد که از نتیجه‌گیری اولیه مایکروسافت حمایت می‌کرد.^[۱۹] در این گزارش، جزئیات مربوط به این حمله سایبری با موارد حملات قبلی که از بچه گربه جذاب نشات گرفته بود، مقایسه و شباهت‌های زیر یافت شد:

• پروفایل‌های قربانی مشابه: کسانی که هدف قرار گرفتند در دسته‌های مشابه قرار گرفتند. همه آنها در زمینه‌های دانشگاهی، روزنامه‌نگاری، فعالیت‌های حقوق بشری و مخالفان سیاسی با علاقه به موضوع ایران بودند.
• همپوشانی زمانی: فعالیت تأیید شده بچه گربه جذاب در همان بازه زمانی که تلاش‌های مداخله در انتخابات انجام شد، افزایش یافت.
• بردارهای حمله ثابت: روش‌های حمله با ابزارهای مخرب توسط فیشینگ نیزه‌ای و از طریق پیامک مشابه بودند.

2020 HYPERSCRAPE، ابزار استخراج داده (۲۰۲۱)

در ۲۳ اوت ۲۰۲۲، وبلاگ Google Threat Analysis Group (TAG) ابزار جدیدی را که توسط بچه گربه جذاب برای سرقت اطلاعات از ارائه دهندگان ایمیل معروف (به عنوان مثال گوگل، یاهو و مایکروسافت) استفاده شده منتشر کرد.^[۲۰] این ابزار برای ایجاد یک جلسه از طرف خود به اعتبار هدف نیاز دارد و به گونه‌ای عمل می‌کند که استفاده از سرویس‌های پستی قدیمی برای سرور عادی به نظر می‌رسد و ایمیل‌های قربانی را دانلود می‌کند و همچنین تغییراتی را برای پنهان کردن اثر انگشت خود انجام می‌دهد.

بر اساس گزارش، این ابزار بر روی پلت فرم ویندوز توسعه یافته‌است، اما نه برای دستگاه قربانی. از هر دو ابزار خط فرمان و رابط کاربری گرافیکی برای وارد کردن اعتبار یا سایر منابع مورد نیاز مثل کوکی‌ها استفاده می‌کند.

منابع

1. «دیده‌بان حقوق بشر از حمله سایبری «عوامل مورد حمایت حکومت» ایران خبر داد». بی‌بی‌سی فارسی. دریافت‌شده در ۵ دسامبر ۲۰۲۲.
2. "Microsoft uses court order to shut down APT35 websites". CyberScoop. March 27, 2019.
3. "Ajax Security Team lead Iran-based hacking groups". Security Affairs. May 13, 2014.
4. "Freezer Paper around Free Meat". securelist.com.
5. Bass, Dina. "Microsoft Takes on Another Hacking Group, This One With Links to Iran". news.bloomberglaw.com.
6. "OVERRULED: Containing a Potentially Destructive Adversary". FireEye.
7. "Iranian Charming Kitten ATP group poses as Israeli cybersecurity firm in phishing campaign". Security Affairs. July 3, 2018.
8. Blinder, Alan; Turkewitz, Julie; Goldman, Adam (2019-02-16). "Isolated and Adrift, an American Woman Turned Toward Iran". The New York Times (به انگلیسی). ISSN 0362-4331. Retrieved 2022-04-23.
9. "The HBO hack: what we know (and what we don't) - Vox". August 5, 2017.
10. Petski, Denise (July 31, 2017). "HBO Confirms It Was Hit By Cyber Attack".
11. "HBO Hacker Was Part of Iran's "Charming Kitten" Elite Cyber-Espionage Unit". BleepingComputer.
12. "Iranian Hackers Target Nuclear Experts, US Officials". Dark Reading. December 15, 2018.
13. Satter, Raphael (December 13, 2018). "AP Exclusive: Iran hackers hunt nuclear workers, US targets". AP NEWS.
14. "Former U.S. Counterintelligence Agent Charged With Espionage on Behalf of Iran; Four Iranians Charged With a Cyber Campaign Targeting Her Former Colleagues" (Press release). United States Department of Justice, Office of Public Affairs. February 13, 2019.
15. "Microsoft seizes 99 domains owned by Iranian state hackers". News @ WebHosting.info. March 28, 2019.
16. "Recent cyberattacks require us all to be vigilant". Microsoft On the Issues (به انگلیسی). 2019-10-04. Retrieved 2020-12-10.
17. Bing, Christopher; Satter, Raphael (October 4, 2019). "Exclusive: Trump campaign targeted by Iran-linked hackers - sources". Reuters.
18. AP. "Iran denies US election meddling, claims it has no preference". www.timesofisrael.com (به انگلیسی). Retrieved 2020-12-10.
19. "The Kittens Are Back in Town 2" (PDF). ClearSky Cyber Security. October 2019.
20. Bash, Ajax (Aug 23, 2022). "New Iranian APT data extraction tool". Threat Analysis Group (TAG).