جاسوسی دو گروه سایبری Cadelle و Chafer از ISP های ایران

بسیاری از کسانی که توسط این دو گروه مورد جاسوسی قرار گرفته‌اند، با استفاده از سرویس‌های پراکسی یا فیلترشکن معروف به اینترنت متصل بوده‌اند. سرویس‌هایی که استفاده از آن‌ها در بین گروه‌های خاص سیاسی و یا محققان بسیار شایع است.

سیمنتک می‌‌گوید: «ما معتقدیم که قربانیان این دو گروه به احتمال زیاد افراد علاقه‌مند به گروه‌های خاص می‌باشد.»

سیمنتک اضافه می‌کند هر دوی این گروه‌ها توانسته‌اند به طور موفقیت‌آمیز از در پشتی‌های ساخته‌ی خودشان سوءاستفاده کنند و با استفاده از آن‌ها، با نام‌های Cadelspy و Remexi، به جاسوسی دو گروه سایبر‌ی Cadelle و Chafer از ISPهای ایرانی پرداخته یا به سامانه‌های قربانیان خود نفوذ کنند. به عنوان نمونه در یک سازمان، ۶۰ رایانه در حدود یک سال مورد سوءاستفاده قرار گرفته است.

این دو گروه به خوبی آگاه هستند که مجبور نیستند به طور مستقیم به اهداف خود حمله کنند و می‌توانند با سوءاستفاده از سرویس‌هایی که افراد موردنظرشان از آن‌ها استفاده می‌کنند، برای انجام حملات و رسیدن به اهداف خود فعالیت کنند.

بسته‌ی نفوذی Cadelspy این امکان را می‌دهد که از تمام اطلاعات واردشده از طریق صفحه‌کلید قربانی گزارشگیری شود.

همچنین می‌تواند با ضبط صدا، گرفتن تصاویر از صفحه‌ی سامانه و یا از کاربر با استفاده از وب‌کم، دسترسی به clipboard، جمع‌آوری عناوین پنجره‌های بازشده و سرقت تمامی پرونده‌های ارسالی به چاپ‌گر از قربانی خود جاسوسی کند. بیشترین فعالیت Cadelspy توسط سیمنتک در ماه سپتامبر گزارش شده است که به ۹ سازمان حمله کرده است. بسته‌ی نفوذی Remexi یک تروجان ساخته‌شده از در پشتی‌های پایه است که امکان دسترسی از راه دور برای اجرای دستورات مختلف را به حمله‌کننده می‌دهد.

Remexi می‌تواند گذرواژه‌های قربانی را به سرقت ببرد و امکان دسترسی به سامانه را به حمله‌کننده بدهد. سیمنتک این‌گونه ادامه می‌دهد که فعالیت‌های این دو گروه نشان می‌دهد که آن‌ها نیازی به داشتن مهارت‌های پیشرفته برای جاسوسی از قربانیان خود ندارند. همچنین حملات آن‌ها به گونه‌ای مدیریت می‌شود که تقریباً تا یک سال بر روی سامانه‌ی هدف باقی بماند و در این صورت حمله‌کننده می‌تواند به اطلاعات حساس زیادی در طول این مدت دسترسی داشته باشد.

بررسی فعالیت‌های این گروه‌ها توسط یکی از محققان F-Secure نشان می‌دهد که حملات آن‌ها نمونه‌ای از حملات APT می‌باشد، اگرچه Remexi نمونه‌ای از یک در پشتی استاندارد می‌باشد.

این محقق ادامه می‌دهد: «خودکار نبودن ابزارها و یا مخفی نبودن آن‌ها به معنی پیشرفته‌نبودن حملات نمی‌‌باشد. به نظر می‌رسد ایران برای شناسایی و تشخیص حملات APT از روش پیچیده و اختصاصی استفاده می‌کند.»

سیمنتک می‌گوید: «به نظر می‌رسد گروه‌های Cadelle و Chafer از دیگر گروه‌های مظنون جاسوسی سایبری ایرانی مثل Rocket kitten پیروی می‌کنند که فعالیت آن‌ها در حمله به دولت‌های اروپایی و صهیونیستی و سازمان‌های خصوصی فاش شده بود.»

سیمنتک ادامه می‌دهد: «اطلاعات بررسی شده در ماه قبل نشان می‌دهد جاسوسی دو گروه سایبری Cadelle و Chafer از ISPهای ایرانی نشان می‌دهد که گروه Rocket kitten به بیش از ۱۶۰۰ هدف حمله کرده است و اطلاعات به دست آمده حاکی از آن است که این گروه وابسته به سپاه پاسداران انقلاب می‌باشد.

در همین حال، در دسامبر سال ۲۰۱۴ میلادیCylance فاش کرد که گروه‌های جنگ سایبری ایرانی که با نام Operation Cleaver از آن‌ها یاد می‌شود به بیش از ۵۰ سازمان زیرساخت در ۱۶ کشور جهان از جمله آمریکا، انگلیس، فرانسه و آلمان حمله کرده‌اند. سیمنتک در مورد Remexi می‌گوید که فعالیت‌های آن یادآور حملات گروه Operation Cleaver می‌باشد و احتمالاً ادامه‌ی سیاست‌های این گروه می‌باشد.

یکی از محققان امنیتی اروپایی به نام Aatish Pattni عنوان می‌کند که در ماه گذشته محققان حوزه‌ی سایبری اطلاعات زیادی در مورد گروه Rocket kitten و فعالیت‌های مظنون آن‌ها فاش کرده‌اند.

شاید تنها خاورمیانه نباشد که مورد حملات سایبری قرار می‌گیرد و سازمان‌های اروپایی نیز باید این هشدار را دریافت کنند.

سیمنتک از فعال بودن دو گروه Cadelle و Chafer ابراز نگرانی می‌کند و این‌گونه عنوان می‌کند که فعالیت‌های آن‌ها به زودی خاتمه نمی‌یابد.