واحد پژوهشی شرکت چکپوینت، مستقر در تلآویو، در گزارشی که دوشنبه ۱۵ تیر منتشر کرد،این گروه را با نام «کَوِرن مانتیکور» شناسایی و دنبال میکند. به گفته این شرکت، روشهای فنی این گروه با دو گروه هکری دیگر به نامهای «مادیواتر» و «لیسیوم» شباهت دارد. پیشتر فاش شده بود که این گروههابه وزارت اطلاعات جمهوری اسلامی مرتبطاند.
پژوهشگران چکپوینت همچنین میگویند این گروه از یک زیرساخت ماژولار برای فرماندهی و کنترل حملات سایبری استفاده کرده است به گفته آنها این زیرساخت پیش از این شناسایی و مستند نشده بود.
بر اساس این گزارش، تمرکز اصلی عملیات این گروهی هکری بر سازمانهای اسرائیلی، بهویژه ارائهدهندگان خدمات فناوری اطلاعات و نهادهای دولتی است.
در بخش دیگری از این گزارش آمده است: توانایی این گروه در نفوذ به سازمانهای دفاعی و دولتی اسرائیل، همزمان با کارزار نظامی آمریکا در ایران، نشان میدهد این گروه با سرعت بالا عمل و اهداف خود را با دقت انتخاب میکند.»
کَوِرن مانتیکور چطور عمل میکند؟
منظور از «زیرساخت ماژولار یا چندبخشی» این است که ابزار هکری این گروه از چند بخش جداگانه ساخته شده و هر بخش کار مشخصی انجام میدهد. این ساختار به مهاجمان امکان میدهد حمله را برای هر هدف تغییر دهند و اگر یک بخش شناسایی شد، بخشهای دیگر همچنان پنهان بمانند.
به گفته چکپوینت، گروه کَوِرن مانتیکور معمولا برای ورود به شبکههای هدف، از نرمافزارهای مدیریت و نظارت از راه دور، موسوم به آراِماِم سوءاستفاده میکند. این نرمافزاره معمولا برای کنترل و پشتیبانی سیستمها از راه دور به کار میروند.
این گروه با استفاده از همین ابزارها میتواند در شبکه قربانی جابهجا شود و بدافزارهای خود را در قالب بهروزرسانیهای عادی و معتبر نصب کند.
یکی دیگر از روشهای این گروه برای دسترسی اولیه، سوءاستفاده از ابزارهای دسکتاپ از راه دورِ مبتنی بر مرورگر است؛ از جمله قابلیتهایی مانند چاپ از راه دور. این روش به مهاجمان کمک میکند در شرایطی که کُپی و پِیْست یا انتقال فایل محدود شده است، همچنان دادهها را از شبکه هدف خارج کنند.
پس از ورود اولیه، این گروه بهروزرسانی نرمافزار SysAid را فعال میکند؛ اقدامی که در نهایت به نصب فایلها و اجزای مخرب در محیط هدف منجر میشود.
ارتباط با دیگر گروههای هکری ایرانی
گزارش واحد پژوهشی شرکت چکپوینت در بخش مربوط به قربانیان، نوشته است که تمرکز اصلی کَوِرن مانتیکور بر اهداف اسرائیلی است و این گروه بهطور خاص به سازمانهای دولتی و شرکتهای فعال در بخش فناوری اطلاعات توجه دارد. چکپوینت میگوید شواهد نشان میدهد این گروه شناخت خوبی از زنجیره پیچیده تأمینکنندگان فناوری اطلاعات در اکوسیستم سایبری اسرائیل دارد.
در بخش دیگری آمده است که چکپوینت هنگام بررسی ابزارهای قدیمیتر کَوِرن مانتیکور، یک ماژول ارتباطی به نام CAV3RN_Http_Module شناسایی کرده است. به گفته این شرکت، برخی روشهای ارتباطی این ابزار با روشهایی همخوانی دارد که پیشتر در عملیاتهای منتسب به زیرگروه «لیسیوم» دیده شده بود.
چکپوینت همچنین میگوید چند همپوشانی دیگر نیز احتمال ارتباط این فعالیت با ایران را تقویت میکند. از جمله اینکه هدف قرار دادن سرورهای SysAid پیشتر در فعالیتهایی دیده شده بود که به عاملان همسو با وزارت اطلاعات ایران، از جمله گروه «مادیواتر»، نسبت داده شدهاند.
گزارش اضافه میکند که این کارزار نیز مانند برخی فعالیتهای قبلی، بر ارائهدهندگان بزرگ خدمات فناوری اطلاعات در اسرائیل متمرکز بوده است.
در نهایت، چکپوینت میگوید دامنه اصلی مشاهدهشده در این کارزار، یعنی hospitalinstallation[.]com، نشان داده که این دامنه از طریق «فارس دِیتا»، یک ارائهدهنده ایرانی خدمات میزبانی، ثبت شده است.
در نتیجهگیری گزارش نیز آمده است که کَوِرن مانتیکور نشانهای از ادامه تکامل توانمندیهای سایبری مرتبط با جمهوری اسلامی است.
چکپوینت همچنین میگوید توانایی این مهاجم در دسترسی به سازمانهای دفاعی و دولتی، همزمان با کارزار نظامی آمریکا با نام «عملیات اپیک فیوری»، نشاندهنده سرعت عملیاتی بالا و دقت در انتخاب اهداف است.