افشای عملیات سایبری پیچیده سپاه در اسرائيل؛ وقتی «گربه جذاب» از لانه خود بیرون می‌آید

روزنامه هاآرتص اسرائيل در یک مطالعه تحقیقی به این نتیجه رسیده که واحدهای سایبری سپاه پاسداران در سال‌های اخیر، در یک پروژه بزرگ نفوذ و هک در اسرائيل نقش داشته‌اند.

در عین حال افشای این گروه سایبری باعث شده تا هویت هکرها و فرماندهان سپاهی که در این فرآیند نقش داشته‌اند نیز مشخص شود. بر اساس این گزارش واحد سایبری ایرانی با نام «گربه جذاب» یکی از سه گروه هکری اصلی ایران محسوب می‌شود و حوزه تخصصی آن سرقت هویت است؛ روشی که عمدتا برای نفوذ به حساب‌های ایمیل، سیستم‌های کامپیوتری و زیرساخت‌های حساس استفاده می‌شود.

هاآرتص اسنادی را بررسی کرده که نشان می‌دهد هکرها چگونه تلاش کرده‌اند به شبکه‌ها و وب‌سایت‌هایی مانند شرکت تسلیحاتی رافائل، سازمان فرودگاه‌های اسرائیل و وزارت حمل‌ونقل نفوذ کنند. برخی از این تلاش‌ها موفقیت‌آمیز نیز بوده است.

این افشاگری در یک پلتفرم میزبان کدنویسان به نام گیت هاب و توسط یک حساب ناشناس منتشر شده است. این اطلاعات شامل لاگ‌های فعالیت گروه، کد منبع بدافزار و جاسوس‌افزار، و همچنین فایل‌هایی شامل کارت‌های شناسایی و عکس‌های هکرهای عضو سپاه پاسداران است.

این مجموعه، همراه با گزارش‌های سازمان‌یافته، مستندی مفصل از حملات سایبری و عملیات نفوذ است که این گروه بین سال‌های ۲۰۲۲ تا ۲۰۲۵ علیه اسرائیل و دیگر کشورها انجام داده است. این مستندات به‌صورت گزارش‌های هفتگی و ماهانه تنظیم شده و برای فرماندهان بالادستی این واحد در سپاه ارسال می‌شده است.

طبق اسناد افشاشده، اسم رسمی این واحد سایبری «گروه اطلاعات سایبری ۱۵۰۰ سپاه پاسداران» است و این اسناد روی سربرگ «مرکز عملیات سایبری، سازمان اطلاعات سپاه پاسداران» چاپ شده و لوگوی رسمی دارد.

این اسناد، ساختار و شیوه عملیات این واحد را شرح می‌دهد و فایل‌های شخصی، نقش افراد مختلف را مشخص می‌کند: از رهبران تیم‌ها و متخصصان نفوذ گرفته تا توسعه‌دهندگان جاسوس‌افزار، کاردان‌های فیشینگ، تولیدکنندگان بدافزار، مجریان کمپین‌های نفوذ و هماهنگ‌کنندگان رسانه‌ای.

یکی از افراد افشاشده عباس رهنروی (یا عباس حسینی) است که در اسناد به‌عنوان رئیس عملیات واحد و رابط با دستگاه اطلاعاتی سپاه معرفی شده. بخش مهم اسناد، «گزارش حمله» است: گزارش‌هایی عملیاتی همراه با اسکرین‌شات‌هایی که حملات سایبری و عملیات نفوذ در اروپا و خاورمیانه را نشان می‌دهند؛ اهدافی که با منافع ژئوپلیتیک ایران هماهنگ است.

از محتواهای فنی افشاشده، کد منبع جاسوس‌افزارBellaCiao یا همان «بلا چائو» است؛ برنامه‌ای که ایران برای هک تلفن همراه توسعه داده بود. همچنین دفترچه‌های راهنمای استفاده از «تروجان‌های ایرانی»،ـ برنامه‌هایی برای دسترسی غیرمجاز به موبایل منتشر شده است.

هاآرتص در گزارش‌ها ده‌ها دامنه اینترنتی اسرائیلی و شماره تلفن اسرائیلی پیدا کرده که هکرها برای پنهان‌سازی حملاتشان استفاده کرده‌اند.

در ده‌ها گزارش حمله، تلاش برای اسکن سیستم‌های اسرائیلی و یافتن رخنه‌های قابل نفوذ شرح داده شده است. اسکرین‌شات‌ها دسترسی از راه دور به رابط‌های صنعتی با علائم عبری را نشان می‌دهند؛ یعنی گروه در برخی موارد واقعا توانسته رخنه‌ها را پیدا و سوءاستفاده کند، از جمله در یک سامانه مربوط به صنایع لبنیاتی در اسرائيل.

شرکت «انرسان» که سیستم‌های صنعتی از جمله تاسیسات آب را توسعه می‌دهد، تایید کرده یکی از اسکرین‌شات‌ها مربوط به پروژه‌ای است که این شرکت در سال‌های ۲۰۱۸ و ۲۰۱۹ انجام داده بود. قرار بوده این سیستم‌ها اصلا به اینترنت متصل نباشند، اما یکی از کارکنان مشتری یا پیمانکار، قطعه سخت‌افزاری مقرون‌به‌صرفه‌ای خریده و به سیستم متصل کرده که امکان اتصال از راه دور را فراهم کرده است.

انرسان اعلام کرده که سیستم‌هایش مطابق استانداردهای امنیت سایبری حفاظت می‌شوند، اما امکان کنترل بر مشتریانی که با وجود هشدارها، تجهیزات اضافه نصب می‌کنند ندارد؛ تجهیزاتی که دسترسی از راه دور ایجاد می‌کند و سیستم‌ها را در برابر هک آسیب‌پذیر می‌گذارد.

گزارش‌ها همچنین تلاش برای نفوذ به رافائل را نشان می‌دهد؛ به‌ویژه تلاش برای دسترسی به وب‌سایتی که امکان ارتباط کارکنان با سرور ایمیل داخلی و سیستم‌های مدیریت پروژه را فراهم می‌کند. رافائل یکی از بزرگ‌ترین شرکت‌های تسلیحاتی اسرائیل و سازنده سامانه «گنبد آهنین» است.

هاآرتص همچنین تلاش‌های گسترده برای اسکن و نفوذ به اهداف دیگری مانند سازمان فرودگاه‌ها، وزارت حمل‌ونقل (از جمله سرور ایمیل و سامانه‌های ارسال فایل) و چندین شرکت اینترنتی و آژانس مسافرتی را یافته است.

اسناد داخلی نشان می‌دهد که ایرانی‌ها از یک آسیب‌پذیری جهانی در نرم‌افزار VPN استفاده کرده‌اند؛ همان نرم‌افزاری که کارکنان برای اتصال از راه دور به سیستم‌های سازمانی به کار می‌برند. این آسیب‌پذیری باعث شده تا هکرها بتوانند سازمان‌هایی در اسرائیل را هدف قرار دهند که هشدارها را جدی نگرفته و سیستم خود را به‌روز نکرده بودند.

گزارش فوریه ۲۰۲۴ نشان می‌دهد تیم هکری، ۲۵۶ سرور VPN اسرائیلی را اسکن کرده و ۲۹ مورد آسیب‌پذیر یافته و به دو مورد نفوذ کرده است. یک ماه پیش از آن، مرکز ملی سایبری اسرائیل هشدار داده بود که هکرها از رخنه نرم‌افزار VPN شرکت آمریکایی Ivanti سوءاستفاده می‌کنند و سازمان‌ها باید فورا سیستم‌های خود را به‌روز کنند.

در پاسخ به گزارش هاآرتص، مرکز سایبری اسرائیل تأیید کرده که حداقل ۶ نفوذ موفق از طریق این آسیب‌پذیری ثبت شده و احتمالا موارد گزارش‌نشده بیشتری نیز وجود دارد. این نمونه نشان می‌دهد ایران چگونه با اسکن و هدف‌گیری سریع، از سازمان‌هایی که سیستم‌شان را به‌روز نمی‌کنند سوءاستفاده می‌کند.

دوربین‌های مداربسته و عملیات تبلیغاتی

گروه هکری «عصای موسی» مسئولیت مجموعه‌ای از حملات علیه اسرائیل را از سال ۲۰۲۰ به‌عهده گرفته؛ از جمله هک و انتشار اطلاعاتی درباره رئیس موساد (دیوید بارنیه) و همچنین هک دوربین‌های امنیتی. در سال ۲۰۲۲، این گروه یک ویدئو از صحنه یک حمله تروریستی در اورشلیم منتشر کرد که از طریق هک یک دوربین ضبط شده بود.

برای سال‌ها تصور می‌شد این گروه هکری حملاتی نسبتا ساده انجام می‌دهد که هدفشان نه جاسوسی یا تخریب که جنگ روانی است: سرقت اسناد، ایمیل‌ها و عکس‌های شخصی و انتشار آنها برای تحقیر قربانی و ایجاد احساس ناامنی.

گروه ایرانی دیگری به نام Handala «حنظله» نیز همین کار را می‌کند و ایمیل‌ها، اسناد و عکس‌های خصوصی مقام‌های ارشد سیاسی و امنیتی اسرائیل را منتشر می‌کند.

اسناد افشاشده نشان می‌دهد که یک واحد رسانه‌ای، عملیات «عصاب موسی» را اجرا کرده و با هماهنگی «عملیات جمع‌آوری» و «عملیات رسانه‌ای»، نفوذ به دوربین‌های امنیتی در مکان‌های حساس را دنبال می‌کرده است. این اسناد، لوگو و طراحی‌های گرافیکی مطابقت‌دار با محتوایی را که «عصای موسی» طی سال‌ها در تلگرام منتشر کرده، نشان می‌دهند.

شخصیت‌های جعلی اسرائیلی: از «شلدون» تا «مالکی»

رسیدها و سوابق انتقال رمزارز موجود در اسناد نشان می‌دهد ایران زیرساخت گسترده‌ای برای عملیات نفوذ سایبری ساخته که شامل هویت‌های جعلی اسرائیلی همراه با شماره تلفن‌های اسرائیلی است.

در اسناد، فردی جعلی به نام شلدون بایر ساکن «خیابان احد هعام ۸۵ پتاح‌تیکوا» معرفی شده و فرد دیگری به نام مالکی تایتل، ساکن تل‌آویو که هیچ‌کدام وجود خارجی ندارند.

ایران با استفاده از رمزارز، از طریق این هویت‌ها سه سرور مجازی در داخل اسرائیل خریده و از آنها برای انجام حملات از IPهای محلی استفاده کرده؛ اقدامی که باعث واقعی‌تر شدن حملات فیشینگ شده است.

اسناد همچنین فهرست شماره‌های اسرائیلی خریداری‌شده برای این هویت‌ها را نشان می‌دهد. این زیرساخت می‌توانست به ایران در جذب و اداره عوامل در داخل اسرائیل کمک کند. طبق گزارش هاآرتص، ایران در جریان جنگ غزه از طریق تلگرام تلاش کرده بود با استفاده از شماره‌های محلی، افراد را تهدید کند، بسته‌هایی به روزنامه‌نگاران، نمایندگان کنست و خانواده گروگان‌ها بفرستد و عملیات روانی انجام دهد.

به کانال تلگرام یورونیوز فارسی بپیوندید

اسناد همچنین نشان می‌دهد ایران تلاش کرده به اهداف دیگری در جهان حمله کند، از جمله: پلیس دبی، دولت اردن، شرکت‌های کشتیرانی یونان (برای رصد فعالیت‌های دریایی و دور زدن تحریم‌ها)، وزارت خارجه ترکیه و مخالفان حکومت ایران در خارج از کشور.