به گفته محققان امنیت سایبری ، یک گروه هکری وابسته به دولت ایران کمپینی چندین ساله را برای سرقت داده های سایبری از پیمانکاران دفاعی آمریکایی راه اندازی کرده است ، در این کمپین زنانی زیبا روی خود را مربی ایروبیک معرفی کرده و به کارمندان مورد نظر پیشنهاد معاشقه می دهند.
بر اساس گزارش منتشره توسط Sunnyvale ،یک شرکت امنیت سایبری مستقر در کالیفرنیا وابسته به پروفپوینت ، هکرهای موسوم به TA456 یا Tortoiseshell در پی به دام انداختن زیرمجموعه ها و پیمانکاران کوچکتر برای استفاده از آنها به عنوان سکوی نفوذ به شرکت های بزرگ دفاعی است…
در این رابطه شررود دگریپو، مدیر ارشد تحقیق و شناسایی تهدید در شرکت پروفپوینت اظهار داشت: این هکرها یکی از باهوش ترین گروه های هکری مرتبط با ایران هستند که پروفپوینت تا کنون آنها را ردیابی کرده است. او گفت : “بر اساس یافته های ما حتی پس از اینکه فردی توسط این هکرها مورد هدف قرار گرفت، ممکن است ماه ها یا سال ها طول بکشد تا TA456 بدافزار را ارائه دهد.”
این شرکت امنیتی از افشای نام افراد یا شرکت هایی که مورد هدف قرار گرفته بودند خودداری کرد.
از سوی دیگر از وزارت خارجه جمهوری اسلامی نیز درخواست برای اظهار نظر در مورد این گزارش را بی پاسخ گذاشت.
بر اساس این گزارش، محققان شواهدی یافته اند که نشان می دهد گروه هکرهای ایرانی شخصیتی دروغین به نام «مارسلا فلورس» را ایجاد کرده اند که به عنوان یک مربی زیبا و جذاب ایروبیک و فارغ التحصیل دانشگاه لیورپول انگلستان ظاهر شده است.
به گفته پروفپوینت، هکرهایی که در فیس بوک و دیگر وب سایت های شبکههای اجتماعی فعالیت می کردند، قبل از تلاش برای مخفی کردن رایانه های خود، با کارکنان هدف ارتباط برقرار کردند.
در یک مورد، بین نوامبر ۲۰۲۰ تا ژوئن ۲۰۲۱، هکرها از شخصیت «فلورس» برای ارسال پیام های فریبنده، عکس ها و ویدئوهای دلپذیر به قربانی مورد نظر که در شرکت تابعه پیمانکار پدافند هوایی کار می کرد، استفاده کردند. آنها پس از یک تلاش موفقیت آمیر برای ایجاد رابطه ای قابل اعتماد، از طریق حساب «فلورس» مجموعه بدافزارهایی که می توانند نام کاربری، گذرواژه و سایر داده ها را از رایانه آلوده سرقت کنند و تحت پوشش یک اپلیکشن جعلی “بررسی رژیم غذایی” برای بررسی تغذیه پنهان شده بود را برای قربانی ارسال کرد. این ایمیل با نام “مارسی” امضا شد.
هنوز مشخص نیست که آیا هکرها با موفقیت هر گونه اطلاعاتی را از کارمند هوافضای مورد نظر بدست آورده اند یا خیر. با این حال، پروفپوینت گفت که نرم افزار امنیتی آن پیوندهای هکرها را برای بارگیری پرونده های مخرب مسدود کرده است.
هم پروفپوینت و هم فیسبوک به این نتیجه رسیدند که حساب فلورس جعلی است.
در ۱۵ ژوئیه ، فیس بوک حساب فلورس را از پلتفرم خود حذف کرد تا کاربرانی که به فعالیت های هکرهای ایرانی مرتبط هستند، شناسایی و حذف شوند فیس بوک در آن زمان اعلام کرد که حساب های حذف شده به گروه هکری مرتبط با Tortoiseshell مرتبط است که پرسنل نظامی و شرکت های صنایع دفاعی و هوافضا را عمدتا در ایالات متحده، انگلیس و اروپا هدف قرار داده بود.
فیس بوک در بیانیه ای اعلام کرد: “این گروه از تاکتیک های مخرب مختلفی برای شناسایی اهداف خود و آلوده کردن دستگاه های خود به بدافزار برای جاسوسی استفاده می کرد”.
فیس بوک بخشی از فعالیت های Tortoiseshell را به شرکت «محک رایان افراز»، یک شرکت فناوری اطلاعات ایرانی مرتبط با سپاه پاسداران انقلاب اسلامی نسبت داد.
بر اساس گزارش منتشره در سپتامبر ۲۰۱۹ توسط شرکت امنیتی Symantec ، این گروه پیش از این نیز ارائه دهندگان فناوری اطلاعات در عربستان سعودی طی یک سری حملات زنجیره ای با هدف نهایی نفوذ به مشتریان این ارائه دهندگان فناوری اطلاعات” هدف قرار داده بود.
شرکت «محک رایان افراز» از هرگونه اظهار نظری در این مورد خودداری کرده است.
(منبع بلومبرگ)