به گزارش گرداب، بر اساس گزارش امنیتی شرکت سیمنتک، گروه هکری جاسوسی سایبری «Elfin» موسوم به «APT 33»، حملات سایبری را روی شرکت‌های راهبردی در ایالات متحده و عربستان سعودی ترتیب داده است. 

کارشناسان غربی معتقدند که الفین از سال 2015، به‌طور فعال درگیر چنین حملاتی بوده و در مجموعه عملیات‌ اخیر خود، طیف وسیعی از سازمان‌های تحقیق و توسعه، شیمیایی، مهندسی، تولیدی، مشاوره، مالی، مخابراتی و حتی دولتی را هدف قرار داده است. 

طبق شواهد نظارتی ارائه شده ازسوی سیمنتک، الفین از ابتدای سال 2016، تهاجماتی داشته است. این گروه، کمپینی هدفمند علیه سازمان‌های متعددی تشکیل داده است. 42 درصد حملات نام برده، روی عربستان سعودی و 34 درصد علیه ایالات متحده بوده است.  

به گفته کارشناسان آمریکایی، این گروه ایرانی، در مجموع 18 شرکت آن کشور را در بخش‌های مهندسی، شیمی، پژوهش، مشاوره انرژی، امور مالی، فناوری اطلاعات و مراقبت‌های بهداشتی هدف قرار داده است. از این میان، برخی شرکت‌ها، در لیست «Fortune 500» بودند.

 گروه سیمنتک، همچنین آسیب‌پذیری نرم‌افزار فشرده‌سازی WinRAR را شناسایی کرد که باعث ‌شد هکرها فایل‌های ویرانگر را از یک فایل آرشیو بی‌ضرر به پوشه استارت‌آپ ویندوز انتقال دهند. درنتیجه آن‌ها می‌توانستند کد دل‌خواه خود را روی کامپیوتر هدف اجرا کنند.

با وجود تشخیص زودهنگام آسیب‌پذیری برنامه کاربردی به‌وسیله WinRAR، اما خیلی زود پس از عمومی شدن، کد اکتسابی اثبات مفهوم (PoC) ازسوی گروه‌های هکری مختلف مورد استفاده قرار گرفت. 

سیمنتک توضیح داد که از آسیب‌پذیری یادشده، در هک یک سازمان شیمیایی عربستانی استفاده شد و در آن، 2 کاربر، فایلی را از طریق ایمیل فیشینگ دریافت کردند. به غیر از سیمنتک، شرکت «FireEye» نیز 4 پویش جداگانه شناسایی کرد که از این آسیب‌پذیری، برای نصب بدافزارهای سرقت کننده رمزهای عبور، تروجان‌ها و دیگر نرم‌افزارهای مخرب استفاده می‌کردند.

APT33 از ابزار متنوعی در مجموعه ابزارهای مخرب خود مانند: درِ پشتی «Notestuk» (TURNEDUP)، تروجان «Stonedrill» و بدافزار ویرانگر نوشته شده در «AutoIt» استفاده کرده است. این گروه، همچنین ابزارهایی ازجمله: «Remcos»، «DarkComet»، «Quasar RAT»، «Pupy RAT»، «NanoCore» و «NetWeird» را همراه با بسیاری از ابزارهای هک موجود مانند: «Mimikatz»، «SniffPass»، «LaZagne» و «Gpppassword» به‌کار گرفت. 

در دسامبر 2018، سیمنتک ارتباطی میان الفین/ APT33کشف کرد. گروه APT33، به وسیله موجی از حملات شمعون، با هدف بخش انرژی مرتبط بود. یکی از این تهاجمات، روی شرکتی در عربستان اثر گذاشت که از بدافزار «Stonedrill» به‌کار رفته ازسوی الفین استفاده کرده بود.

شرکت سیمتک اظهار داشت:

" یکی از قربانیان شمعون، در عربستان سعودی اخیراً به‌وسیله الفین مورد حمله قرار گرفت و با استفاده از بدافزار Stonedrill آلوده شد. از آن‌جا که حملات الفین و شمعون علیه این سازمان با هم در ارتباط بوده‌اند، ادعاهایی مبنی بر ارتباط میان این 2 گروه وجود دارد."

تا امروز، هیچ شاهدی مبنی بر مسئولیت الفین برای حملات شمعون وجود ندارد. با این حال، شرکت FireEye مدعی است که شواهدی از فعالیت گروه APT33 از طرف دولت ایران (به‌صورت تجاری و نظامی) همراه با سازمان‌هایی در بخش انرژی پیدا کرده است که نشان می‌دهد تهران در خاورمیانه و جهان، رشته عملیات‌ جاسوسی سایبری انجام می‌دهد.