به گزارش گرداب، کارشناسان غربی مدعی شدند که یک گروه هک دولتی – که اخیراً به شبکه‌های ارائه‌دهنده فناوری اطلاعات در عربستان سعودی حمله کرده – میزبانی یک وب‌سایت جعلی به نام «استخدام قهرمانان نظامی» را برعهده گرفته تا ابزار جاسوسی و سایر کدهای مخرب را روی سیستم‌های قربانیان نصب کند.

این گروه هکری موسوم به «Tortoiseshell»، چندی پیش از سوی شرکت سیمنتک به عنوان کمپین جاسوسی سایبری هماهنگ و هدفمند معرفی شد – که از شبکه‌های چند ارائه‌دهنده بزرگ فناوری اطلاعات در عربستان تا مشتریان خاص ارائه دهندگان نفوذ کرده است – و شرکت «CrowdStrike» نیز از آن به عنوان تیم هکری ایرانی «Imperial Kitten» یاد کرد.

محققان سیسکو تالوس (Cisco Talos) اخیراً به این نتیجه رسیدند که این گروه هکری تصویر فیلم «پرچم‌های پدران ما» را در وب‌سایت فوق گذاشته است. سایت مخرب باعث تشویق بازدیدکنندگان به دانلود برنامه و درنتیجه باعث جمع‌آوری اطلاعات سیستم از جمله درایوها، سطح پچ، پیکربندی شبکه، سخت‌افزار، سیستم عامل، کنترل دامنه، نام مدیر و سایر اطلاعات حساب کاربران به کمک ابزارهای مخرب می‌شود. کاربران با امید به حمایت از سربازان لینک را در وب‌سایت به اشتراک می‌گذارند.

گروه هکری با دسترسی به تروجانی به نام «IvizTech»، ویژگی‌ها و کد توضیح داده شده در گزارش سیمنتک را مطابقت می‌دهد. هیچکدام از شرکت‌های سیمنتک و سیسکو این گروه هکری را به کشوری خاص نسبت نداده‌اند.

نحوه فریب قربانیان سایت هنوز مشخص نشده است. کارشناسان سیسکو تالوس اعلام کردند که سازندگان سایت تاکنون امنیت عملیاتی ضعیفی از خود نشان داده‌اند و نمونه‌های معتبر کدنویسی را پشت سرگذاشته‌اند. اما آمریکایی‌ها به‌سرعت از جمعیت سربازان دفاع کردند.

محققان در پست وبلاگ خود نوشتند:

 این احتمال وجود دارد که چندین تیم از یک «APT» روی عناصر مختلف این نرم‌افزار مخرب کار کرده باشند. 

پُل راسکاگنرس (Paul Rascagneres)، یکی از محققان شرکت گفت:

 ما معتقدیم که حمله گسترده نبوده و هنوز هم نسبتاً جدید است. Tortoiseshell یک تیم کاملاً مستند نیست؛ تحقیقات نشان می‌دهند که آنها با ایجاد وب‌سایت‌های جعلی احتمالاً از مهندسی اجتماعی در این وب‌سایت‌ها استفاده می‌کرده‌اند. ما حداقل 2 نصب‌کننده، یک جفت «RAT»، یک «keylogger» و چند ابزار شناسایی را کشف کردیم. 

محققان به بردار نفوذ اولیه به‌طور خاص اشاره نکردند؛ این بردار می‌تواند کاربرد اسپیر فیشینگ و رسانه اجتماعی مانند «LinkedIn» باشد که در کمپین «DNSpionage» مشاهده شده است.

شرکت CrowdStrike در عین حال این تیم هکری را به عنوان یک گروه عملیاتی ایرانی می‌شناسد که فعالیت خود را از سال 2017 شروع کرده است.

آدام میِرز (Adam Meyers)،  معاون اطلاعاتی شرکت مدعی شد که گروه هکری تاکنون عربستان سعودی، امارات متحده عربی و دریانوردی غربی، خدمات فناوری اطلاعات و سربازان دفاعی و نظامی را هدف قرار داده است و همچنین از عملیات‌های سپاه پاسداران انقلاب اسلامی ایران مانند استخدام در شغل‌های ساختگی، رسانه اجتماعی و حملات ارائه دهنده خدمات فناوری اطلاعات حمایت می‌کند.

جان دیماگیو (Jon DiMaggio)، محقق شرکت سیمنتک گفت که این گروه شاید از ایمیل‌های اسپیر فیشینگ برای به دام انداختن قربانیان استفاده می‌کند.

دیماگیو توضیح داد:

 فرض کنید تخصیص گروه هکری درست باشد؛ درنتیجه عامل مورداستفاده گروه هکری ایمیل‌های اسپیر فیشینگ خواهد بود. ما پوسته وب مورد استفاده مهاجم را پیدا کردیم که نشان می‌داد آنها احتمالاً سرور وب را برای نفوذ نرم‌افزار مخرب در سیستم قربانیان به‌کار برده‌اند. اما اسپیر فیشینگ بسیار معمول است و استفاده از آن به عنوان عامل نفوذ در کمپین‌های مختلف چیز عجیبی نیست.