• فیسبوک و ادعای ردپای ایران در تهدیدات در سال 2021، فیسبوک، گزارشی درباره نقش خود در حذف گروه Tortoiseshell که به زعم این شرکت، مستقر در ایران است، منتشر کرد. فیسبوک مدعی است بازیگران این گروه، پیش از این، بر صنعت فناوری اطلاعات در خاورمیانه متمرکز بودند و سپس به مناطق و صنایع دیگر معطوف شدند. فیسبوک متوجه شد این گروه، صنایع دفاعی و هوافضای ایالات متحده، بریتانیا و اروپا را هدف قرار داده و از این مجموعه، به عنوان بخشی از عملیات جاسوسی گستردهتر بینپلتفرمی استفاده کردهاند.همچنین گروه مذکور از ایمیل، سرویسهای پیامرسان و وبسایتهای تقلبی برای استقرار بدافزار بهره میبرد. طبق گفته فیسبوک، کمپینهای پیچیده مهندسی اجتماعی گروهTortoiseshell پرسونای آنلاین جعلی واقعگرایانه برای تماس مستقیم با اهداف ایجاد میکند. این گروه برای افزایش اعتبار، پروفایلها را در چندین پلتفرم رسانههای اجتماعی مدیریت کرد. در برخی موارد، بازیگران چند ماه با اهداف درگیر میشوند تا اعتماد ایجاد کرده و آنها را فریب دهند روی لینکهای مخرب کلیک کنند.این گروههای هکری اغلب به عنوان استخدامکنندگان و کارمندان سازمانهای دفاعی، هوافضا، مهماننوازی، پزشکی، روزنامهنگاری و سازمانهای غیرانتفاعی ظاهر میشدند. سپس از پلتفرمهای مختلف همکاری و پیامرسانی استفاده میکنند تا مکالمات را به خارج از پلتفرم تغییر دهند و بدافزار را به اهداف ارسال کنند.طبق گزارش DHHS، بازیگران در یکی از این حملات، ایمیلی ارسال کردند که به عنوان مدیر تحقیقات موسسه تحقیقات سیاست خارجی (FRPI) ظاهر شدند. در این ایمیل پرسیده شد که آیا گیرنده علاقهمند است در کنفرانسی درباره موقعیت عراق در جهان عرب شرکت کند؟ این بازیگر مخرب حتی مدیر تحقیقات نگرشهای جهانی در مرکز تحقیقات پیو (Pew) را با استفاده از یک آدرس ایمیل جعلی مورد حمله قرار داد.پل پرودوم، تحلیلگر سابق تهدیدات وزارت دفاع مدعی شد بازیگران مستقر در ایران، معمولا چندین اکانت رسانههای اجتماعی یا عناصر دیگری از ردپای اینترنتی ایجاد میکنند. این اکانتها در حالی که مستقیما در حمله استفاده نمیشوند، بخشی از تلاش برای ساخت واقعیترین شخصیت ممکن است. وی میگوید: «یک شکل رایج مهندسی اجتماعی ایرانی، استفاده از اکانت جعلی لینکدین برای فریب از طریق فرصتهای شغلی در رشتههای مربوطه است.»• طرحهای سرقتمدارک فیسبوک مدعی شدهاند بازیگران ایرانی دامنههای غیرقانونی ایجاد کردهاند که برای جذب اهداف در صنایع هوافضا و دفاعی طراحی شدهاند. برخی از سایتهای سرکش از وبسایتهای استخدام برای شرکتهای دفاعی تقلید کردهاند. آنها همچنین پلتفرمی ایجاد کردند که از یک سایت کاریابی قانونی وزارت کار ایالات متحده تقلید میکرد. هدف اصلی این تاکتیکها، سرقت اطلاعات از طریق ورود به ایمیل شرکتی و شخصی، ابزارهای همکاری و رسانههای اجتماعی بود. موضوع دیگر، هدف قرار دادن سیستمهای دیجیتال برای کسب اطلاعات درباره دستگاهها و شبکههای قربانیان به منظور ارائه بدافزار بود.بر اساس ادعای فیسبوک، حملات گروه Tortoiseshell بدافزار سفارشی را مستقر کردند. فیسبوک گزارش داد ابزارهای مخرب شامل تروجانهای دسترسی از راه دور، ابزارهای شناسایی دستگاه و شبکه و نیز ثبتکنندههای ضربه زدن به کلید است. علاوه بر این ابزارها، این گروه، بدافزاری را برای ویندوز ایجاد کرد که به نام Syskit شناخته میشود. این بدافزار حاوی لینکهایی به صفحات گسترده مایکروسافت اکسل بود که دستورات مختلف سیستم را برای نمایه کردن دستگاه قربانی فعال میکرد. در این روش، پروفایل دستگاه، اطلاعاتی مانند تاریخ، زمان و درایورها را بازیابی میکند. سپس مهاجم میتواند اطلاعات سیستم، سطوح وصلهها، پیکربندیهای شبکه، سختافزار، نسخههای میانافزار، کنترلکننده دامنه و نامهای مدیریت را ببیند. همه این اطلاعات باعث میشود مهاجم به خوبی برای انجام حملات اضافی آماده شود. فیسبوک مدعی شد برخی بدافزارهای مورد استفاده توسط شرکت فناوری اطلاعات تهران محک رایانافراز که با نهادهای نظامی ایران ارتباط دارد، ساخته شده است.
• چگونگی برجستگی تهدیدات :بدیهی است بازیگران مقیم ایران، درجاتی از پیچیدگی فنی دارند. با این حال، آنها در منحنی فنی نسبت به سایر مهاجمان عقب هستند اما با کمپینهای مهندسی اجتماعی پیچیده، آن را جبران می کنند. آدام مایرز از CrowdStrike میگوید که حملات بازیگران تهدیدکننده ایرانی که مراقبتهای بهداشتی را هدف قرار میدهند، مخربتر از حملاتی هستند که توسط دولتهای ملی دیگر مانند چین حمایت میشوند. حملات مرتبط با ایران، ممکن است شامل «قفل و نشت» باشد که در آن عوامل تهدید باجافزار را آزاد و سپس دادهها را افشا میکنند. هدف این حملات در درجه اول، بیاعتبار ساختن سازمانها به جای منفعت مالی است. بازیگران ممکن است توسط دولت ایران یا از سوی باندهای جرایم سایبری ایران حمایت و هدایت شوند. در عین حال، حملات دولت چین به بخش مراقبتهای بهداشتی، غالبا کمتر مخرب بوده و بیشتر بر سرقت مالکیت معنوی دستگاههای پزشکی، داروها و سایر نوآوریها متمرکز است.
• نحوه توقف حملات مهندسی اجتماعی :مهندسی اجتماعی، یک روش حمله متداول است که مجرمان برای فریب دادن افراد، از دانلود بدافزار استفاده میکنند. استفاده از بهانههای واقعبینانه، بازدارندگی این نوع حمله را دشوار میکند. آموزش و آزمایش مستمر کارکنان میتواند به طور موثری حملات مهندسی اجتماعی را متوقف کند. این امر، آموزش کارکنان درباره انواع مختلف تاکتیکهای مهندسی اجتماعی که مجرمان ممکن است استفاده کنند، شامل میشود. آزمایش میتواند شامل ارسال عمدی ایمیلهای جعلی و پیامهای رسانههای اجتماعی برای ارزیابی واقعی آمادگی کارکنان باشد. با ارائه بهترین آموزشها و آزمایشها، ممکن است برخی حملات از بین بروند. به همین دلیل سایر ابزارهای امنیتی یک پشتیبان ضروری هستند. به عنوان مثال، با مدیریت دسترسی به امتیاز (PAM)، دسترسی به طور مداوم بررسی، نظارت و تجزیه و تحلیل میشود تا از منابع محافظت شود.