کمیته رکن چهارم – گروهی از هکرهای منتسب به نهادهای دولتی جمهوری اسلامی ایران طی عملیاتی دو ساله موفق به نفوذ به زیرساختهای حیاتی در کشورهای خاورمیانه شدهاند؛ اقدامی که با بهرهگیری از آسیبپذیریهای VPN و بدافزارهای سفارشی انجام شده است.
به گزارش کمیته رکن چهارم، تیم پاسخگویی به رخدادهای FortiGuard اعلام کرده است که این عملیات از ۱۵ مه ۲۰۲۳ آغاز شده و تا فوریه ۲۰۲۵ ادامه داشته است. مهاجمان طی این مدت اقدام به جاسوسی گسترده، استقرار بدافزارها و حفظ دسترسی پایدار در شبکه قربانی کردهاند.
شرکت Fortinet این فعالیتها را به گروه شناختهشده Lemon Sandstorm نسبت داده که از سال ۲۰۱۷ در حوزه حملات سایبری فعال است. این گروه پیشتر نیز زیرساختهای مرتبط با نفت، گاز، آب و انرژی در چندین کشور از جمله ایالات متحده، استرالیا و اروپا را هدف قرار داده بود.
در این حمله، مهاجمان با استفاده از گذرواژههای سرقتشده به VPNهای آسیبپذیر دسترسی یافته، سپس با نصب وبشلها و بدافزارهایی مانند Havoc، HanifNet، HXLibrary و NeoExpressRAT کنترل شبکه را به دست گرفتند. در مراحل بعدی، ابزارهایی نظیر MeshCentral Agent و SystemBC برای تقویت ماندگاری استفاده شدهاند.
در گزارش آمده است که مهاجمان همچنین با ارسال حملات فیشینگ هدفمند به ۱۱ کارمند، اطلاعات حسابهای Microsoft 365 را سرقت کردهاند. ابزارهای استفادهشده شامل انواع back doors، ماژولهای شناسایی و ابزارهای اجرای از راه دور هستند.
هدف اصلی مهاجمان، نفوذ به شبکههای فناوری عملیاتی (OT) بوده که کنترل زیرساختهای حیاتی مانند نیروگاهها و تأسیسات صنعتی را بر عهده دارند. هرچند شواهدی از شناسایی و تلاش برای دسترسی به این سامانهها یافت شده، اما مدرکی دال بر نفوذ مستقیم به OT گزارش نشده است. فعالیتها بیشتر در مرز بین IT و OT مشاهده شده است. این موضوع هشدار جدی درباره احتمال نفوذ مرحلهای به سامانههای حساس تلقی میشود.
