کمیته رکن چهارم– گزارشها حاکی از آن است که یک گروه سایبری با منشأ جمهوری اسلامی ایران با بهرهگیری از بدافزارهای TWOSTROKE و DEEPROOT، حملات هدفمندی را علیه سازمانهای فعال در صنایع هوافضا و دفاعی در منطقه خاورمیانه انجام داده است.
به گزارش کمیته رکن چهارم، این عملیاتها به خوشه تهدیدی موسوم به UNC1549 نسبت داده شده که از پاییز ۲۰۲۳ تا اواخر ۲۰۲۵ فعالیتهایی با استفاده از روشهایی مانند نفوذ از طریق شرکتهای ثالث، زیرساختهای مجازی و فیشینگ هدفمند انجام داده است. این گروه با استفاده از روابط قابل اعتماد میان شرکتها و پیمانکاران، ابتدا به شرکای آسیبپذیر نفوذ کرده و از آنجا به اهداف اصلی خود دسترسی پیدا کردهاند.
مهاجمان با بهرهگیری از حسابهای مجازی مرتبط با خدماتی چون Citrix، VMware و Azure Virtual Desktop، پس از ورود به محیطهای مجازی، اقدام به حرکت افقی در شبکه و دسترسی به سامانههای اصلی کردهاند. بخشی از روش نفوذ، ارسال ایمیلهای جعلی با موضوع استخدام و فریب افراد برای نصب بدافزار بوده است.
پس از نفوذ، گروه UNC1549 اقدام به شناسایی اطلاعات، سرقت اعتبارنامهها، جمعآوری دادههای حساس و مستندسازی محیط شبکه کرده است. ابزارهای مورد استفاده این گروه شامل بدافزارهای پیچیدهای چون MINIBIKE، TWOSTROKE، DEEPROOT، LIGHTRAIL، GHOSTLINE، POLLBLEND و SIGHTGRAB بوده که قابلیتهایی از جمله استخراج اطلاعات، ضبط فعالیت کاربران و انتقال دادهها به سرورهای کنترل را فراهم میکردند.
این گروه برای پنهانسازی فعالیتهای خود، از تونلهای رمزگذاریشده و حذف ردپاهای دیجیتال استفاده کرده و با طراحی دامنههایی مشابه صنایع قربانی، روند شناسایی فعالیتهایشان را دشوارتر کردهاند. بر اساس یافتهها، برخی بدافزارها برای مدت طولانی غیرفعال باقی میمانند تا پس از اطمینان قربانی از حذف تهدید، مجدداً فعال شوند.
این حملات بار دیگر ضرورت تقویت زنجیره تأمین و نظارت مستمر بر امنیت سایبری پیمانکاران و شرکای فناوری را یادآوری میکند.
