از اسکرین‌شات‌های جعلی تا ردیابی IP واقعی؛ Resecurity مهاجم را شناسایی کرد

کمیته رکن چهارم – در حالی که یک گروه هکری با انتشار تصاویری مدعی نفوذ به شرکت امنیت سایبری Resecurity شده، این شرکت اعلام کرده مهاجمان تنها به یک هانی‌پات کنترل‌شده دسترسی یافته‌اند و اطلاعات واقعی در خطر نبوده است.

به گزارش کمیته رکن چهارم، گروهی با نام Scattered Lapsus$ Hunters با انتشار تصاویری در تلگرام، مدعی شده‌اند که به سامانه‌های داخلی شرکت امنیت سایبری Resecurity نفوذ کرده و داده‌هایی از جمله اطلاعات کارکنان، مشتریان و مکاتبات داخلی را سرقت کرده‌اند. اما Resecurity این ادعا را تکذیب کرده و گفته این تصاویر مربوط به یک هانی‌پات هدفمند است که برای پایش فعالیت مهاجمان طراحی شده بود.

مهاجمان تصاویری منتشر کرده‌اند که ظاهراً محیطی از بستر همکاری Mattermost را نشان می‌دهد. این تصاویر حاوی گفت‌وگوهایی درباره محتوای مخرب میزبانی‌شده در پلتفرم Pastebin هستند و ادعا شده از داخل شبکه Resecurity به‌دست آمده‌اند. این گروه مدعی شده که در پاسخ به تلاش‌های Resecurity برای شناسایی فعالیت‌های‌شان، اقدام به این حمله کرده‌اند.

Resecurity در واکنش رسمی اعلام کرد محیطی که مورد دسترسی قرار گرفته، بخشی از زیرساخت واقعی شرکت نبوده و تنها یک سامانه ایزوله‌شده حاوی داده‌های جعلی بوده است. این شرکت گفته داده‌های موجود در این محیط شامل بیش از ۲۸ هزار پروفایل مصرف‌کننده جعلی و بیش از ۱۹۰ هزار تراکنش ساختگی بوده که به‌منظور تقلید اطلاعات واقعی کسب‌وکار، طبق قالب استاندارد API شرکت Stripe تولید شده‌اند.

بر اساس این گزارش، مهاجم بین ۱۲ تا ۲۴ دسامبر ۲۰۲۵ بیش از ۱۸۸ هزار درخواست برای استخراج داده‌ها ارسال کرده و از پروکسی‌های مسکونی برای پنهان‌سازی هویت خود استفاده کرده است. با این حال، در چند مرحله به‌دلیل اختلال در شبکه، آدرس‌های IP واقعی مهاجم افشا شده‌اند. این اطلاعات اکنون در اختیار نهادهای قضایی بین‌المللی قرار گرفته‌اند.

Resecurity تأکید کرده که این عملیات هانی‌پات، منجر به جمع‌آوری اطلاعات فنی ارزشمندی از روش‌ها و زیرساخت‌های مهاجم شده است. همچنین، پس از هر مرحله از تعامل مهاجم با سامانه، داده‌های جعلی جدیدی به محیط اضافه شده تا امکان بررسی رفتار و اشتباهات امنیتی او فراهم شود.

سخنگوی یکی از گروه‌هایی که مهاجمان خود را وابسته به آن معرفی کرده بودند، در پی این رخداد اعلام کرد که در این عملیات مشارکتی نداشته است. با این حال، به نظر می‌رسد Resecurity با بهره‌گیری از یک سناریوی طراحی‌شده، موفق به ردیابی دقیق فعالیت‌های مهاجم شده است.