نگار قیصری – شرکت اپناِیآی (OpenAI) اعلام کرد هکرهای ایرانی با استفاده از چتجیپیتی (ChatGPT)، حملاتی به سیستمهای کنترل صنعتی (ICS) را برنامهریزی کردهاند.
سایت سکیورتی ویک نوشت: در گزارش اخیرِ این شرکت هوش مصنوعی ادعا شده OpenAI از ابتدای سال تا کنون بیش از ۲۰ عملیات سایبری و مخفی، از جمله فعالیتهای هکرهای دولتی ایران و چین را مختل کرده است.
این گزارش، فعالیتهای سه گروه تهدید را که از چتجیپیتی برای انجام حملات سایبری سوءاستفاده کردهاند، بررسی کرده است. یکی از این گروهها CyberAv3ngers نام دارد که ادعا میشود با نهادهای نظامی ایران مرتبط است و امسال به دلیل حملاتش به حوزه منابع آبی خبرساز شده است.
این گروه، سیستمهای کنترل صنعتی یک شرکت آب در ایرلند را هدف قرار داده است. این حمله، باعث شد که مردم دو روز بدون آب بمانند.
همچنین این گروه به یک شرکت آب در پنسیلوانیا و دیگر تاسیسات آب در ایالات متحده حمله کرده است.
این حملات، شامل هک پیشرفته نبودند اما به این دلیل موفق بودهاند که بسیاری از سازمانها، سیستمهای صنعتی خود را به اینترنت متصل کرده و با رمزهای پیشفرض که بهراحتی قابل دسترسی هستند، از آن محافظت میکنند.
طبق ادعای OpenAI، حسابهای مرتبط با گروه CyberAv3ngers از چتجیپیتی برای انجام عملیات شناسایی، بهرهبرداری از آسیبپذیریها، فرار از تشخیص و فعالیتهای پس از نفوذ استفاده کردهاند. بسیاری از فعالیتهای شناسایی این گروه، حمله به کنترلکنندههای منطقی برنامهپذیر (PLC) و دیگر سیستمهای کنترل صنعتی، مرتبط بوده است.
به طور خاص، این هکرها از ChatGPT درباره پورتها و پروتکلهای صنعتی که به اینترنت متصل میشوند، روترها و PLCهای صنعتی که معمولا در اردن استفاده میشوند، شرکتهای برق و پیمانکاران این کشور و رمزهای پیشفرض برای دستگاههای Tridium Niagara و روترهای صنعتی Hirschmann RS سوال کردهاند.
علاوه بر اطلاعات مرتبط با سیستمهای کنترل صنعتی، این هکرها به دنبال اطلاعاتی درباره اسکن شبکهها برای آسیبپذیریهای قابل بهرهبرداری، مبهمسازی کدهای مخرب و دسترسی به رمزهای عبور کاربران در macOS بودهاند.
با این حال، تحقیقات OpenAI درباره فعالیتهای هکرها روی چتجیپیتی نشان داد «این تعاملات، قابلیت منبع یا اطلاعات جدید به گروه CyberAv3ngers ارائه نکرده و تنها قابلیتهای محدودی را که قبلا با ابزارهای موجود و غیرهوش مصنوعی قابل دستیابی بود، به آنها افزوده است.»
گفتنی است دولت ایالات متحده، هویت چندین نفر از اعضای مظنون گروه CyberAv3ngers را عمومی کرده و برای اطلاعاتی درباره این هکرها پاداشی تا 10 میلیون دلار تعیین کرده است.
ادعا میشود گروه مذکور، یک شخصیت مورد استفاده دولت ایران برای انجام فعالیتهای مخرب سایبری است و اعضای این گروه، احتمالا برای ارتش ایران کار میکنند.
گزارش جدید OpenAI همچنین به فعالیتهای گروه هکری ایرانی دیگر به نام Storm-0817 اشاره دارد.
این گروه تلاش کرده از ChatGPT برای دریافت اطلاعاتی که میتواند در توسعه یک بدافزار به منظور سرقت اطلاعات از دستگاههای اندروید مورد استفاده قرار گیرد، بهرهمند شود.
این عامل تهدید از چتبات برای ساختن یک اسکراپر (scraper) اینستاگرام و ترجمه پروفایلهای لینکدین به فارسی، استفاده کرده است.
شرکتOpenAI همچنین به فعالیتهای عامل تهدید مرتبط با چین به نام SweetSpectre اشاره کرده که نه تنها از چتجیپیتی برای شناسایی، تحقیق آسیبپذیری، توسعه بدافزار و مهندسی اجتماعی استفاده کرده، بلکه سعی کرده ایمیلهای حاوی بدافزار را به کارمندان اپناِیآی ارسال کند. به گفته این شرکت هوش مصنوعی، ایمیلهای مخرب قبل از رسیدن به صندوقهای ورودی هدف، مسدود شدهاند.
- حمله هکرهای ایرانی از طریق آسیبپذیری ویندوز
در خبری دیگر شرکت امنیت سایبری ترند میکرو (Trend Micro) مدعی شد گروه سایبری وابسته به ایران با نام OilRig، فعالیتهای سایبری خود را علیه امارات متحده عربی و منطقه خلیج فارس تشدید کرده است.
سایت سکیوریتی ویک نوشت: بر اساس گزارش مذکور، این گروه جاسوسی سایبری که با نامهای APT34، Cobalt Gypsy، Earth Simnavaz و Helix Kitten نیز شناخته میشود، از سال ۲۰۱۴ فعال است. این گروه به اهدافی در بخشهای انرژی و دیگر زیرساختهای حیاتی حمله کرده و به طور کلی، اهدافی را دنبال میکند که با منافع دولت ایران همسو هستند.
طبق اعلام ترند میکرو «در ماههای اخیر، حملات سایبری این گروه APT که به نهادهای دولتی در امارات متحده عربی و منطقه خلیج فارس حمله میکند، به طور قابلتوجهی افزایش یافته است.»
برای انجام عملیات جدید، این گروه، یک دربپشتی (بکدور) پیشرفته برای استخراج اعتبارنامهها از طریق سرورهای مایکروسافت Exchange در محل نصب کرده است. علاوه بر این مشاهده شده گروهOilRig از سیاست فیلتر رمز عبور برای استخراج پسوردهای متنی ساده سوءاستفاده میکند. این گروه همچنین از ابزار مانیتورینگ و مدیریت از راه دور Ngrok برای تونلسازی ترافیک و حفظ دسترسی و نیز از آسیبپذیری CVE-2024-30088، به عنوان یک باگ ارتقای سطح دسترسی در هسته ویندوز، بهرهبرداری میکند.
مایکروسافت، آسیبپذیری CVE-2024-30088 را در ماه ژوئن برطرف کرد. به نظر میرسد این، اولین گزارشی است که به سوءاستفاده از این نقص اشاره میکند. در زمان نگارش این گزارش، راهنمای این شرکت، به سوءاستفاده واقعی از این آسیبپذیری اشاره نکرده اما ذکر کرده: «احتمال سوءاستفاده وجود دارد.»
شرکت امنیت سایبری Trend Micro توضیح داد: «نقطه ورود اولیه برای این حملات به وبشل (web shell) آپلودشده روی یک سرور وب آسیبپذیر باز میگردد. این وبشل نه تنها اجازه اجرای کدهای PowerShell را میدهد، بلکه به مهاجمان اجازه میدهد فایلهایی را به سرور، آپلود یا از آن دانلود کنند.»
پس از دسترسی به شبکه، این گروه، Ngrok را برای جابجایی جانبی به کار گرفته، کنترلکننده دامنه را به خطر انداخته و از CVE-2024-30088 برای ارتقای سطح دسترسی استفاده کرده است. همچنین یک DLL فیلتر رمز عبور را ثبت کرده و بکدور (دربپشتی) را برای استخراج اعتبارنامهها مستقر کرده است.
گروه تهدید، همچنین با استفاده از اعتبارنامههای دامنهای که به خطر افتادهاند، به سرور Exchange دسترسی پیدا کرده و دادهها را استخراج کرده است.
در این رابطه، شرکت امنیت سایبری Trend Micro اعلام کرد: «هدف اصلی این مرحله، دریافت رمزهای عبور سرقتشده و ارسال آنها به مهاجمان به عنوان پیوستهای ایمیل است. علاوه بر این، مشاهده کردیم مهاجمان از حسابهای قانونی با رمزهای عبور سرقتشده استفاده میکنند تا این ایمیلها را از طریق سرورهای Exchange دولتی ارسال کنند.»
همچنین دربپشتی مورد استفاده در این حملات که با بدافزارهای دیگر این گروه APT شباهتهایی دارد، نامهای کاربری و رمزهای عبور را از یک فایل خاص دریافت، اطلاعات پیکربندی را از سرور ایمیل Exchange بازیابی و ایمیلها را به یک آدرس هدف مشخص، ارسال میکند.
شرکت امنیت سایبری ترند میکرو اضافه کرد: «گروه Earth Simnavaz به استفاده از سازمانهای بهخطرافتاده برای انجام حملات زنجیره تامین علیه نهادهای دولتی دیگر معروف است. انتظار داشتیم این گروه با استفاده از حسابهای سرقتشده، حملات فیشینگ جدید، علیه اهداف اضافی را آغاز کند.»
گفتنی است Trend Micro از شرکتهای پیشگام امنیت سایبری است که در سال 1988، توسط یوگنی کسپرسکی، همسرش و استیو چنگ تاسیس شد. (منبع:عصرارتباط)