ادعای یک شرکت امنیتی: هکرهای ایرانی دسترسی به سیستم‌های هک شده را می‌فروشند

شرکت امنیتی «Crowdstrike» اخیرا در گزارشی مدعی شده که هکرهای منتسب به ایران در حال فروش دسترسی به شبکه شرکت‌ها در فروم‌های هک هستند.

طبق گفته این کمپانی، این گروه از اسم رمز «Pioneer Kitten» استفاده می‌کند که نام جایگزین گروهی به نام «Fox Kitten» یا «Parasite» است. این گروه که Crowdstrike مدعی شده ایرانی است، در سال‌های ۲۰۱۹ و ۲۰۲۰ در حال حمله سایبری به شبکه‌های شرکت‌ها با آسیب‌پذیری‌های موجود در VPN و تجهیزات شبکه مانند موارد زیر بوده‌اند:

• VPN سازمانی «Connect» شرکت «Pulse Secure»
• سرور VPN شرکت «Fortinet» با سیستم عامل «FortiOS»
• سرورهای VPN شرکت «Palo Alto Networks»
• سرورهای «ADC» و دروازه‌های شبکه شرکت «Citrix»
• متعادل‌کننده‌های بار شبکه‌های «Big-IP» شرکت «F5»

هکرهای منتسب به ایران با استفاده از آسیب‌پذیری‌های بالا توانسته‌اند به شبکه نفوذ کنند، در آن در پشتی (Backdoor) قرار دهند و سپس امکان دسترسی به شبکه را برای سایر گروه‌های هکری منتسب به ایران مانند «Shamoon» و «Oilrig» فراهم کنند.

گروه‌های دیگر از دسترسی اولیه گروه Pioneer Kitten استفاده کرده و از کدهای مخرب و بدافزارهای پیشرفته برای دسترسی به دیتای بیشتر استفاده می‌کنند و توسط آن‌ها، اطلاعات محرمانه را سرقت می‌کنند. در گزارش امروز به این موضوع اشاره شده که این گروه هکری، این دسترسی را از ژوئیه ۲۰۲۰ در فروم‌ها به سایر گروه‌ها می‌فروشد.

به اعتقاد Crowdstrike، این گروه در حال افزایش راه‌های کسب درآمد خود است و می‌خواهد از دسترسی‌هایی که ارزش چندانی برای حامیان آن‌ها ندارند نیز درآمد داشته باشند. این کمپانی مدعی شده که این هکرها به کمپانی‌ها و سازمان‌های دولتی بخش‌های فناوری، دفاعی و سلامتی در ایالات متحده آمریکا و کشورهای عربی در خاورمیانه حمله می‌کنند.

در حال حاضر بزرگترین مشتریان برای چنین دسترسی‌های اولیه‌ای که گروه‌های مختلف ایجاد می‌کنند، گروه‌های توسعه باج‌افزار هستند و می‌توانند از این راه به کمپانی‌های بزرگ حمله کرده و درآمد بالایی داشته باشند، البته امکان درخواست مبلغ کم از سوی آن‌ها نیز وجود دارد.