
دولت ایالات متحده با صدور دستورالعملی فوری از ادارات و مراکز آمریکایی که در حوزههای غیرمرتبط با امنیت ملی فعال هستند، خواسته است اقدامات لازم را جهت محافظت از شبکههای کامپیوتری خود در برابر حمله سایبری که به ایران نسبت داده شده است، انجام دهند.
روزنامه واشنگتن پست در گزارشی نوشت که بر اساس این دستورالعمل که از سوی کریستوفر کرِبز، رئیس بخش امنیت سایبری و زیرساختهای وزارت امنیت داخلی منتشر شده است، شاخههای اجرایی برخی آژانسها تحت تاثیر این عملیات قرار گرفته و ترافیک وب و ایمیل آنها رهگیری شده است.
در این گزارش، که سهشنبه شب در وبسایت واشنگتن پست منتشر شده است، گفته میشود که این عملیات «سامانه نام دامنه» اینترنتی یا همان «دیاناس» (DNS) را هدف میگیرد که یک بخش ابتدایی، اما کمتر شناخته شده، شبکههای کامپیوتری است و نام دامنه را به نشانی آیپی ترجمه میکند.
عملیات سایبری مذکور نخستین بار در پاییز و پس از آن شناسایی شد که شرکت های امنیت سایبری «سیسکو» و «فایر آی» متوجه فعالیتهای مشکوک دیاناسها در خاورمیانه شدند و «فایر آی» آن را به ایران نسبت داد.
نهادهای دولتی و امنیتی ایالات متحده پیش از این بارها در مورد حملات سایبری جمهوری اسلامی هشدار دادهاند و در آخرین مورد مدیر اطلاعات ملی آمریکا در گزارشی به پرزیدنت ترامپ از تلاش ناکام ایران به همراه چین و روسیه برای اثرگذاری بر انتخابات میان دورهای کنگره خبر داد.
Iranian actors possibly behind DNS attack: FireEye
FireEye’s Mandiant Incident Response and Intelligence teams tempered its belief that Iran is behind the attacks noting work continues on attribution, but enough evidence exists for the team to give moderate confidence the attacks stem from persons based in Iran.
“FireEye Intelligence identified access from Iranian IPs to machines used to intercept, record and forward network traffic. While geolocation of an IP address is a weak indicator, these IP addresses were previously observed during the response to an intrusion attributed to Iranian cyberespionage actors. The entities targeted by this group include Middle Eastern governments whose confidential information would be of interest to the Iranian government and have relatively little financial value,” the report said.
The organizations being targeted are telecoms, ISPs, internet infrastructure providers, government and commercial entities. The campaign ran from January 2017 to January 2019 and used multiple, non-overlapping clusters of actor-controlled domains and IPs and a wide range of providers were chosen for encryption certificates and VPS hosts, FireEye said.
FireEye was unable to specify the exact attack vector used against each target and said there is a possibility multiple vectors were used in each case, but a few clues were available to shed some light on the issue.
“FireEye intelligence customers have received previous reports describing sophisticated phishing attacks used by one actor that also conducts DNS record manipulation. Additionally, while the precise mechanism by which the DNS records were changed is unknown, we believe that at least some records were changed by compromising a victim’s domain registrar account,” the report said.
In November Cisco Talos reported on what is likely one aspect of this campaign when it came across attacks targeting Lebanese and the United Arab Emirates .gov domains. The attackers gained initial entry using two fake job-oriented websites and malicious Microsoft Office documents with embedded macros,Cisco Talos wrote at the time.
Leave a Reply
You must be logged in to post a comment.