هکرها یکی از سایتهای وابسته به دانشکده مطالعات شرقی و آفریقایی دانشگاه لندن (SOAS) را با هدف سرقت اطلاعات از افراد هک کرده بود.بی بی سی :یک شرکت امنیت سایبری عملیات "پیچیده" یک گروه هکر ایرانی را شناسایی کرده که با جا زدن خود به عنوان استاد و پژوهشگر دانشگاهی در بریتانیا تلاش میکردند افراد دیگر را هدف قرار دهند.
این گروه یکی از سایتهای وابسته به دانشکده مطالعات شرقی و آفریقایی دانشگاه لندن (SOAS) را با هدف سرقت اطلاعات از افراد هک کرده بود.
این عملیات را که گفته میشود کار گروه هکری "بچهگربه دلربا" وابسته به حکومت ایران است، شرکت امنیت سایبری پروفپوینت شناسایی کرده است. این گروه با نام "فسفر" یا APT35 هم شناخته میشود.
پروفپوینت عملیات "استادان قلابی" را پیچیده توصیف کرده و گفته است که مهاجمان سایبری در پی مکالمه آنلاین با افراد مورد نظر خود بودهاند که عمدتا ساکن آمریکا و بریتانیا هستند.
هکرها چه کردند؟
اوایل سال ۲۰۲۱ ایمیلهایی که ادعا میشد از طرف یک "پژوهشگر و مدرس ارشد دانشگاهی" در دانشکده سواَز لندن فرستاده شده، افرادی را به یک کنفرانس آنلاین با عنوان "چالشهای امنیتی آمریکا در خاورمیانه" دعوت کرد.
این ایمیلها را - که از یک آدرس جیمیل ارسال میشد- استادان واقعی نفرستاده بودند بلکه گروه هکری ارسال کرده بود که گفته میشود با سپاه پاسداران در ارتباط است.
اگر کسی جواب این ایمیل را میداد، لینکی برای ثبت نام در یکی از سایتهای واقعی وابسته به دانشگاه دریافت میکرد که هکرها قبلا به آن نفوذ کرده بودند.
این سایت متعلق به رادیو سواز، یک رادیوی آنلاین مستقل بود که تهیهکنندگان آن در داخل دانشکده مستقر هستند.
به فرد دریافت کننده ایمیل امکان ثبت نام با سرویسهای جیمیل، یاهو، مایکروسافت، آیکلاود و فیسبوک داده میشد و هکرها میتوانستند نام کاربری و پسورد را سرقت کنند. چنین کاری جدید نیست اما استفاده از یک سایت واقعی، ویژگی این عملیات سایبری عنوان شده است.
هکرها از طریق وبسایت هک شده افراد را دعوت به ثبت نام میکردندشرود دیگریپو، یکی از مدیران ارشد شرکت پروفپوینت به بیبیسی گفت چنین کاری برای این گروه "بسیار نامعمول و پیچیدهتر" از کارهای قبلی آنها است.
ارتباط بین "استاد قلابی" و فرد هدف ممکن بود مدتی طول بکشد تا اعتماد لازم قبل از فرستادن لینک ثبت نام حاصل شود. در بعضی موارد از افراد خواسته میشد که برای صحبت درباره دعوتنامه تماس تلفنی برقرار کنند.
در یک مورد دریافتکننده ایمیل درخواست جزییات بیشتری کرده بود که با ایمیل برایش ارسال شده بود و بعد هکرها پیشنهاد ارتباط از طریق ویدیو کنفرانس را داده بودند.
به گفته گوردن کوررا، گزارشگر امنیتی بیبیسی، این که جاسوسان سایبری به جای ارتباط ایمیلی، تلاش کنند به صورت آنلاین با تلفن یا ویدیو کنفرانس با اهداف خود ارتباط برقرار کنند، غیرمعمول است و نشان از اعتماد و مهارت آنها، هم برای برقراری ارتباط با زبان انگلیسی و هم جا زدن خود به جای یک مدرس دانشگاهی دارد.
به گفته پروفپوینت سه گروه جزو اهداف اصلی هکرها بودند:
- کارکنان ارشد اندیشکدههای مطالعاتی خاورمیانه
- روزنامهنگاران حوزه خاورمیانه
- چهرههای دانشگاهی از جمله استادان ارشد
واکنش دانشگاه
دانشکده مطالعات شرقی و آفریقایی لندن میگوید هیچ گونه اطلاعات شخصی به دست هکرها نیفتاده و سیستم دادههای دانشکده هم آسیبی ندیده است.
به گفته سواز سایت رادیو از سایت رسمی دانشکده جدا بوده و جزو هیچ یک از دامنههای اینترنتی دانشگاهی نبوده است.
این دانشکده در بیانیهای که برای بیبیسی فرستاده میگوید: "اوایل امسال که از این سایت قلابی با خبر شدیم، بلافاصله اقدام کردیم و به شیوه معمول گزارش نفوذ را دادیم. چگونگی انجام این عملیات را مرور کردیم و گامهایی را برای پیشرفت بیشتر تدابیر حفاظتی از این گونه سیستمهای جانبی برداشتیم."
شرکت امنیت سایبری پروفپوینت میگوید صددرصد مطمئن نیست که سپاه پاسداران پشت این عملیات بوده اما میگوید ترفندها و شیوههای به کار رفته و اهداف حمله تا حد زیادی نشان از دخالت سپاه دارد.