گروه هکر APT42 تحت حمایت دولتی ایران، دولت، سازمان‌های غیردولتی و سازمان‌های بین‌دولتی را برای جمع‌آوری اعتبار هدف قرار می‌دهد.

در حوزه امنیت سایبری، هوشیاری از اهمیت بالایی برخوردار است. افشاگری‌های اخیر از Google Cloud's Mandiant، فعالیت‌های پلید APT42 را روشن می‌کند، یک گروه جاسوسی سایبری تحت حمایت دولت که گمان می‌رود به نمایندگی از سپاه پاسداران انقلاب اسلامی (سپاه پاسداران انقلاب اسلامی) در ایران فعالیت می‌کند. با سابقه ای که حداقل به سال 2015 برمی گردد، APT42 به عنوان یک تهدید مهم ظاهر شده است و مجموعه وسیعی از نهادها از جمله سازمان های غیردولتی، نهادهای دولتی و سازمان های بین دولتی را هدف قرار داده است.

روش عملیاتی APT42 که تحت نام های مستعار مختلفی مانند Calanque و UNC788 کار می کند، به همان اندازه که نگران کننده است، پیچیده است. این گروه با استفاده از تاکتیک‌های مهندسی اجتماعی، خود را به عنوان روزنامه‌نگاران و سازمان‌دهندگان رویداد برای نفوذ به شبکه‌های اهداف خود نشان می‌دهد. با استفاده از این استراتژی‌های فریبنده، APT42 اعتماد قربانیان ناآگاه را به دست می‌آورد و آنها را قادر می‌سازد تا اعتبارنامه‌های ارزشمندی را برای دسترسی غیرمجاز دریافت کنند.

یکی از ویژگی های رویکرد APT42 استفاده از درهای پشتی متعدد برای تسهیل فعالیت های مخرب آن است. گزارش Mandiant به استقرار دو درب پشتی جدید در حملات اخیر اشاره می کند. این ابزارهای مخفی APT42 را قادر می‌سازد تا به محیط‌های ابری نفوذ کند، داده‌های حساس را استخراج کند و با استفاده از ابزارهای منبع باز و ویژگی‌های داخلی از شناسایی فرار کند.

تجزیه و تحلیل Mandiant بیشتر زیرساخت پیچیده استفاده شده توسط APT42 در عملیات خود را نشان می دهد. این گروه کمپین‌های گسترده‌ای را برای جمع‌آوری اعتبار سازماندهی می‌کند و اهداف خود را به سه دسته مجزا دسته‌بندی می‌کند. از خودنمایی به عنوان سازمان‌های رسانه‌ای گرفته تا جعل هویت سرویس‌های مشروع، APT42 از تاکتیک‌های مختلفی برای فریب قربانیان خود برای افشای اعتبار ورود به سیستم استفاده می‌کند.

علاوه بر این، فعالیت های APT42 فراتر از جاسوسی سایبری سنتی است. این گروه تمایل خود را برای انطباق تاکتیک های خود نشان داده است، همانطور که با استقرار درب های پشتی سفارشی مانند Nicecurl و Tamecat نشان داده شده است. این ابزارها که به ترتیب با VBScript و PowerShell نوشته شده اند، APT42 را قادر می سازند تا دستورات دلخواه را اجرا کند و اطلاعات حساس را از سیستم های در معرض خطر استخراج کند.

با وجود تنش‌های ژئوپلیتیکی و درگیری‌های منطقه‌ای، APT42 همچنان در پیگیری جمع‌آوری اطلاعات ثابت قدم است. یافته‌های Mandiant بر انعطاف‌پذیری و پایداری این گروه تأکید می‌کند، زیرا همچنان به هدف قرار دادن نهادهای مرتبط با مسائل حساس ژئوپلیتیکی در ایالات متحده، اسرائیل و فراتر از آن ادامه می‌دهد. علاوه بر این، همپوشانی بین فعالیت‌های APT42 و سایر گروه‌های هکر ایرانی، مانند Charming Kitten، ماهیت هماهنگ و چندوجهی عملیات سایبری ایران را برجسته می‌کند.

در مواجهه با چنین تهدیداتی، اقدامات پیشگیرانه امنیت سایبری ضروری است. سازمان‌ها باید مراقب باشند و از پروتکل‌های امنیتی قوی استفاده کنند و در جریان آخرین تحولات دفاع سایبری قرار بگیرند. با تقویت همکاری و به اشتراک گذاری اطلاعات، جامعه جهانی بهتر می تواند با چشم انداز تهدید در حال تکاملی که توسط گروه هایی مانند APT42 ایجاد می شود، مقابله کند.

در نهایت، افشاگری های ارائه شده توسط Mandiant به عنوان یادآوری هشیارکننده از ماهیت مداوم و فراگیر تهدیدات سایبری است. همانطور که تکنولوژی به پیشرفت خود ادامه می دهد، دفاع ما نیز باید پیشرفت کند. تنها از طریق اقدام جمعی و تلاش تزلزل ناپذیر می توان امیدوار بود که خطرات ناشی از گروه های جاسوسی سایبری تحت حمایت دولت مانند APT42 را کاهش دهیم.