iفین تک (ای فین تک - آی فین تک)

در حالی که تنش‌های ژئوپلیتیکی در آسیای مرکزی رو به افزایش است، حملات سایبری به‌ویژه فیشینگ، به یکی از ابزارهای رایج برای جاسوسی سایبری و تأثیرگذاری اطلاعاتی تبدیل شده‌اند. به گزارش آی‌فین‌تک، جدیدترین بررسی‌ها حاکی از آن است که گروه سایبری TAG-110 که ارتباط نزدیکی با نهادهای امنیتی ایران دارد، حملات فیشینگ خود را در تاجیکستان به‌طور چشم‌گیری افزایش داده است. این عملیات که از اوایل سال ۲۰۲۵ شدت گرفته، سازمان‌های دولتی، سفارتخانه‌ها و رسانه‌های مستقل را هدف قرار داده است.

معرفی گروه TAG-110

گروه TAG-110 که با نام‌های دیگری مانند Charming Kitten، APT35 و Phosphorous نیز شناخته می‌شود، یکی از گروه‌های تهدید پیشرفته (APT) وابسته به ایران است. این گروه سابقه‌ای طولانی در حملات سایبری علیه اهداف غربی، خاورمیانه‌ای و آسیای مرکزی دارد و فعالیت‌های آن معمولاً شامل فیشینگ هدفمند، بدافزار سفارشی، ربودن ایمیل‌ها و مهندسی اجتماعی پیشرفته است.

بر اساس تحلیل iفین‌تک، این گروه در گذشته نیز در کشورهایی مانند لبنان، بحرین، آمریکا و اسرائیل فعالیت‌های سایبری گسترده‌ای داشته و اکنون تاجیکستان را به عنوان یکی از اهداف کلیدی خود در نظر گرفته است.

اهداف حملات در تاجیکستان

گزارش‌ها نشان می‌دهد که حملات اخیر TAG-110 در تاجیکستان عمدتاً سه دسته هدف را شامل می‌شود:

نهادهای دولتی: از جمله وزارت‌خانه‌ها و مؤسسات امنیتی.

دیپلمات‌ها و سفارتخانه‌ها: به‌ویژه سفارتخانه‌های غربی و آسیای شرقی.

فعالان جامعه مدنی و روزنامه‌نگاران: افرادی که فعالیت آن‌ها با نگاه‌های انتقادی همراه است.

تحلیل‌گران بر این باورند که هدف اصلی این گروه، جمع‌آوری اطلاعات حساس، شناسایی شبکه‌های انسانی و تقویت عملیات نفوذ سایبری است.

روش‌های فیشینگ مورد استفاده

روش‌های فیشینگ به کار رفته توسط TAG-110 پیشرفته‌تر از الگوهای ساده و عمومی هستند و شامل تکنیک‌های زیر می‌شوند:

• ایمیل‌های هدفمند با قالب سازمانی واقعی: مانند ارسال ایمیل از طرف مؤسسات خبری یا نهادهای بین‌المللی.

• دامنه‌های جعلی: ساخت دامنه‌هایی مشابه دامنه‌های رسمی سازمان‌ها مانند "tajikgov.info" به جای "tajikgov.tj".

• استفاده از فایل‌های Word و PDF آلوده: با ماکروهای مخرب که پس از باز شدن، بدافزارهایی مانند PowerShell RAT را نصب می‌کنند.

• صفحات لاگین جعلی: تقلید از صفحات Google یا Microsoft برای سرقت نام کاربری و رمز عبور.

این روش‌ها همگی با دقت و شناخت عمیق از ساختار اطلاعاتی و فرهنگی هدف طراحی شده‌اند.

ابزارهای بدافزاری و تکنولوژی‌ها

به گزارش آی‌فین‌تک، ابزارهای مورد استفاده توسط TAG-110 شامل موارد زیر است:

• PowerShell Backdoors: برای کنترل از راه دور دستگاه قربانیان.

• Remote Access Trojans (RATs): مانند "CharmTracker" و "GhostEcho".

• ابزارهای استخراج رمز عبور: از طریق حافظه سیستم یا پایگاه‌ داده مرورگرها.

این ابزارها با استفاده از الگوریتم‌های رمزنگاری بومی و کانال‌های ارتباطی رمزگذاری‌شده به سرورهای فرمان و کنترل منتقل می‌شوند که در کشورهایی مانند روسیه و بلاروس قرار دارند.

نقش مهندسی اجتماعی

یکی از نقاط قوت TAG-110، استفاده هوشمندانه از مهندسی اجتماعی است. اعضای این گروه، ابتدا از طریق شبکه‌های اجتماعی مانند LinkedIn و Facebook با افراد کلیدی ارتباط برقرار کرده و سپس با اعتمادسازی، اهداف خود را فریب داده و به باز کردن فایل یا کلیک روی لینک ترغیب می‌کنند.

در یکی از موارد ثبت‌شده، یک تحلیلگر امنیتی تاجیک از طریق تماس واتس‌اپ با شخصی که خود را نماینده یک مؤسسه تحقیقاتی معرفی کرده بود، به دام افتاده است.

تحلیل ارتباطات ژئوپلیتیکی

افزایش حملات TAG-110 در تاجیکستان نمی‌تواند صرفاً یک تلاش مستقل سایبری تلقی شود، بلکه در بافت گسترده‌تر رقابت‌های منطقه‌ای ایران، چین و روسیه در آسیای مرکزی قرار دارد. ایران تلاش دارد حضور اطلاعاتی خود در کشورهای فارسی‌زبان تقویت کند و تاجیکستان به‌دلیل زبان مشترک و روابط سیاسی، گزینه‌ای مناسب برای گسترش این نفوذ است.

تحلیل iفین‌تک بیان می‌کند که اطلاعات به‌دست‌آمده از این حملات می‌تواند در پروژه‌های اطلاعاتی، تبلیغات هدفمند یا حتی ایجاد فشار سیاسی به کار رود.

واکنش نهادهای امنیتی

سازمان‌های امنیت سایبری بین‌المللی نظیر Mandiant، Recorded Future و Cert-UA به تازگی هشدارهایی درباره موج جدید فعالیت‌های TAG-110 منتشر کرده‌اند. همچنین، دولت تاجیکستان با کمک کارشناسان اروپایی در حال بررسی راه‌های مقابله با این تهدیدات است.

در بیانیه‌ای رسمی، دولت اعلام کرده که زیرساخت‌های سایبری دولتی را به‌روزرسانی کرده و سامانه‌های آموزش کارکنان در برابر فیشینگ را تقویت می‌کند.

توصیه‌های امنیتی برای سازمان‌ها

بر اساس تحلیل آی‌فین‌تک، مقابله با حملات فیشینگ پیچیده‌ای مانند آنچه توسط TAG-110 اجرا می‌شود نیازمند اقدامات جامع است:

آموزش کارمندان درباره روش‌های فیشینگ هدفمند.

استفاده از احراز هویت دومرحله‌ای برای ایمیل‌ها و سامانه‌های داخلی.

نظارت بر دامنه‌های جعلی از طریق سرویس‌های مانیتورینگ DNS.

افزایش سطح هشداردهی سیستم‌های EDR و ایمیل‌گیت‌وی‌ها.

حملات سایبری توسط گروه TAG-110 در تاجیکستان تنها بخشی از یک روند گسترده‌تر در منطقه است که در آن امنیت سایبری به یکی از ابزارهای نفوذ ژئوپلیتیکی بدل شده است. به گزارش iفین‌تک، تنها با نگاه چند‌لایه و هوشیاری اطلاعاتی در کنار فناوری پیشرفته می‌توان در برابر چنین تهدیداتی ایستادگی کرد.