گزارش تازه‌ی کمپانی اطلاعات محرمانه‌ی سایبری می‌گوید کپی‌کیتنز تله‌های بدافزاری می‌گذارد، صفحات فیس‌بوکی ساختگی ایجاد می‌کند.

کارشناسان امنیتی در گزارش جدید ابراز داشته‌اند که یک گروه جاسوسی سایبری که با ایران مربوط، به کپی‌کیتنز معروف است چندی است که دولت‌ها و نهادهای جهانی، از جمله ایالات متحده، اسرائیل، آلمان، ترکیه، عربستان سعودی را هدف گرفته است.

این گزارش، که نام‌اش ویلتد تولیپ (لاله‌ی پژمرده) است، از سوی کمپانی امنیت سایبری اسرائیلی، کلیر ‌اسکای (آسمان روشن) و کمپانی نرم‌افزار ژاپنی ترند میکرو (روند حداقلی) تهیه شده است. گزارش مزبور فعالیت‌های این گروه را از ۲۰۱۳ که شروع به کار کرده، دنبال کرده است و می‌گوید این گروه قربانی‌های خود را با استفاده از بدافزارهایی که خود تولید کرده و ابزار هک، که از طریق ایمیل با لینک‌هایی به وبسایت‌های مخرب و یا با ضمیمه‌های مخرب، هدف می‌گیرد.

در ماه مارس، کلیر اسکای این گروه را «مزدور ایران» نام نهاد.

گزارش حاکی است که از صفحه‌های فیس‌بوکی نیز برای پخش لینک‌های مخرب و جلب اعتماد قربانی‌ها استفاده شده است. این گروه همچنین به وبسایت‌های خبری و وبسایت‌های عمومی نفوذ کرده و با روشی که به گودال آبیاری معروف است، و طی آن هکر سعی می‌کند حدس بزند قربانی به کدام وبسایت‌ها نظر دارد و سپس همان‌ها را به بدافزار آلوده می‌کند تا به تدریج اعضای گروه هدف را آلوده سازد، اقدام کرده است.

گزارش حاکی است که هدف کپی‌کیتنز، جمع‌آوری هر چه بیشتر اطلاعات و داده‌ها از سازمان‌های هدف و دسترسی به «مقدار عظیم سند و فایل‌های اسپردشیت، و مدارک حاوی اطلاعات اشخاص، مدارک پیکربندی، آمار است».

معمولا، هنگامی که «مهاجمان حریص می‌شوند» و شمار زیادی کامپیوتر را در یک شبکه متصل، آلوده می‌کنند، شناسایی می‌شوند.

در ۳۰ مارس ۲۰۱۷، کلیر اسکای گزارشی از نفوذ به چندین وبسایت از جمله اورشلیم پست، ماریو نیوز و وبسایت سازمان جانبازان نیروی دفاعی خبر داد. یک کد جاوا اسکریپت در وبسایت‌های آلوده شده کار گذاشته شده بود که به هکرها اجازه‌ی عمل می‌داد از جمله جمع‌آوری اطلاعات و مهندسی اجتماعی – برای مثال، درخواست اطلاعات شناسایی و یا درخواست از کاربران به نصب بدافزار.

در ۲۰۱۳، گروه کپی‌کیتنز، همچین از چندین پروفایل فیس‌بوکی برای پخش لینک‌ به کپی ساختگی وبسایت‌های هآرتص، روزنامه‌ی اسرائیلی، استفاده کرد. یک اریک براون ساختگی و آماندا مورگان ساختگی لینک‌هایی به وبسایت‌های مخرب در صفحه‌های خود گذاشتند، و نیز چند فرد ساختگی را به عنوان عموزاده‌های خود در صفحه تگ کردند.

در گزارش آمده است که «و اگرچه اریک بروان از سپتامبر ۲۰۱۵ به بعد علنا فعال نبوده و دو پروفایل اسرائیلی دیگر از ۲۰۱۳ به بعد فعال نبوده‌اند، اما آماندا مورگان همچنان فعال است. وی هزاران دوست و ۲۶۳۰ فالوور دارد، که بسیاری از ایشان اسرائیلی هستند».

در مورد دیگری که در گزارش به آن اشاره شده، اعضای گروه جرمن باندستگ با روش هک گودال‌های آبیاری که در چندین وبسایت معتبر قانونی که به سایت‌های ثالث آلوده لینک شده بودند، مورد آسیب قرار گرفتند. بنا به گزارش، یک نهاد سیاسی ترکیه‌ای هک شد و به عنوان سرپوش برای کازار فیشینگ عظیم از آن استفاده شد و قربانیان پیام‌های هدفمند از یک منبع شناخته‌ شده‌ی معتبر دریافت کردند.

کلیر اسکای و ترند میکرو در بیانیه‌ای گفتند «کپی‌کیتنز، با وجود آن که فاقد فناوری پیچیده و نظم عملیاتی است، بسیار سمج است». «این ویژگی‌ها، البته، باعث می‌شود که سروصدای‌ زیاد راه بیندازد و به آسانی شناسایی و دیدبانی شود و به سرعت با آن مقابله شود».

بوأز دولیف مدیر عامل کلیر اسکای در بیانیه‌ای گفت «چهار سال است که کپی‌کیتنز را ردگیری می‌کنیم و با شیوه‌های عملیاتی آن بسیار آشناییم».