وبسایت فکت‌نامه

مشخصات فردی

شرکت

افکار سیستم یزدسهامی خاص

۱ ارتباط

تاریخ ثبت

۹ تیر ۱۳۸۶

شماره ثبت

۸۸۶۲

رییس فعلی

احمد خطیبی عقدا

آدرس

یزد، کوی امیر المومنین، کوچه سی و یکم شهید صدوقی پلاک 0 طبقه دوم

ارتباطات پروفایل

افکار سیستم یزد

ناجی تکنولوژی هوشمند فاطر

مشاهده همه ارتباطات

هیئت مدیره

نامسالوابستگی‌هاتوضیحات
ملیحه خطیبی عقدا۱۴۰۱

رئیس هیئت مدیره

عبدالروف خطیبی عقدا۱۴۰۱

نایب رئیس هیئت مدیره

احمد خطیبی عقدا۱۳۸۶

مدیرعامل و عضو هیئت مدیره

نقض حقوق کاربر

حملات هکری باج‌افزاری به قربانیانی از سراسر جهان

حمله سایبری به منتقدان جمهوری اسلامی

سوابق دیگر

  • فرایند تاسیس و شرح خدمات و فعالیت

    شرکت «افکار سیستم یزد» در سال ۱۳۸۶ تاسیس شده و غیر از «احمد خطیبی عقدا» که مدیرعامل آن است چند نفر دیگر با نام خانوادگی «خطیبی عقدا» در هیات مدیره آن حضور دارند.

    1516610211583

    اما روز ۲۳ شهریور ۱۴۰۱، ترین ائتلاف بین‌المللی سایبری متشکل از سازمان‌های امنیت سایبری آمریکا ، کانادا، استرالیا و بریتانیا (فهرست در تصویر زیر) گزارشی از تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTPs) یک گروه سایبری را منتشر کرد که با استفاده از عملیات سایبری با باج افزارهای در سال ۲۰۲۰ و ۲۰۲۱ میلیون‌ها دلار از شهروندان آمریکایی، عموما به شکل بیت‌کوین اخاذی کرده‌بودند. از جمله هدف‌های آنها شرکت‌های بازنشستگی کوچک، بیمارستان‌های کودکان، مدارس و نهادهای عمومی مانند شهرداری نیوجرسی بود.

    Screen Shot 2023-08-02 at 2.37.24 PM

    براساس جزییات و شواهد و تحقیقات منتشر شده در این سند، شرکت افکار سیستم یزد، یکی از عوامل یک گروه هکری سایبری مشهور در بین متخصصان امنیت سایبر به‌نام «بچه‌گربه ملوس» (Charming Kitten) است. دیگر اسامی این گروه در تعاریف شرکت‌های مختلف عبارتند از:

    • فسفر (Phosphorus) یا توفان شن نعنایی (Mint Sandstorm) براساس نام‌‌گذاری قدیم و جدید مایکروسافت
    • گروه ATP35 براساس نام‌‌گذاری مندیانت
    • COBALT MIRAGE براساس نام‌‌گذاری سکیور ورکس
    • دید تونلی (TunnelVision) براساس نام‌‌گذاری SentinelOne
    • NewsBeef براساس نام‌‌گذاری کسپرسکی
    • و اسامی دیگری چون Newscaster, Magic Hound, G0059 و TA453 و …

    سکویا در گزارشی در تیرماه ۱۴۰۲، جایگاه این شرکت در منظومه گروه‌های هکری سایبری تهاجمی وابسته به جمهوری اسلامی در میان سایر گروه‌ها مشخص شده‌است:

    MAR-_-Schema-organisation-cyber-IRAN-05-2023-2

  • نقش در ITC

    سال گذشته مایکروسافت در گزارش سالانه «دفاع دیجیتال» در بخش «تهدیدات کشوری» نشان داد تعداد حملات به اهداف مختلف توسط هکرهای حکومتی ایرانی که از سال ۲۰۱۹ کاهش پیدا کرده‌بود، دوباره افزایش یافته‌است. از تیر ۱۴۰۰ تا تیر ۱۴۰۱، حدود ۳۰۰ نقطه، هدف حملات سایبری گروه‌های هکری وابسته به جمهوری اسلامی بوده‌اند.

    گزارش مایکروسافت نشان می‌دهد با روی کار آمدن دولت رئیسی از پاییز ۱۴۰۰ مجموعه عملیات‌های «بچه گربه ملوس» به‌خصوص در ایالات متحده افزایش یافته‌است. زیرساخت‌های حیاتی آمریکا از جمله بنادر دریایی، شرکت‌های انرژی، سیستم‌های حمل‌ونقل و یک شرکت بزرگ آب و گاز ایالات متحده از اهدافی بودند که احتمالاً در پاسخ به حملات سایبری به سازمان بنادر و کشتیرانی جمهوری اسلامی، راه‌آهن جمهوری اسلامی و سیستم کارت سوخت انجام شدند.

    Screen_Shot_2023-05-16_at_3.48.43_PM.width-1000

    از این بین یک چهارم یعنی ۲۵درصد حملات معطوف به اهدافی در ایالات متحده، ۲۲درصد اسرائیل، ۱۵درصد امارات، ۷درصد انگلستان، ۵ردصد هند، ۴درصد عربستان و ۲۲درصد بقیه دنیا را شامل می‌شد.

    Screen_Shot_2023-05-16_at_3.49.09_PM.width-1000

    اما اهداف غیرنظامی و غیر زیرساختی دیگری هم بودند که «بچه گربه ملوس» به آنها حمله کرده:

    • در بهمن ۱۳۹۹، شهرداری نیوجرسی
    • در فروردین ۱۴۰۰، مشاغل کوچک محلی از جمله یک شرکت حقوقی، یک شرکت حسابداری و یک پیمانکار ساختمانی
    • در خرداد ۱۴۰۰، یک بیمارستان کودکان در بوستون
    • در تیر ۱۴۰۱، طیف گسترده ای از قربانیان مستقر در سراسر ایالات متحده از جمله ارائه‌دهندگان خدمات حمل‌ونقل، مراقبت‌های بهداشتی، خدمات اضطراری، موسسات آموزشی

    مورد حملات باج افزاری «بچه گربه ملوس» قرار گرفتند.

    یکی از دیگر حملاتی که به بچه‌گربه ملوس نسبت داده می‌شود حمله به موسسات علمی بریتانیا بود که توسط پروف‌پوینت افشا شد. گروه «بچه‌گربه ملوس» با استفاده از ای‌میل‌های فیشینگ متخصصان امور خاورمیانه، امنیت هسته‌ای، تحقیقات ژنوم و پژوهشگاه‌های پزشک را هدف قرار داده‌بود (لینک۱، لینک۲، لینک۳). به این نوع حملات، حملات گردابی (Watering Hole Attacks) می‌گویند (تحقیق موسسه چک‌پوینت درباره این گروه در اردیبهشت ۱۴۰۰).

    Figure-1.-The-two-attack-chains-used-by-the-Mint-Sandstorm-subgroup

    نمونه دیگری از فعالیت‌های این گروه هکری وابسته به حکومت ایران علیه پژوهشگران اسرائیلی را شین بت (سرویس اطلاعات داخلی این کشور) در اردیبهشت ۱۴۰۱ افشا کرد (تصویر یکی از ای‌میل‌هایی که به کاربرای اسراییلی فرستاده شده‌بود):

    505334

  • افشای یک نمونه حمله مهندسی اجتماعی و فیشینگ علیه مخالفان جمهوری اسلامی

    نمونه مشهور دیگری که موسسه SecureWork در اسفند ۱۴۰۱ آن را افشا کرد، اکانتی به نام «سارا شکوهی» بود که خود را محقق «شورای آتلانتیک» و همکاری هالی دگرس، محقق این مرکز معرفی کرده بود.

    SHokoukifigure-01.width-1000

    این اکانت توییتری با جعل هویت، در صدد نزدیک‌شدن به فعالان سیاسی و اجتماعی ایرانی در خارج از کشور بود که هویتش آشکار شد. سکیور ورک نشان داد که «سارا شکوهی» اکانت سایبری تحت کنترل تیم «بچه‌گربه ملوس» (در نام‌گذاری این شرکت Cobalt Illusion) است.

    SHokoukifigure-04.width-1000

  • تکنیک‌ها، تاکتیک‌ها و رویه‌ها

    موسسه پروف‌پوینت جزئیات فنی حملاتی از سوی گروه بچه‌گربه ملوس را در گزارشی در آذر ۱۴۰۱ منتشر کرد.

    این مجموعه فعالیت‌ها حتی از فضای سایبری هم خارج شده و از هدف خود درخواست می‌کنند که دیدار حضوری در محیط عمومی [احتمالا به قصد آدم‌ربایی] داشته‌باشند. این نوع فعالیت‌ها به‌خصوص علیه روزنامه‌نگاران و مخالفان ایرانی مقیم ترکیه انجام شده‌است (گزارش دیگری از سوفوس).

    2022_02_Memento_ransomware_5dc489e677

    در روز ۱۳ خرداد ۱۴۰۱، گروه هکری لب‌دوختگان (ضد جمهوری اسلامی) یکی از روش‌های فیشینگ گروه بچه‌گربه ملوس را در کانال تلگرامش افشا کرد. براساس گزارش تیم DART مایکروسافت، حمله‌کنندگان به آلبانی از همان نرم‌افزار jason.exe که گروه لب‌دوختگان منتشر کرده‌بود در حمله هکری مشهور به زیرساخت‌های کشور آلبانی استفاده کرده‌اند.

    fig3-screenshot-jason-exe-tool.width-1000

    تیم امنیتی شرکت IBM (به‌نام X-Force) در گزارشی اعلام کرده‌بود این بدافزار در حمله به سرورهایی در خاورمیانه (ترکیه، اسرائیل، عربستان، امارات، کویت و اردن) نقش داشته‌است. براساس تحقیق دیگری از بیت‌دیفندر، این گروه سابقه حمله به سرورهای دولت ایالات متحده را نیز داشته‌است.

    fig2-timeline-data-exfiltration-activities-DEV-0861

    چند هفته پس از عملیات IO سایبری تیرماه ۱۴۰۱ به آلبانی، گوگل در گزارشی از نحوه عملیات فیشینگ «بچه گربه ملوس» در به‌دست گرفتن حساب‌های کاربری جی‌میل، یاهو میل و مایکروسافت اوت‌لوک پرده برداشته‌بود. ای‌میل‌های دولتی آلبانی هم روی سرورهایی بوده که مایکروسافت از آنها پشتیبانی می‌کرده‌است.

    image1_pDzet0c.max-1000x1000

    در اردیبهشت ۱۴۰۲ شرکت امنیتی بیت‌دیفندر در گزارشی جامع پرده از تکنیکی جدید توسط «بچه گربه ملوس» برداشت؛ بدافزار جدیدی به نام BellaCiao (بلا چاو). این بدافزار برای حمله به اهدافی در اسرائیل و ترکیه طراحی شده اما اهدافی در استرالیا، هند و ایتالیا هم در لیست حملات آن قرار داشتند.

    undefined-Apr-22-2023-12-15-05-4730-PM

    تغییر تکنیک‌ها، تاکتیک‌ها و رویه‌ها

    گزارش مایکروسافت (منتشر شده در ۱۲ اردیبهشت ۱۴۰۲) نشان می‌دهد که TTPs گروه‌های هکری مخرب وابسته به جمهوری اسلامی از حملات «باج‌افزاری» (Ransomware - حملاتی که حافظه سیستم‌های هدف را رمزگذاری کرده تا با اخاذی، دسترسی به محتوا را باز کند) یا «برف پاک‌کن» (Wiper - حملاتی که کل حافظه سیستم‌های هدف را پاک می‌کند) به «عملیات IO سایبری» تغییر کرده‌است.
    آژانس امنیت ملی ایالات متحده در گزارش امنیت سایبری در سال ۲۰۲۲ ضمن انتشار تصاویری از مدیرعامل این شرکت به این اشاره دارد که گروه‌های سایبری وابسته به سپاه پاسداران انقلاب اسلامی از آسیب‌پذیری‌های شناخته‌شده عمومی برای دسترسی به شبکه‌های سراسر جهان سو استفاده می‌کردند. عوامل مخرب تحت حمایت حکومت ایران، اطلاعات را رمزگذاری کرده و برای ارائه نسخه پشتیبان اخاذی می‌کردند.
    طیف وسیعی از سازمان‌ها، از جمله مشاغل کوچک، سازمان‌های دولتی، برنامه‌های غیرانتفاعی، و مؤسسات آموزشی و مذهبی قربانی حملات هکری وابسته به حکومت ایران بودند. قربانیان آنها همچنین شامل چندین بخش زیرساخت حیاتی از جمله مراقبت های بهداشتی، خدمات حمل و نقل و ارائه دهندگان خدمات بودند.
    ارتشبد پل ناکازونه (Paul Miki Nakasone) بالاترین مقام سایبری ایالات متحده که هم فرمانده ستاد سایبری ایالات متحده (CyberCom) است و هم مدیر آژانس امنیت ملی آمریکا (NSA) علت اصلی کم اثر شدن تاکتیک‌ها، تکنیک‌ها و رویه‌های قبلی هکرها را همکاری شرکای آمریکا می‌داند و می‌گوید:
    استعداد ترکیبی شرکای ما بزرگترین مزیت رقابتی است که ما برای مقابله با تهدیدات پیچیده روزافزون خود داریم. از طریق مشارکت، ما دفاع را تقویت و فعال می‌کنیم و فعالیت‌های دشمن را مختل و تنزل می‌دهیم.

  • سابقه تحریم/قضایی

    روز ۲۳ شهریور ۱۴۰۱، وزارت دادگستری کیفرخواستی را منتشر کرد که سه شهروند ایرانی (منصور احمدی، احمد خطیبی عقدا و امیرحسین نیک‌آیین راوری) را به اخاذی از ارائه‌دهندگان زیرساخت‌های حیاتی ایالات متحده متهم کرد و وزارت امور خارجه آمریکا هم برای اطلاعاتی درباره این سه نفر تا سقف ۱۰ میلیون دلار (برای هرکدام) جایزه تعیین کرد.

    Graphic_Iran-246_FAR_Final.width-1000

    همچنین اداره کنترل دارایی‌های خارجی وزارت خزانه‌داری ایالات متحده (OFAC) دو شرکت «ناجی تکنولوژی» و «افکار سیستم» و ۱۰ کارمند آنها (از جمله سه نفر بالا) را در لیست تحریم‌های بین‌المللی قرار داد و وزیر خارجه آمریکا نیز در این باره بیانیه‌ای صادر کرد.

    وزارت خزانه‌داری آمریکا، محمد آقا احمدی، علی آقا احمدی، منصور احمدی، مجتبی حاجی‌حسینی رکن‌آبادی، مصطفی حاجی حسینی رکن‌آبادی، احمد خطیبی عقدا، معین مهدوی، امیرحسین نیک‌آئین راوری، علی‌اکبر رشیدی بارجینی و محمد شاکری اشتیجه را در لیست تحریم‌های خود قرار داد.

    اطلاعات احمد خطیبی عقدا

    Screen Shot 2023-08-02 at 4.51.31 PM

    اطلاعات امیرحسین نیک‌آئین راوری

    Screen Shot 2023-08-02 at 4.54.22 PM

  • روابط مالی

    احمد خطیبی عقدا، در هیات مدیره مجموعه وسیعی از شرکت‌های معدنی در استان یزد نقش دارد:

    • بازرس اصلی شرکت سهامی خاص برسام معدن زمرد به شماره ثبت ۲۰۸۹۹ به شناسه ملی ۱۴۰۱۰۲۱۸۷۵۹
    • سهامدار شرکت با مسئولیت محدود گیتی معدن اهورا به شماره ثبت ۲۰۷۳۷ به شناسه ملی ۱۴۰۱۰۱۲۴۳۷۳
    • سهامدار  شرکت با مسئولیت محدود گیتی معدن روبینا به شماره ثبت ۲۰۷۳۶ به شناسه ملی ۱۴۰۱۰۱۲۴۳۳۵
    • بازرس اصلی  شرکت سهامی خاص خورشید معدن و ماه کویر به شماره ثبت ۲۰۵۷۴ به شناسه ملی ۱۴۰۱۰۰۲۵۲۶۶
    • سهامدار شرکت با مسئولیت محدود لعل آرای همای پردیس به شماره ثبت ۱۹۹۶۶ به شناسه ملی ۱۴۰۰۹۶۵۸۴۴۸
    • بازرس اصلی  شرکت سهامی خاص معدن یابان حسام به شماره ثبت ۱۹۸۱۴ به شناسه ملی ۱۴۰۰۹۵۴۵۴۴۴
    • بازرس اصلی  شرکت سهامی خاص الماس معدن امید شرق به شماره ثبت ۱۹۶۱۹ به شناسه ملی ۱۴۰۰۹۳۹۴۸۱۹
    • بازرس اصلی  شرکت سهامی خاص کانسار معدن یاب امن به شماره ثبت ۱۹۵۱۳ به شناسه ملی ۱۴۰۰۹۳۲۰۴۸۶
    • بازرس اصلی  شرکت سهامی خاص رادین معدن رایا یزد به شماره ثبت ۱۹۵۱۴ به شناسه ملی ۱۴۰۰۹۳۲۰۵۰۷
    • عضو هیئت مدیره شرکت آزمایشگاه مكانیك خاك كویر شركت سهامی خاص به شماره ثبت ۱۱۰۵۱ و شناسه ملی ۱۰۸۴۰۰۸۵۱۹۰
    • عضو هیئت مدیره  شرکت حمل و نقل  روان بار اردکان (سهامی خاص) شماره ثبت ۱۰۳۷ شناسه ملی ۱۴۰۰۰۰۰۱۳۱۱

    Screen Shot 2023-08-02 at 4.25.21 PM

پرش به نوار جهت‌یابی