احمد باطبی
روز هشتم فوریه، بخش تحقیق شرکت اسرائیلی «چکپوینت» (Check Point) ازجمله شرکتهای اسرائیلی مطرح در صنعت سایبری، با همکاری گروه مطالعاتی سفبریج (Safebreach) گزارشی را منتشر کردهاند که نشان میدهد، رژیم حاکم بر ایران چطور با به خدمت گرفتن هکرها و بهرهگیری از روشها و فناوریهای مدرن، تحرکات سایبری شهروندان ایرانی و مخالفان حکومت را در داخل و خارج از کشور رصد کرده و اطلاعات دهها تن از شهروندان و مخصوصا اقلیتها و اقوام ایرانی را به سرقت بردهاند.
دراین گزارش گفته شد که جنگ سایبری یکی از شیوههای رویارویی دولتها، ارتشها و سازمانهای اطلاعاتی است که امروز در سرتاسر دنیا به امری عادی تبدیل شده است. در گذشته اگر انجام چنین اقدامی تنها از عهده تعداد محدودی از متخصصان و نخبگان برمیآمد، اما حالا بسیاری قادر به انجام آن بوده و حکومتها، ازجمله رژیم حاکم بر ایران به جنگ سایبری بهعنوان یک فرصت نگاه میکند.
یکی از اولین اقدامات سایبری منتسب به جمهوری اسلامی که در زمان خود چندان مورد توجه قرار نگرفته، عملیات (Infy) موسوم به «شاهزاده ایرانی» است که تاریخ آن به سال ۲۰۰۷ باز میگردد. شواهد موجود نشان میدهد که این عملیات سایبری از حمایت حکومت ایران بهرهمند بوده و هدف از آن جاسوسی از ایرانیان و اهدافی نیز در اروپا بود.
شرکت چکپونت و گروه سفبریج در گزارش تازه خود، نسخه دوم یکی از بدافزارهای مورد استفاده جمهوری اسلامی را معرفی و واکاوی کردهاند که در خانواده بدافزارهای (Infy) جای میگیرد. این بدافزار از تکنیکهایی مانند فرمان و کنترل (C2) پروتکلهای (FTP) و (HTTP)، و امضای (RSA) استفاده میکند.
بدافزار (Infy) ابتدا در سال ۲۰۱۶ توسط بخش ۴۲ شبکه پالو آلتو (Palo Alto Networks’ Unit 42) کشف و به یکی از گروههای «تهدید پیشرفته مدام» نسبت داده شد. در صنعت سایبری «(APT) Advanced Persistent Threat» و یا تهدید پیشرفته مدام، یعنی تهدیدهای مستمری که بیشتر از سوی هکرهای حکومتی سازمان گرفته و عملیاتی میشوند؛ بهعنوان مثال گروه «APT34» از جمله گروههای (APT) است که تحت حمایت رژیم حاکم بر ایران قرار داشته و اقدام به فعالیتهای مجرمانه میکند. فهرستی از این نوع گروههای هک و نفوذ در این قسمت در دسترس است.
واکاوی رد پای بدافزار (Infy) تا سال ۲۰۰۷ نشان میدهد که هدف اصلی این بدافزار دولت ایالات متحده آمریکا و شرکتهای اسرائیلی بود. تنها مورد مشابه (Infy) تا آن زمان، بدافزاری است بهنام (Qi-Anxin) که در عملیاتی موسوم به پری دریایی دیپلماتهای دانمارکی را هدف قرار داده بود. این بدافزار نیز از همان روش و زیرساختی بهره میبرد که بدافزار (Infy).
درخلال چالش ۴۲ شبکه پالو آلتو با (Infy) برای شناسایی و حذف (Infy)، مشخص شد که این بدافزار با جمهوری اسلامی مرتبط بوده و اکثر قربانیان آن ایرانیان مخالف حکومت بودند.
بازیگران پشتپرده حملات بدافزار (Infy) در سال ۲۰۱۰ به یک وبسایت مرتبط با گروه «جندالله» نفوذ کرده و از آسیبپذیری (ActiveX) برای حمله به بازدیدکنندگان آن استفاده کردند. این حملات تا انتخابات سال ۲۰۱۳ در ایران ادامه یافته و دامنه آن به هک مطبوعات فارسیزبان خارج از کشور، از جمله بیبیسی فارسی و همچنین فعالان مدنی و سیاسی کشیده شد.
در گزارشی که پیشتر «گوارنیری و اندرسون» (Guarnieri & Anderson) در خصوص این حملهها منتشر کرده، گفته شده که پس از حذف بدافزار (Infy) توسط شبکه پالو آلتو، شرکت مخابرات ایران تمامی ترافیکی که مرتبط با این بدافزار را مسدود کرده که از ایران نشات گرفته و به شبکه پالو آلتو میرسید و یا بهسویی دیگر هدایت میکرد. این اقدام مخابرات به احتمال زیاد برای جلوگیری از رصد عملکرد این بدافزار و عدم امکان رهگیری و شناسایی قربانیان آن صورت گرفته که نشانگر دخالت داشتن حکومت ایران در این حمله سایبری است.
در سال ۲۰۱۷ بار دیگر فعالیتهای بدافزارهای (Infy) مشاهده شد. اینبار بدافزار جدیدی موسوم به «فوردو» (Foudre) پا به عرصه سایبری گذاشت که اندکی بعد ناپدید شد. اما در نیمه اول سال ۲۰۲۰ فوردو بار دیگر ظاهر شد؛ اما با عملکردی متفاوت و پوششی فریبنده. به این شکل که برخلاف گذشته، که قربانی میبایست بر روی پیوند ویدئویی آلوده کلیک میکردند، در نسخه جدید یک فایل متنی آلوده برای قربانی ارسال میشد که هنگام بستن آن، فایلی بهنام (fwupdate.temp) در فولدر (temp) کامپیوتر قربانی بازنشانی میشد که در داخل آن، کدهای مخرب ماکرو وجود داشت. در تصویر زیر نحوه عملکرد این بدافزار مشخص شده است.
تصویر زیر نمونهای از پیامهای جعلی، حاوی تصویر مجتبی بیرانوند، فرماندار وقت شهرستان «دورود» در استان لرستان به چشم میخورد. این تصویر به همراه متنی فریبنده برای قربانی ارسال میشد.
این تصویر نیز مربوط به یکی دیگر از فایلهای آلوده حاوی کدهای مخرب است که در آن نامهای جعلی، منتسب به بنیاد شهید و امور ایثارگران به همراه متنی با مضمون اعطای وام به جانبازان و معلولان و خانواده شهدا به چشم میخورد.
در سال ۲۰۱۸، شرکت «اینتزر» (Intezer) نسخه هشت بدافزار «فوردو» (8 Foudre) را کشف کرد. در این نسخه، نوعی از باینریهای ناشناخته مشاهده شد که درواقع افزونههای جدیدی بودند بهنام (called Tonnerre) که در تکامل بدافزار فوردو و دیگر بدافزارهای خانواده (Infy) نقشی کلیدی داشتند.
محققان چکپوینت و سفبریج برای شناسایی قربانیان بدافزار فورد از چند روش متفاوت استفاده کردند. اولین روش ثبت دامنههای (DGA) و گوش فرادادن به پارامترهای این بدافزار بود. محققان توانستند با این روش، ترافیک چند ده تن از قربانیان را به سوی خود منتقل کرده و آنها را شناسایی کنند. نکته جالب اینکه هیچیک ازاین قربانیان ایرانی نبودند. این وضعیت میتواند به دلیل آن باشد که مهاجمان مشخصات (DNS) را بهصورت پیشفرض تغییر دادهاند.
روش دوم مورد استفاده محققان این دو شرکت، (DNS) منفعل بود. این روش به محققان امکان میداد که آیپی منشاء درخواستها را مشاهده کرده و تعداد آن را شمارش کنند. در تصویری که در گزارش شرکت چکپوینت و سفبریج منتشر شده، دامنه جغرافیایی عملکرد این بدافزار (بهجز قربانیان پنهان و آشکار در ایران) قابل مشاهده است.
در تصویر زیر، فرایند تکاملی بدافزار فوردو در سالهای مختلف قابل مشاهده است
تحقیقات شرکت چکپوینت و سفبریج نشان میدهد که نهادهای امنیتی جمهوری اسلامی در سالهای اخیر، ضمن کسب تجربه و توسعه دانش و مهارتهای خود، شیوههای جدیدی را در جرایم سایبری خود بهکارگرفته و به پیچیدگیهای کارشان افزودهاند. آنها دستکم در ده پروژه اختصاصی، با تمرکز بر دوازده کشور جهان، اطلاعات تلفن همراه و کامپیوترهای شخصی ۱۲۰۰ تن از شهروندان ایرانی را به سرقت بردهاند.
در بخشی از این گزارش گفته شده که حملات سایبری تحت حمایت رژیم حاکم بر ایران هماکنون دستکم در چهار پروژه مختلف ادامه داشته و آخرین مورد آن نیز به سه ماه پیش باز میگردد.
استفاده از بدافزارهای جاسوسی و خرب، وبسایتها و بلاگهای آلوده به بدافزار، هک و یا ارائه نسخه جعلی نرمافزارهای پیامرسان، ارسال پیوندهای آلوده به کانالهای تلگرامی و شبکههای اجتماعی، خلق برنامههای کاربردی جعلی و جاسوسی و ارائه آن به فروشگاه گوگل، مانند نسخه جعلی اپلیکیشن «رستوران محسن» در تهران، اپلیکیشن جاسوسی «والپیپر» و اپلیکیشن جعلی مخصوص امنیت موبایل، ازجمله روشهایی بود که جمهوری اسلامی در سالهای اخیر برای سرقت اطلاعات شهروندان بهکاربرده است.
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر