احمد باطبی
«رادیو هلند» (Dutch radio “NPO1”) در یک برنامه، از کشف مجموعهای از تحرکات سایبری خبر داد که براساس شواهد موجود، از سوی رژیم حاکم بر ایران و با هدف جاسوسی از مخالفان جمهوری اسلامی صورت گرفته است.
شرکت امنیتی «بیت دیفندر» (Bitdefender) ارائهکننده آنتیویروس شناختهشده بیتدیفندر، با همکاری برنامه رادیویی «آرگوس» (Argos) رادیو هلند گزارشی را به مخاطبان ارائه کرد که جنبههای پنهانی از فعالیتهای سایبری جمهوری اسلامی را در خارج از ایران شفاف میکند.
برنامه رادیویی آرگوس، یکی از برنامههای مطرح رادیو «اِنپیاو-وان» (NPO 1) هلند است که عصر شنبهها با تمرکز بر روزنامهنگاری تحقیقی پخش میشود و موضوعات مختلف را به چالش کشیده و واکاوی میکند.
در این برنامه که با مجریگری «ریک دلهاس» (Rik Delhaas) انجام میشد، از یک مرکز داده در نزدیک شهر «هارلم» (Haarlem) در بیست مایلی غرب آمستردام، پایتخت هلند سخن به میان آمد که ردپای فعالیتهای جاسوسی ذکرشده در آن یافت شده است. در این مرکز، مشخصات سروری کشف شد که به گفته محققان شرکت بیتدیفندر، احتمالا از سوی جمهوری اسلامی برای کنترل و هدایت بدافزارهای مخرب اینترنتی، نظیر آلودهسازی اولیه کامپیوتر و شبکه قربانیان و ذخیره اطلاعات سرقت مانند صدا و عکس و غیره اشاره کرد.
گردانندگان این سرور آن را بهصورت «سرور فرمان و کنترل» (Command and Control [C&C] Server) استفاده میکردند. سرورهای موسوم به فرمان و کنترل، سرورهایی هستند که عموما از سوی مهاجمان برای ارسال دستورات به کامپیوتر و یا شبکههای آسیبدیده بهکار گرفته شده و در عموم موارد نیز بهمنظور مخلوط کردن ترافیک سرور فرمان و کنترل با ترافیک عادی کامپیوتر و یا شبکه قربانی، از سرویسهای ابری، ایمیل و یا اشتراک فایل استفاده میشود.
سرورهای فرمان و کنترل در یک حمله سایبری نقش مرکز فرماندهی و پشتیبانی داشته و در موفقیت حملات هکری نقش کلیدی دارند. یک سرور فرمان و کنترل زمینه را برای «باتنت» (botnet) فراهم کرده و به سه شیوه متمرکز، تصادفی و یا نظیر به نظیر، فرمانهای مورد نظر هکرها را به بدافزارهای آنها ارسال میکند. این سرورها قادرند که اطلاعات سرقتشده توسط بدافزارها را درون خود ذخیرهسازی کرده و یا مزاحم فعالیت عادی سرورهای دیگر شده و عملکرد عادی آنها را مختل کنند.
محققان با بررسی ترافیک موجود به این نتیجه رسیدهاند، اگرچه این سرور در هلند قرار دارد؛ اما صاحب آن یک شرکت ثبتشده در کشور قبرس است که آدرس مشخصی از آن وجود ندارد. با این وجود به نظر میرسد که ثبتکنندگان آن اهل کشور رومانی باشند. این شرکت به مشتریان خود اجازه میدهد که برای پرداخت هزینه خدمات، از رمزارز بیتکوین استفاده کرده و در عوض هویتشان پنهان بماند. براساس این گزارش، شرکت مذکور حتی به برخی از شرکتهای آمریکایی نیز خدماتی ارائه میکرد، اما بعد از افشاگری این برنامه رادیویی، ارائه سرویس به اجارهکنندگان این سرور آلوده را متوقف کرده است.
ریک دلهاس، روزنامهنگار شبکه رادیویی هلند گفت که شناسایی این سرور از هشدار یک مرد ایرانی مقیم هلند آغاز شد. او که یکی از مخالفان حکومت جمهوری اسلامی است، از طریق شبکههای اجتماعی و همچنین نرمافزار پیامرسان تلگرام، فایلی مشکوک را دریافت کرد که از سوی هکرهای وابسته به رژیم ایران برای او ارسال شده بود. این مرد هوشمندی به خرج داده و بهجای گشودن این فایل، آن را در اختیار متخصصان امنیت سایبری قرار داد. بررسی عمیقتر نشان داد، این فایل به یکی از بدافزارهای جاسوسی آلوده بود که پیشتر شناسایی شده و نقش جمهوری اسلامی در طراحی و بهرهبرداری از آن اثبات شده است. طبق گفته ریک دلهاس، جمهوری اسلامی هم اکنون در تلاش است که دست کم در کشورهای هلند، آلمان، سوئد و هند به تلفنهای همراه کاربران نفوذ کند.
این اولین بار نیست که سوءاستفاده رژیم ایران از امکانات سایبری کشور هلند برای هک و جاسوسی از مخالفان کشف میشود. در ماههای پایانی سال گذشته میلادی نیز شرکت بیتدیفندر، سرورهایی را در هلند کشف کرد که برای گرفتن دسترسیهای غیرقانونی توسط جمهوری اسلامی راه اندازی شده بود. آن سرور نیز با مرکز دادههای (Evoswitch AMS1 Amsterdam) در شهر هارلم هلند مرتبط بوده و توسط شرکت آمریکایی (Monstermeg) پشتیبانی میشد.
« کوین کوپ» صاحب شرکت (Monstermeg) به برنامه رادیویی «آرگوس» گفت که شرکتش با وجود اینکه از دو اسکنر برای رصد سرورهای اجارهای خود استفاده میکند، بازهم از وجود چنین سروری مطلع نشده است. اما به هرشکل پس از اطلاع از موضوعِ سرور آلوده، آن را یافته و از دسترس خارج کرده است.
شرکت امنیتی بیتدیفندر گزارش داد که بدافزارهای اخیر مورد استفاده رژیم ایران که عمدتا برای جاسوسی از مخالفان سیاسی بهکار گرفته شده (Tonnerre) و (Foudre) نام داشته و متعلق به مجموعه هکری موسوم به «تهدید پیشرفته مستمر» (APT) است. این مجموعه هکری که در صنعت سایبری به آن (Advanced Persistent Threat) گفته میشود، اشارهای است به تهدیدهای دائمی که عموما از سوی مجرمان سایبری تحت حمایت دولتها ایجاد میشوند؛ به عنوان مثال گروه «APT34» از جمله گروههای «APT» است که تحت حمایت و پشتیبانی جمهوری اسلامی اقدام به فعالیتهای مجرمانه میکند.
در گزارشها عنوان شده که سپاه پاسداران انقلاب اسلامی از سرورهای هلندی برای جاسوسی از اعراب ایرانی مخالف، که از سوی حکومت ایران به تجزیهطلبی و اقدامات تروریستی متهم شدهاند، بهره برده است. با این حال این بدافزار در کشورهای سوئد، ایالات متحده، هلند و همچنین سایر کشورها در سراسر اروپا و نیز در عراق قربانی گرفته است.
هر دو (Tonnerre) و (Foudre) ازجمله بدافزارهایی بودند که از سرورهای هلندی برای عملکرد مخرب خود بهره میبردند. روز هشتم فوریه سال جاری، بخش تحقیق شرکت اسرائیلی «چکپوینت» (Check Point) ازجمله شرکتهای اسرائیلی مطرح در صنعت سایبری، با همکاری گروه مطالعاتی سفبریج (Safebreach) گزارش ویژهای را در خصوص بدافزار (Foudre) منتشر کرده و اسناد مربوط به وابستگی این بدافزار به جمهوری اسلامی را در اختیار عموم قرار داده بود.
در این گزارش گفته شد که نهادهای امنیتی جمهوری اسلامی در سالهای اخیر، ضمن کسب تجربه و توسعه دانش و مهارتهای خود، شیوههای جدیدی را در جرایم سایبری خود بهکار میگیرند که عملکردشان را بیش از پیش پیچیده میکند.
نهادهای امنیتی دخیل در جرائم سایبری جمهوری اسلامی دستکم در ده پروژه اختصاصی، با تمرکز بر دوازده کشور جهان حضور داشتهاند. آنها با استفاده از بدافزارهای جاسوسی، وبسایتها و بلاگهای آلوده به بدافزار، هک و یا ارائه نسخه جعلی نرمافزارهای پیامرسان، ارسال پیوندهای آلوده به کانالهای تلگرامی و شبکههای اجتماعی، خلق برنامههای کاربردی جعلی و جاسوسی و ارائه آن به فروشگاه گوگل، مانند نسخه جعلی اپلیکیشن «رستوران محسن» در تهران، اپلیکیشن جاسوسی «والپیپر» و اپلیکیشن جعلی مخصوص امنیت موبایل، اطلاعات تلفن همراه و کامپیوترهای شخصی بیش از ۱۲۰۰ تن از شهروندان ایرانی را سرقت کردهاند. در این گزارش هشدار داده شد که در زمان انتشار این گزارش (ماه فوریه سال ۲۰۲۱) حملات سایبری تحت حمایت رژیم حاکم بر ایران دستکم در چهار پروژه مختلف ادامه داشته و آخرین مورد آن نیز به سه ماه پیش باز میگردد.
مطالب مرتبط:
جمهوری اسلام چطور تحرکات سایبری مخالفان حکومت را رصد میکند؟
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر