هکرهای سپاه؛ موفقیت بالا با امکانات کم

«ببین! به نظر من می‌خواین آدم بیارین، وعده آنتالیا و تایلند بدین.»‌
این پیشنهاد یک هکر به یکی از همکارانش برای جذب نیروهای جدید است. همکار اما پاسخ می‌دهد: «من فقط می تونم وعده قم و جمکران بدم.»

مکالمه فوق، بخشی کوچک از یافته‌های گزارش مفصلی است که «بنیاد کارنگی برای صلح بین‌المللی» به تازگی منتشر کرده است. این گزارش هشت فصلی که پرده از اقدامات سایبری جمهوری اسلامی بر می‌دارد، نوشته مشترک «کالین اندرسون»، پژوهش گرمقیم واشنگتن و «کریم سجادپور»، کارشناس ارشد کارنگی و یکی از معتبرترین تحلیل‌گران ایران در امریکا است.

این هکرها نه عضو گروهی خودجوش از جوانان که سازمان‌دهنده یکی از عملیات سپاه پاسداران جمهوری اسلامی برای حمله سایبری علیه «دشمنان» هستند. کالین اندرسون در گفت وگویی تلفنی با «ایران وایر»، تصویر دقیق تری از این گروه می دهد و می گوید هکرهای جمهوری اسلامی لزوما آن چهره اسلام‌گرایی که بعضی‌ها از آن ها تصور دارند، نیستند: «به نظر می‌رسد این‌ها افرادی هستند که می‌خواسته اند پولی دربیاورند. دیده اند که بعضی‌ها شرکت‌های امنیت سایبری درست کرده‌اند و کار می کنند، آن ها هم تصمیم گرفته اند برای دولت کار کنند. فکر نمی‌کنم همه‌ آن ها آدم‌های ایدئولوژیکی باشند. بعضی از آن ها هستند اما در صفحه اینستاگرام بعضی‌هایشان می‌بینیم که علف می‌کشند یا کلی فیلم پورنو نگاه می‌کنند. برخی از آن ها شاید ایدئولوژیک باشند اما خیلی‌هایشان آدم‌هایی فرصت‌طلب هستند.»

پژوهش‌های سایبری اغلب بمب خبری درست و توجه‌ها را به خود جلب می‌کنند؛ مثلا در ژوییه سال ۲۰۱۵ که معلوم شد امریکا در مورد شخص «آنگلا مرکل»، صدراعظم آلمان جاسوسی می‌کرده است، خیلی‌ها در بهت فرو رفتند. اما گزارش کارنگی حتی بهت‌آورتر است زیرا نشان می‌دهد که جمهوری اسلامی بخش مهمی از توان‌ سایبری خود را صرف جاسوسی از وزیر امور خارجه ایران و بسیاری اعضای عالی رتبه کابینه «حسن روحانی» کرده است.

اندرسون در مورد پژوهش‌هایش با تواضع صحبت می‌‌کند اما کسانی که در این زمینه فعال هستند، از عمق و جدیت آثار او باخبرند. سجادپور که نویسنده مشترک با اندرسون است، به «ایران‌وایر» می‌گوید: «کالین واقعا ستاره این گزارش بود.»
خود اندرسون توضیح می دهد اتکا به مقادیر وسیعی از منابع دست اول، ‌از نکات برجسته گزارش کارنگی بوده است.
از او می‌پرسیم چه طور به این اطلاعات مفصل که در گزارش آمده، دست یافته است؟ می‌گوید: «همه از ما می‌پرسند که آیا ما این هکرها را هک کرده‌ایم؟ پاسخ منفی است؛ ما از تکنیک‌های پژوهشی و عملیات خیلی ساده و رایج در جامعه امنیت سایبری استفاده برده‌ایم.»

او بعضی روش‌های کار خود را توضیح می‌دهد؛ مثلا آن‌چه «سینک‌هولینگ» نامیده می‌شود: «تعقیب کردن کار هکرهایی که بدافزار درست می‌کنند از طریق دسترسی به سامانه‌های میزبان میانجی.»

می گوید کار انجام این گزارش سال‌ها به طول کشیده است و از جمله دلایل این مدت طولانی، پیوسته نبودن روند کار هکرهای جمهوری اسلامی و بالا و پایین داشتن آن است.

اندرسون می‌گوید چند سالی روی این موضوع کار می‌کرده اما در دوران انتخابات ریاست‌جمهوری ۹۲ ناگهان متوجه افزایش اقدامات هکرها شده است: «در آستانه انتخابات ۹۲ انواع حملات شدت گرفتند. گروه‌هایی که ما در گزارش از آن ها با نام‌هایی هم‏چون "بچه گربه جادویی" و "بچه گربه پرنده" یاد کرده‌ایم، پیش از این هم وجود داشتند اما کارشان بالا گرفته و روشن بود که مخالفان سیاسیِ تندروهای حاکمیت را هدف گرفته بودند. در فاصله سال‌های ۲۰۱۴ و ۲۰۱۵ شروع به نوشتن این گزارش کردیم و روند نوشتن، ویراستاری و بازنویسی آن حدود دو سال و نیم طول کشید.»

دو فصل گزارش به اهداف داخلی و خارجی جمهوری اسلامی اختصاص دارند و در آن ها تصاویر رنگارنگی از قربانیان مختلف می‌بینیم. اندرسون می‌گوید: «یک ماه علیه بهایی‌ها فعالیت می‌کردند، ماه دیگر علیه نوکیشان مسیحی. بعد ناگهان نهادهای سیاست خارجی امریکا یا دولت "ترامپ" مورد هدف واقع می‌شدند و سپس نوبت روزنامه‌نگاران ایرانی بود.»

این پژوهش گر همین حالا هم مشغول به‌روز کردن پژوهش‌های خود است و می‌گوید: «الان دارم سعی می‌کنم ببینم آیا در رابطه با اعتراضات کنونی، تمرکز خاصی بر مخاطبان داخلی بوده است یا نه.»

تقریبا تمام عملیات هکری که این گزارش از آن‌ها پرده برداشته است، توسط سپاه پاسداران انجام می‌شوند اما یک استثنا، بچه گربه جادویی‌ است که اداره آن به دست وزارت اطلاعات است.  از اندرسون می‌پرسیم که آیا فرقی بین بچه گربه جادویی و عملیات‌های سپاه هست یا نه؟ می‌گوید: «شکی نیست که این دو موازی با هم کار می‌کنند. اما باید اضافه کنم که آن چه ما از عملیات‌های وزارت اطلاعات می دانیم، خیلی محدودتر است که می‌تواند نشانه این باشد که آن ها خیلی پیشرفته‌تر کار می کنند.»

اما در مورد این که توان سایبری جمهوری اسلامی واقعا چه قدر قوی است، در این گزارش آمده است: «ایران عمدتا قدرت سایبری رده سومی دانسته می‌شود که ظرفیت‌های چین، روسیه یا امریکا را ندارد. اما این کشور توانسته است از عدم آمادگی اهداف خود در درون و بیرون از ایران استفاده کند.»

هکرهای جمهوری اسلامی تا کنون دست به اقداماتی چشم گیر زده‌اند؛ مثلا «ارتش سایبری ایران» در دسامبر ۲۰۰۹ موفق شد توییتر را چند ساعت تعطیل کند. در دسامبر ۲۰۱۱ نیز حمله به یک شرکت امنیتی هلندی به نام «دیجی‌نوتار»، به هکرهای جمهوری اسلامی امکان داد از کاربرانِ «جی‌میلِ» درونِ ایران جاسوسی کنند. گزارش فوق، این حمله را یکی از بزرگ ترین نفوذهای امنیتی در تاریخ اینترنت می‌داند.

از اندرسون می‌پرسیم ایران چه طور قدرت سایبری رده سومی است که موفق شده عملیات این چنینی انجام دهد؟ او می‌گوید: «ظرفیت‌های ایران حتی به اندازه کره شمالی هم نیست اما توانسته است با سرمایه‌گذاری کم به نتیجه برسد. اگر دولت ایران بخواهد منابع خود را متمرکز کند، می‌تواند به نتایج خیلی بالاتری هم برسد.»

اندرسون در مورد ارتش سایبری ایران‌ که حمله توییتر ۲۰۰۹ را انجام داد، می‌گوید: «من فکر می‌کنم می‌دانم این ارتش سایبری ایران چه کسی است. به نظرم یک فرد مشخص است که حتی هکر خیلی خوبی هم نیست اما کار مهندسی اجتماعی را خوب بلد است. حداقل شش سال است دارد فعالیت می‌کند و در آغاز، کارش پول در آوردن با دزدیدن نام دامنه بود و سپس مهارت‌هایش را در خدمت دولت قرار داد. این نشان می‌دهد که چه طور یک نفر هم اگر وقت کافی داشته باشد، می‌تواند آسیب اقتصادی وارد کند یا هزینه سیاسی به بار آورد.»

می‌افزاید که پژوهش‌های او نشان داده اند با وجود شایعات زیاد و بی‌مدرک، معلوم نیست ایران در اقدامات سایبری خود از متحدانی هم چون دولت روسیه کمک گرفته باشد: «آن‌چه ما در مورد ظرفیت‌ هکرهای سپاه می‌دانیم، نشان می‌دهد که ابزارهایشان به قدری ابتدایی‌ هستند که هر فردی که تجربه ساده‌ای در برنامه‌ریزی کامپیوتری داشته باشد، قادر به توسعه آن‌ها است. تمامی حملات موجود با سطح مهارتی ساده‌ انجام شده‌اند و نشانه‌ای از دخالت خارجی در کار نیست.»

یک مورد استثنای احتمالی، بچه گربه جادویی‌ است که طبق یافته‌های آژانس امنیت ملی امریکا، در سال ۲۰۱۰ بدافزارهای خود را با «حزب‌الله» لبنان در اشتراک گذاشته اما این همکاری، کوتاه مدت بوده است. اندرسون می گوید: «حزب‌‌الله احتمالا بعد از مدتی بدافزار خودش را ساخته که حتی شاید بهتر از همتای ایرانی بوده است.»

او در ضمن می‌گوید هکرهای سوریه نیز بیش تر وام‎دار هکرهای جهان عرب بوده‌اند و مسیرشان جدا از ایرانی‌ها است.

اندرسون در مورد آینده پژوهش‌هایش می‌گوید باید توجه خیلی بیش تری به قربانیان عادی حملات سایبری جمهوری اسلامی شود؛ از جمله روزنامه‌نگاران مستقل و فعالان ایرانی در داخل و خارج از کشور: «گزارش‌های موجود راجع به ظرفیت‌های سایبری ایران را که می‌خوانیم، می‌بینیم تمرکزشان بر حملات علیه شرکت‌های دفاعی یا دولت است. به نظرم توجه کافی به جامعه مدنی ایران نمی‌شود، در حالی که آن‌ها اهداف اصلی حملات سایبری هستند. باید به نیازهای آن‌ها بیش تر توجه و پشتیبانی بیش تری از آن ها انجام شود.»

مطالب مرتبط:

تغییرات جدید در ارتش سایبری سپاه