گزارش شش سال جاسوسی «گربه وحشی» از مخالفان حکومت ایران

ایندیپندنت فارسی – محققان مؤسسه تحقیقات امنیت فضای سایبر، چک پوینت، گزارش جدیدی از فعالیت‌های گروه «گربه‌های وحشی» منتشر کرده‌اند که نشان می‌دهد، این گروه شش سال است به مدیریت طرحی مشغول بوده که برای جاسوسی از قربانیان خود، از جمله دگراندیشان و گروه‌های مخالف حکومت جمهوری اسلامی در سراسر جهان برنامه‌ریزی شده است. «بچه‌گربه وحشی» نام گروهی از برنامه‌ریزان حملات پیشرفته فضای سایبر است که مورد حمایت دولت ایران قرار دارند.

این گروه با هدف قرار دادن دو نرم‌افزار اصلی، نسخه کامپیوتری تلگرام و برنامه «گاوصندوق رمز عبور»، با طعمه قرار دادن اسناد آلوده‌کننده، موفق به نفوذ به کامپیوتر افراد شده تا از طریق آنها به سرقت رمز عبور، کنترل حساب‌های کاربری، ثبت اطلاعات موجود در حافظه موقت و گرفتن عکس از صحفه نمایش بپردازند.

آنها با استفاده از مکانیزم ثابتی که در رویه درونی به‌روزرسانی تلگرام وجود دارد، موقعیت خود را در کامپیوتر قربانی حفظ و تقویت می‌کردند.

به گفته مدیر امنیت اطلاعات این شرکت، لوتم فینکلستین، «پس از انجام تحقیقات، خیلی چیزها دریافتیم. اول متوجه شدیم که توجه زیادی روی نظارت بر نرم‌افرارهای پیام‌رسانی وجود دارد. اگر چه محتویات تلگرام قابل رمزگشایی نیست، ولی خود برنامه قابل نفوذ است. نظارت بر سیستم‌های پیام‌رسانی، به ویژه تلگرام، چیزی است که همه باید مراقب و متوجه آن باشند.»

وی ادامه داد: «دوم متوجه شدیم که اقدامات دام‌گستری روی موبایل، کامپیوتر و وب همگی به یک عملیات وابسته هستند. این نوع عملیات از روی منافع ملی و مرکز اطلاعات مدیریت و سازمان‌دهی می‌شوند، نه چالش‌های فناوری. ما به مطالعه خود ادامه می‌دهیم تا با بررسی سایر نواحی جغرافیایی بتوانیم اطلاعات امنیتی بیشتری در اختیار عموم قرار دهیم.»

به گفته چک‌پوینت، تعدادی از سایت‌هایی که به فعالیت «بچه‌گربه وحشی» وابسته هستند، حاوی صفحاتی هستند که تلگرام جعلی ارائه می‌دهند. بسیاری از کانال‌های تلگرامی ایران کاربران خود را از وجود صفحات جعلی تلگرام آگاه کرده و رژیم را در این موضوع دخیل می‌دانند.

دامی که از طریق صفحات جعلی تلگرام برای کاربران گسترده می‌شود این گونه است که به کاربر هشدار می‌دهد استفاده آنها از تلگرام ناصحیح است و اگر می‌خواهند حساب‌شان مسدود نشود، باید روی یک لینک (که حاوی کد نفوذ است) کلیک کنند.

در جریان این تحقیق، همچنین شواهدی دال بر ربط یک برنامه اندروئیدی به گروه «بچه‌گربه وحشی» نیز کشف شد. این برنامه خود را سرویسی جا می‌زند که برای کمک به فارسی‌زبانان ساکن سوئد برای گرفتن گواهی‌نامه رانندگی طراحی شده است.

اما برنامه در عمل یک «در مخفی» دارد که اجازه می‌دهد نفوذگران در پشت صحنه پیام‌های فوری را گرفته، کدهای یک بار مصرف را به تلفن خودشان ارسال، اطلاعات تماس و شماره تلفن‌ها را استخراج کرده و فهرست برنامه‌های نصب شده و در حال اجرا را به دست آورند.

کشف اخیر چک‌پوینت در حالی صورت گرفته است که دادگستری آمریکا چند روز پیش دو ایرانی، به نام‌های هومن حیدریان و مهدی فرهادی، را به خاطر ترتیب دادن حملات منظم به افرادی در آمریکا، اروپا و خاورمیانه به ۱۰ فقره اتهام متهم کرد. از جمله این افراد، فعالان حقوق بشر، رهبران گروه‌های اپوزیسیون (مخالف) و دگراندیشان بوده‌اند.

کریگ کارپنیتو، دادستان شعبه نیوجرسی در آمریکا، گفت: «این دو ایرانی به همکاری برای انجام حملات گسترده به کامپیوترهایی در نیوجرسی و سراسر جهان متهم هستند. آنها با گستاخی به سیستم‌های کامپیوتری رسوخ کرده و اموال معنوی را مورد حمله قرار داده‌اند و در موارد متعددی به تهدید دشمنان ضمنی ایران نظیر مخالفانی که برای حقوق بشر در ایران یا سایر نقاط جهان مبارزه می‌کنند، پرداخته‌اند.»

وی افزود: «این اقدامات، تهدیدی برای امنیت ملی ماست و در نتیجه اف‌بی‌آی آنها را مورد پیگرد قرار داده و عدالت در مورد آنها باید اجرا شود.»

قربانیان این حملات، دانشگاه‌ها، پژوهشکده‌ها، پیمانکاران ارتش، نهادهای وابسته به سیاست خارجه، سازمان‌های غیرانتفاعی، و سایر مؤسسات و نهادهایی هستند که به عنوان «دشمن یا رقیب» رژیم ایرانی محسوب می‌شوند.

حمله‌کنندگان علاوه بر سرقت اطلاعات محرمانه، با تخریب پایگاه‌های اینترنتی، پیام‌هایی را به نمایش می‌گذاشتند که از نابودی دشمنان ایران و اپوزیسیون داخلی حکایت داشتند.

آنها برای دسترسی به سیستم قربانیان خود از روش‌های مختلفی، از جمله تزریق اس‌کیو‌ال (نوعی حمله وب) و استراق سمع استفاده می‌کردند. سپس با استفاده از ابزارهای ثبت صفحه کلید و نفوذ از راه دور به کامپیوتر کاربر دسترسی پیدا می‌کردند. آنها همچنین متهم به ساخت برنامه خودکار اینترنتی هستند که به انتشار بدافزار سهولت بخشیده و امکان حملات قطع دسترسی به سرویس را فراهم می‌کند.