شرکت “چک پوینت” فعال در حوزه امنیت سایبری، نتایج تحقیقی را منتشر کرده که نشان میدهد، عملیاتهای جاسوسی سایبری ایران گستردهتر شدهاند. قربانیان این عملیاتها مخالفان جمهوری اسلامی در داخل و خارج از ایران هستند.
گزارشی در مورد عملیاتهای جاسوسی ایران
در گزارش تازه شرکت آمریکایی-اسرائیلی “چک پوینت” که در حوزه امنیت سایبری فعال است به دو تحقیق استناد می شود که در همکاری با SafeBreach، یک شرکت امنیت سایبری با مقری در تلآویو و همچنین در کالیفرنیا در مورد عملیاتهای سایبری در حال اجرای ایران، انجام شده است.
چک پوینت در زمینه امنیت سایبری، تولید نرمافزار و فایروال فعالیت میکند و مقر اصلیاش در تلآویو است.
گردآورندگان گزارش میگویند، توانستهاند پرده از چگونگی فعالیت دو گروه سایبری پیشرفته مستقر در ایران بردارند که سالهاست به طور مستمر عملیاتهایی گسترده علیه گروههای مخالف جمهوری اسلامی در ایران و در خارج از مرزها انجام میدهند.
دو گروه با استناد به این گزارش،”بچهگربههای خانگی” و “اینفی” هستند که سابقهای طولانی در حملات سایبری و کارزارهای نفوذ سایبری دارند؛ عملیاتهایی که گوشیهای موبایل و کامپیوترهای شخصی افراد را هدف قرار میدهند.
این گزارش در ادامه به طور جداگانه به بررسی هرکدام از این گروهها پرداخته است. کارزار “بچهگربههای خانگی” با استناد به گزارش “چکپوینت” از سال ۲۰۱۶ فعال است. تمرکز و هدف عملیاتهای این گروه، گوشی همراه شهروندان کرد ایرانی، حامیان داعش و دیگر گروههای تهدید کننده ثبات حکومت جمهوری اسلامی عنوان شده است.
انتقال بدافزار از طریق تلگرام، پیامک یا وبسایت
در ادامه آمده است که با وجود افشاگریهای “چک پوینت” در سال ۲۰۱۸ علیه این کارزار، فعالیت APT-C-50 که در پس عملیاتهاست، متوقف نشده و همچنان به عملیاتهای تجسسی سایبری گسترده خود ادامه داده است. این گزارش به گستردگی عملیاتهای این گروه، روشهای آنها و جامعه هدف اشاره کرده و همچنین به تجزیه و تحلیل فنی بدافزار FurBall پرداخته که به گفته گردآورندگان گزارش از آغاز عملیاتهای APT-C-50 به کار گرفته شده است. این عملیاتها به نوشته “چک پوینت” شامل ۱۰ کارزار منحصر به فرد است است که هرکدام از آنها بیش از ۱۲۰۰ نفر را زیر نظر گرفته و در ۶۰۰ مورد سیستم را آلوده به بدافزار کرده است.
چهار کارزار این عملیات همچنان فعال است که آخرین آنها در نوامبر ۲۰۲۰ آغاز شدهاست. به نوشته “چک پوینت” در این کارزار، بدافزار FurBall از یک قربانی به قربانی دیگر منتقل میشد قربانیها به طرق مختلف از جمله از طریق یک وبلاگ ایرانی، یک کانال تلگرامی و حتی با پیامکی که به این بدافزار لینک میدهد، فریب میخورند.
در جدیدترین کارزارAPT-C-50، به نام “هاس”، بدافزار برای نمونه از پوشش”رستوران محسن”، رستورانی در تهران استفاده میکند. چک پوینت مینویسد که در این عملیاتها از پوشش اپلیکیشنهای خوراک یا بازی برای نفوذ به سیستم هدف استفاده شده است.
قربانیانی از ۷ کشور؛ از ایران تا آمریکا
بنا بر این گزارش، قربانیان عملیاتهای “بچهگربههای خانگی” در کشورهای مختلف شناسایی شدهاند، ۲۵۱ قربانی در ایران، ۲۵ قربانی در ایالات متحده، ۳ نفر در بریتانیا، ۱۹ قربانی در پاکستان، ۸ هدف در افغانستان و یک تن در ترکیه و ۲ نفر در ازبکستان.
“چک پوینت” مینویسد که نهادهای قانونی مربوطه در ایالات متحده و بریتانیا در اینباره مطلع شدهاند و به آنها فهرستی از نامهای قربانیان داده شده است.
بدافزار FurBall از یک قربانی به قربانی دیگر منتقل میشد قربانیها به طرق مختلف از جمله از طریق یک وبلاگ ایرانی، یک کانال تلگرامی و حتی با پیامکی که به این بدافزار لینک میدهد، فریب میخورند
اینفی “شاهزاده پارسی” – تندر پس از آذرخش
کارزار سایبری اینفی از سال ۲۰۰۷ تاکنون فعال است و به نوشته این گزارش احتمالا باسابقهترین اکتورها در زمینه تهدیدهای سایبری از سوی ایران به شمار میآید. اینفی پیش از این مخالفان حکومت در چندین کشور، رسانههای فارسیزبان و اهداف دیپلماتیک را مورد حمله قرار داده بود.
فعالیت «اینفی» دوباره و اوت ۲۰۱۷ شروع شد. این بار با استفاده از بدافزاری تازه موسوم به “فودره” (در فرانسه به معنای رعد و برق).
با استناد به این گزارش رعد و برق، تولهایی که در اینفی به کار گرفته میشوند، تمرکزشان بر سرقت اطلاعات از رایانههای شخصی مبتنی بر ویندوز است. این ابزارها از جمله از ضبط صدا، تصویربرداری از اسکرین، ربودن اطلاعات از کامپیوتر و ذخیرهسازی خارجی آنها در عملیاتها استفاده میکنند.
در نیمه نخست سال ۲۰۲۰ نسخه جدیدی از فودره با اسناد جدیدی پیدا شد که برای جذب و فریب قربانیان طراحی شدهاند. این برنامه روشی کمی متفاوت با قبلیها دارد: به جای اینکه قربانی روی لینکی که ظاهرا لینک ویدیوست، کلیک کند، بدافزار به محض اینکه کاربر سند را میبندد، به اجرا درمیآید.
اینفی در این مورد از سندهای فارسی که در آنها فرمانهایی جاسازی شده، استفاده کرده است که به سیاستمداران و سازمانهایی در ایران ارجاع میدهند. قربانیان این شیوه از نفوذ سایبری هم به استناد “چک پوینت” از کشورهای مختلف بودهاند: (عراق یک مورد)، آذربایجان (یک مورد)، بریتانیا (یک مورد)، روسیه (یک مورد)، رومانی (یک مورد)، آلمان (یک مورد)، کانادا (یک مورد)، ترکیه (۳ مورد)، آمریکا (۳ مورد)، هلند (۴ مورد)، سوئد (۶ مورد).
در یکی از این سندها که وبسایت “چک پوینت” منتشر کرده، نام مجتبی بیرانوند، فرماندار درود آمده با اطلاعاتی به فارسی و یک شماره تلفن. اسکرین شات اسناد دیگری به زبان فارسی با نشانهی بنیاد شهید و امور ایثارگران هم در این وبسایت به نمایش درآمده است.
گروههایی با توانایی کنترل ترافیک وب در ایران
در گزارش “چکپوینت”، وسعت دسترسی و کنترل این گروه بر ترافیک وب درون ایران را دال بر پیوند این گروه با شرکت مخابرات ایران میداند. در گزارش آمده است که تحقیقات و آشنایی با ابزارهایی که این اپراتورها در ایران به خدمت میگیرند و تاکنون برای فعالان امنیت سایبری ناشناخته بوده و همچنین تکنیکهای پیشرفته آنها، نشان میدهند که چگونه گردانندگان این عملیاتها پیوسته در تلاش برای بهبود نفوذ و جلوگیری از اختلال در عملیاتها هستند.
کارزارها کارآمدتر از پیش پس از یک دوره سکون ظاهری
در گزارش “چک پوینت” آمده، به نظر میرسد، پس از یک دوره استراحت (خاموشی؟ سکوت؟ انفعال؟)، مهاجمان سایبری ایران توانستهاند دوباره خود را سازماندهی کرده، ایرادهای پیشین را رفع کرده و فعالیتهای و همچنین مهارتهای فنی و ابزاری خود را به شدت افزایش دهند.
گردانندگان این عملیاتها را نویسندگان این گزارش، بسیار فعال، پیگیر و مشتاق و پیوسته در جستجوی بدافزارها و تکنیکهای تازه برای حصول اطمینان از طول عمر عملیاتهایشان توصیف میکنند.
گردآورندگان گزارش در پایان میگویند درحالیکه در هر دو گروه گرداننده عملیاتهای سایبری ایران که مورد بررسی قرار گرفتهاند، اهداف مشابهی دارند و اطلاعاتی که در پی جمعآوری آن هستند، مشابه است اما دو گروه را مستقل از هم در نظر میگیرند. آنها میافزایند، با این حال اطلاعات جمعآوری شده از هر دو گروه میتواند عملکرد یکسانی داشته باشد و نمیتوان از تأثیر همافزایی بالقوه که این دو گروه احتمالا در طول سالها با ارائه روشهای متفاوت اما با هدف یکسان ایجاد کردهاند، غافل شد.