یک شرکت امنیت سایبری: هزاران نفر قربانی عملیات‌های جاسوسی سایبری ایران

در گزارش تازه شرکت آمریکایی-اسرائیلی "چک پوینت" که در حوزه امنیت سایبری فعال است به دو تحقیق استناد می شود که در همکاری با SafeBreach، یک شرکت امنیت سایبری با مقری در تل‌آویو و همچنین در کالیفرنیا در مورد عملیات‌های سایبری در حال اجرای ایران، انجام شده است.

چک پوینت در زمینه امنیت سایبری، تولید نرم‌افزار و فایروال فعالیت می‌کند و مقر اصلی‌اش در تل‌آویو است.

گردآورندگان گزارش می‌گویند، توانسته‌اند پرده از چگونگی فعالیت دو گروه سایبری پیشرفته مستقر در ایران بردارند که سال‌هاست به طور مستمر عملیات‌هایی گسترده علیه گروه‌های مخالف جمهوری اسلامی در ایران و در خارج از مرزها انجام می‌دهند.

دو گروه با استناد به این گزارش،"بچه‌گربه‌های خانگی" و "اینفی" هستند که سابقه‌ای طولانی در حملات سایبری و کارزارهای نفوذ سایبری دارند؛ عملیات‌هایی که گوشی‌های موبایل و کامپیوترهای شخصی افراد را هدف قرار می‌دهند.

این گزارش در ادامه به طور جداگانه به بررسی هرکدام از این گروه‌ها پرداخته است. کارزار "بچه‌گربه‌های خانگی" با استناد به گزارش "چک‌پوینت" از سال ۲۰۱۶ فعال است. تمرکز و هدف عملیات‌های این گروه، گوشی همراه شهروندان کرد ایرانی، حامیان داعش و دیگر گروه‌های تهدید کننده ثبات حکومت جمهوری اسلامی عنوان شده است.

انتقال بدافزار از طریق تلگرام، پیامک یا وب‌سایت

در ادامه آمده است که با وجود افشاگری‌های "چک پوینت" در سال ۲۰۱۸ علیه این کارزار، فعالیت APT-C-50 که در پس عملیات‌هاست، متوقف نشده و همچنان به عملیات‌های تجسسی سایبری گسترده خود ادامه داده است. این گزارش به گستردگی عملیات‌های این گروه، روش‌های آنها و جامعه هدف اشاره کرده و همچنین به تجزیه و تحلیل فنی بدافزار FurBall پرداخته که به گفته گردآورندگان گزارش از آغاز عملیات‌های APT-C-50 به کار گرفته شده است. این عملیات‌ها به نوشته "چک پوینت" شامل ۱۰ کارزار منحصر به فرد است است که هرکدام از آنها بیش از ۱۲۰۰ نفر را زیر نظر گرفته و در ۶۰۰ مورد سیستم را آلوده به بدافزار کرده است.

چهار کارزار این عملیات همچنان فعال است که آخرین آنها در نوامبر ۲۰۲۰ آغاز شده‌است. به نوشته "چک پوینت" در این کارزار، بدافزار FurBall از یک قربانی به قربانی دیگر منتقل می‌شد قربانی‌ها به طرق مختلف از جمله از طریق یک وبلاگ ایرانی، یک کانال تلگرامی و حتی با پیامکی که به این بدافزار لینک می‌دهد، فریب می‌خورند.

در جدیدترین کارزارAPT-C-50، به نام "هاس"، بدافزار برای نمونه از پوشش"رستوران محسن"، رستورانی در تهران استفاده می‌کند. چک پوینت می‌نویسد که در این عملیات‌ها از پوشش اپلیکیشن‌های خوراک یا بازی برای نفوذ به سیستم هدف استفاده شده است.

قربانیانی از ۷ کشور؛ از ایران تا آمریکا

بنا بر این گزارش، قربانیان عملیات‌های "بچه‌گربه‌های خانگی" در کشورهای مختلف شناسایی شده‌اند، ۲۵۱ قربانی در ایران، ۲۵ قربانی در ایالات متحده، ۳ نفر در بریتانیا، ۱۹ قربانی در پاکستان، ۸ هدف در افغانستان و یک تن در ترکیه و ۲ نفر در ازبکستان.

"چک پوینت" می‌نویسد که نهادهای قانونی مربوطه در ایالات متحده و بریتانیا در اینباره مطلع شده‌اند و به آنها فهرستی از نام‌های قربانیان داده شده است.

بدافزار FurBall از یک قربانی به قربانی دیگر منتقل می‌شد قربانی‌ها به طرق مختلف از جمله از طریق یک وبلاگ ایرانی، یک کانال تلگرامی و حتی با پیامکی که به این بدافزار لینک می‌دهد، فریب می‌خورند

اینفی "شاهزاده پارسی" – تندر پس از آذرخش

کارزار سایبری اینفی از سال ۲۰۰۷ تاکنون فعال است و به نوشته این گزارش احتمالا باسابقه‌ترین اکتورها در زمینه تهدیدهای سایبری از سوی ایران به شمار می‌آید. اینفی پیش از این مخالفان حکومت در چندین کشور، رسانه‌های فارسی‌زبان و اهداف دیپلماتیک را مورد حمله قرار داده بود.

فعالیت «اینفی» دوباره و اوت ۲۰۱۷ شروع شد. این بار با استفاده از بدافزاری تازه موسوم به "فودره" (در فرانسه به معنای رعد و برق).

با استناد به این گزارش رعد و برق، تول‌‌هایی که در اینفی به کار گرفته می‌شوند، تمرکزشان بر سرقت اطلاعات از رایانه‌های شخصی مبتنی بر ویندوز است. این ابزارها از جمله از ضبط صدا، تصویربرداری از اسکرین، ربودن اطلاعات از کامپیوتر و ذخیره‌سازی خارجی آنها در عملیات‌ها استفاده می‌کنند.

در نیمه نخست سال ۲۰۲۰ نسخه جدیدی از فودره با اسناد جدیدی پیدا شد که برای جذب و فریب قربانیان طراحی شده‌اند. این‌ برنامه‌ روشی کمی متفاوت با قبلی‌ها دارد: به جای اینکه قربانی روی لینکی که ظاهرا لینک ویدیوست، کلیک کند، بدافزار به محض اینکه کاربر سند را می‌بندد، به اجرا درمی‌آید.

اینفی در این مورد از سندهای فارسی که در آنها فرمان‌هایی جاسازی شده، استفاده کرده است که به سیاستمداران و سازمان‌هایی در ایران ارجاع می‌دهند. قربانیان این شیوه از نفوذ سایبری هم به استناد "چک پوینت" از کشورهای مختلف بوده‌اند: (عراق یک مورد)، آذربایجان (یک مورد)، بریتانیا (یک مورد)، روسیه (یک مورد)، رومانی (یک مورد)، آلمان (یک مورد)، کانادا (یک مورد)، ترکیه (۳ مورد)، آمریکا (۳ مورد)، هلند (۴ مورد)، سوئد (۶ مورد).

در یکی از این سندها که وب‌سایت "چک پوینت" منتشر کرده، نام مجتبی بیرانوند،‌ فرماندار درود آمده با اطلاعاتی به فارسی و یک شماره تلفن. اسکرین شات اسناد دیگری به زبان فارسی  با نشانه‌ی بنیاد شهید و امور ایثارگران هم در این وب‌سایت به نمایش درآمده است.

گروه‌هایی با توانایی کنترل ترافیک وب در ایران

در گزارش "چک‌پوینت"، وسعت دسترسی و کنترل این گروه بر ترافیک وب درون ایران  را دال بر پیوند این گروه با شرکت مخابرات ایران می‌داند. در گزارش آمده است که تحقیقات و آشنایی با ابزارهایی که این اپراتورها در ایران به خدمت می‌گیرند و تاکنون برای فعالان امنیت سایبری ناشناخته بوده و همچنین تکنیک‌های پیشرفته آنها، نشان می‌دهند که چگونه گردانندگان این عملیات‌ها پیوسته در تلاش برای بهبود نفوذ و جلوگیری از اختلال در عملیات‌ها هستند.

کارزارها کارآمدتر از پیش پس از یک دوره سکون ظاهری

در گزارش "چک پوینت" آمده، به نظر می‌رسد، پس از یک دوره استراحت (خاموشی؟ سکوت؟ انفعال؟)، مهاجمان سایبری ایران توانسته‌اند دوباره خود را سازمان‌دهی کرده، ایرادهای پیشین‌ را رفع کرده‌ و فعالیت‌های و همچنین مهارت‌های فنی و ابزاری خود را به شدت افزایش دهند.

گردانندگان این عملیات‌ها را نویسندگان این گزارش، بسیار فعال، پی‌گیر و مشتاق و پیوسته در جستجوی بدافزارها و تکنیک‌های تازه برای حصول اطمینان از طول عمر عملیات‌هایشان توصیف می‌کنند.

گردآورندگان گزارش در پایان می‌گویند درحالیکه در هر دو گروه گرداننده عملیات‌های سایبری ایران که مورد بررسی قرار گرفته‌اند، اهداف مشابهی دارند و اطلاعاتی که در پی جمع‌آوری آن هستند، مشابه است اما دو گروه را مستقل از هم در نظر می‌گیرند. آنها می‌افزایند، با این حال اطلاعات جمع‌آوری شده از هر دو گروه می‌تواند عملکرد یکسانی داشته باشد و نمی‌توان از تأثیر هم‌افزایی بالقوه‌ که این دو گروه احتمالا در طول سال‌ها با ارائه روش‌های متفاوت اما با هدف یکسان ایجاد کرده‌اند، غافل شد.