هکرهای وابسته به جمهوری اسلامی چه‌گونه اطلاعات رای‌دهندگان آمریکایی را به سرقت برده‌اند؟

احمد باطبی

کمتر از دو هفته پیش، پلیس فدرال آمریکا اعلام کرد منشاء ایمیل‌های جعلی تهدید‌‌آمیزی که دست‌ کم در چهار ایالت به حامیان نماینده «حزب دموکرات» در انتخابات ریاست‌جمهوری آمریکا ارسال شده، ایران است.

در این ایمیل‌های جعلی که به نام یک گروه دست‌راستی در آمریکا به نام «پسران سربلند» ارسال شده است، حامیان حزب دمکرات‌ تهدید شده‌اند که اگر به «ترامپ» رای ندهند، سر و کارشان با گروه اعضای این گروه خواهد بود.

تصویری از ایمیل‌های جعلی ارسال شده تحت عنوان گروه «پسران سربلند»

این که چه‌طور اطلاعات رای‌دهنگان حامیان نامزد ریاست‌جمهوری حزب دموکرات به دست ارسال‌کنندگان این ایمیل‌ها افتاده، پرسشی است که «جان رتکلیف»، مدیر امنیت ملی آمریکا  (DNI)، در کنفرانس روز چهارشنبه ۳۰مهر۱۳۹۹ به آن پاسخ داد. رتکلیف گفت که ایران و روسیه به صورت جداگانه توانسته‌اند به بخشی از اطلاعات مربوط به رای‌دهندگان آمریکا، از جمله حزب مورد علاقه‌شان، تلفن، ایمیل و آدرس منزل آن‌ها دسترسی پیدا کنند.

بیست‌ودوم اکتبر آژانس امنیت ملی و زیرساخت‌های امنیتی ایالات متحده «CISA» به همراه اداره تحقیقات فدرال آمریکا «FBI» نتیجه تعامل امنیتی خود را تحت عنوان هشدار «AA20-296B» منتشر کردند که در آن گفته شد هکرهای وابسته به جمهوری اسلامی، موسوم به «بازیگران تهدید پیشرفته مدام (APT)»، در تلاشند که با حمله به وب‌سایت‌ها، نشر اخبار جعلی ضد ایالات متحده و پخش فیلم‌های تبلیغاتی با موضوع تقلب در انتخابات، اعتماد رای‌دهندگان آمریکایی را سلب و آن‌ها را از مشارکت سیاسی مایوس کنند.

در این هشدار گفته شد که هکرهای حکومتی از ماه آگوست سال ۲۰۱۹ تا کنون با استفاده از شیوه (DDoS) به معنای ارسال درخواست فراوان به سرور هدف و ناتوان کردن آن از پاسخ‌گویی و در نهایت از سرویس خارج شدن سرور، شیوه (SQL injection) به معنای تزریق دستی کد‌های مخرب به دیتابیس وب‌سایت‌های حاوی اطلاعات رای‌دهندگان و استخراج اطلاعات موجود در آن، شیوه (Spear-phishing messages) یا سرقت اطلاعات شخصی افراد از طریق جلب اعتماد و فریب آن‌ها، و همچنین شیوه (deface) یا جایگزینی صفحه اول وب‌سایت با صفحه هکرها، اهداف متعددی را در خاک ایالات متحده مورد هدف قرار داده‌اند. هم‌چنین آسیب‌پذیری (CVE-2020-5902) مربوط به شبکه‌های وی‌پی‌ان و (CVE-2017-9248) ضعف امنیتی موجود در سیستم مدیریت محتوا زمینه‌ساز حملات نوع (XSS) به وب‌سایت‌ها، از جمله ضعف‌های امنیتی بود که هکرها در این حملات از آن بهره برده‌اند.

آخرین روز ماه اکتبر آژانس امنیت ملی و زیرساخت‌های امنیتی ایالات متحده و اداره تحقیقات فدرال آمریکا هشدار تازه‌ای منتشر کردند با عنوان (AA20-304A) که به تکنیک‌های مورد استفاده هکرهای وابسته به جمهوری اسلامی برای سرقت اطلاعات رای‌دهندگان آمریکایی پرداخته است.

تحقیقات این دو نهاد نشان می‌دهد که هکرهای حکومتی در بازه زمانی بیستم تا بیست‌و‌هشتم سپتامبر سال جاری میلادی وب‌سایت‌های هدف را در ایالات متحده، از جمله وب‌سایت‌های مربوط به انتخابات در ایالت‌ها را با اسکنر کاشف آسیب‌پذیری‌ها «Acunetix» مورد بررسی قرار داده‌اند.  این اسکنر از جمله اسکنرهای نوع «Web Vulnerability Scanner» یا به اختصار «WVS» است که توسط شرکتی با همین نام تولید شده و هدف از آن برسی وب‌سایت‌ها برای کشف آسیب پذیری‌ها و ضعف‌های امنیتی موجود در پیکربندی امنیتی آن‌ها است. اگر چه استفاده از این اسکنر منع قانونی ندارد، اما مجرمان اینترنتی از ظرفیت‌های آن برای اهداف مجرمانه بهره می‌گیرند.

بنابراین هشدار، هکرهای وابسته به حکومت ایران از ۲۹ سپتامبر تا هفدهم اکتبر عملیات «exploit» یا بهره‌برداری از آسیب‌پذیری‌های کشف‌شده را آغاز و از طریق «Exploit Public-Facing Application» یا بهره‌برداری پوشش برنامه‌های عمومی اقدام به پیمایش دایرکتوری، تزریق به دیتابیس و استفاده از ضعف‌های پیکربندی وب‌سایت‌های هدف کرده‌اند.

«CISA» و «FBI» تایید می‌کنند که اگر چه نمی‌توان به طور قطع حمله‌‌های موسوم به « Compromise Infrastructure» را به هکرهای وابسته به جمهوری اسلامی نسبت داد، اما واکاوی آن‌ها نشان می‌دهد که آی‌پی‌ها و وی‌پی‌ان‌های مورد استفاده هکرها در عملیات «Gather Victim Host Information» یا گردآوری اطلاعات قربانی با سوابق هکرهای تحت حمایت حکومت ایران مطابقت داشته‌اند و هکرها دست‌کم در یک ایالت موفق به سرقت اطلاعات رای‌دهندگان آمریکایی شده‌اند و این موفقیت به دلیل ضعف در پیکربندی امنیتی وب‌سایت هدف بوده که به مهاجمان فرصت داده است تا با استفاده از ابزار «cURL» سوابق اطلاعات رای‌دهندگان را واکاوی کنند و به سرقت ببرند. هکرها از این اطلاعات سرقت‌شده استفاده کرده‌اند و یک فیلم تبلیغاتی نیز از عملکرد خود تهیه کرده‌اند.

هکرها با استفاده از تکنیک جستجوی وب‌سایت‌ها و دامنه‌های باز «Search Open Websites and Domains» و کلمات کلیدی مانند «رای»، «رای‌دهنده» و یا «ثبت‌نام» تلاش کردند تا از مسیر آدرس وب‌سایت‌ها به فایل‌های پی‌دی‌اف حاوی اطلاعات رای‌دهندگان دست پیدا کنند. آن‌ها برای این حملات از ابزارهایی مانند « YOURLS exploit» جهت بهره‌برداری از آسیب‌پذیری‌ها، «Bypassing ModSecurity Web Application Firewall» برای دور زدن دیواره آتشین وب‌سایت، «Detecting Web Application Firewalls» برای شناسایی نوع دیواره آتشین وب‌سایت و «SQLmap tool» برای کشف نقشه دیتابیس وب‌سایت‌ها نیز استفاده کرده‌اند.

کد زیر بخشی از اثر به‌جامانده از تلاش بیست‌وهشتم سپتامبر هکرهای وابسته به حکومت ایران است که نشان می‌دهد هکرها چه‌طور با استفاده از اسکنر «Acunetix» اقدام به تزریق دیتابیس وب‌سایت هدف بر پایه کد‌های ۴۰۴ و ۵۰۰ کرده‌اند.

اطلاعات زیر بخشی از درخواستی است که هکرها با استفاده از اسکنر «Acunetix» ارسال کرده‌اند.

اطلاعات زیر رد پای به‌جامانده از هکرها است که اطلاعاتی نظیر سیستم عامل مورد استفاده آن‌ها، مشخصات مرورگر و جزئیاتی از این دست را آشکار می‌کند.

بررسی‌های آژانس امنیت ملی و زیرساخت‌های امنیتی ایالات متحده و اداره تحقیقات فدرال آمریکا بر روی هدف‌های آسیب‌دیده نشان داده است که در بازه زمانی بیست‌ونهم سپتامبر تا ۱۷ اکتبر، هکرها با استفاده از ابزارهایی نظیر «cURL» و «FDM» صدها هزار کوئری مربوط به مقادیر مرتبط با هویت رای‌دهندگان آمریکایی را بازیابی و بازخوانی کرده‌اند که نمونه‌های زیر بخشی از این اطلاعات سرقت شده‌اند. پلیس فدرال آمریکا گفته است این اطلاعات با اطلاعاتی که هکرها در فیلم تبلیغاتی منتشر‌شده نمایش می‌دهند، مطابقت دارند. و این خود نشان‌گر آن است که هکرها دست‌ کم به این اطلاعات دسترسی کامل پیدا کرده‌اند. 

بخش تحقیقات پلیس فدرال آمریکا در هشدار خود،  فهرستی از آی‌پی‌های مورد استفاده هکرها در ارسال ایمیل‌های جعلی تهدیدآمیز به هواداران حزب دموکرات آمریکا را منتشر کرده و گفته است که در اکثر موارد هکرها از سرویس وی‌پی‌ان شرکت «NordVPN» برای ناشناس ماندن و حذف رد پای خود از مقصد حمله‌ استفاده کرده‌اند. آن‌ها در مواردی نیز از سرویس‌های شرکت‌هایی همچون «CDN77» ،«HQSERV» و «M247» بهره برده اند. اف‌بی‌آی گفته است با توجه به این که بسیاری از مردم از سراسر جهان از این سرویس‌ها استفاده می‌کنند، اظهار نظر قطعی در خصوص آی‌پی‌ها نیازمند زمان و بررسی‌های دقیق‌تر است. اما آن‌چه در حال حاضر از عملکرد مهاجمان به جا مانده است، با اطلاعات موجود از آی‌پی‌ها مطابقت دارد.

تصویر زیر، نمودار فعالیت‌های مخرب هکرهای وابسته به جمهوری اسلامی است که فرایند عملکرد آن‌ها را از شانزدهم سپتامبر، تا ۲۱ اکتبر نشان می‌دهد و مشخص می‌کند که در این بازه زمانی مهاجمان با استفاده از اسکنر «Acunetix» و حمله به دیتابیس وب‌سایت‌های هدف، تا چه مقدار اطلاعات محرمانه رای دهندگان آمریکایی را به سرقت برده‌اند. 

 

مطالب مرتبط:

کشف ردپای هکرهای تازه‌کار ایرانی پشت حملات یک باج​‌افزار معروف

هشدار اف‌بی‌آی درباره حمله هکرهای ایرانی

درباره هکرهای مظنون به حمله سایبری حساب کاربران سرشناس توییتر چه می‌دانیم؟

رژه سپاه سایبری ادامه دارد؛ کاویان میلانی، سوژه جدید هکرهای حکومتی

کارکنان دولت آمریکا، اهداف حملات فیشینگ هکرهای وابسته به حکومت ایران

هکر به جای سرباز؛ بدافزارها جانشین موشک‌ و گلوله‌های جنگی

توجه! هکرهای حکومتی ایران مشغول کارند