جمهوری اسلام چطور تحرکات سایبری مخالفان حکومت را رصد می‌کند؟

 احمد باطبی

روز هشتم فوریه، بخش تحقیق شرکت اسرائیلی «چک‌پوینت» (Check Point) ازجمله شرکت‌های اسرائیلی مطرح در صنعت سایبری، با همکاری گروه مطالعاتی سفبریج (Safebreach) گزارشی را منتشر کرده‌اند که نشان می‌دهد، رژیم حاکم بر ایران چطور با به خدمت گرفتن هکرها و بهره‌گیری از روش‌ها‌ و فناوری‌های مدرن، تحرکات سایبری شهروندان ایرانی و مخالفان حکومت را در داخل و خارج از کشور رصد کرده و اطلاعات ده‌ها تن از شهروندان و مخصوصا اقلیت‌ها و اقوام ایرانی را به سرقت برده‌اند.

دراین گزارش گفته شد که جنگ سایبری یکی از شیوه‌های رویارویی دولت‌ها، ارتش‌ها و سازمان‌های اطلاعاتی است که امروز در سرتاسر دنیا به امری عادی تبدیل شده است. در گذشته اگر انجام چنین اقدامی تنها از عهده تعداد محدودی از متخصصان و نخبگان برمی‌آمد، اما حالا بسیاری قادر به انجام آن بوده و حکومت‌ها، ازجمله رژیم حاکم بر ایران به جنگ سایبری به‌عنوان یک فرصت نگاه می‌کند.

یکی از اولین اقدامات سایبری منتسب به جمهوری اسلامی که در زمان خود چندان مورد توجه قرار نگرفته، عملیات (Infy) موسوم به «شاهزاده ایرانی» است که تاریخ آن به سال ۲۰۰۷ باز می‌گردد. شواهد موجود  نشان می‌دهد که این عملیات سایبری از حمایت حکومت ایران بهره‌مند بوده و هدف از آن جاسوسی از ایرانیان و اهدافی نیز در اروپا بود.

شرکت چک‌پونت و گروه سفبریج در گزارش تازه خود، نسخه‌ دوم یکی از بدافزارهای مورد استفاده جمهوری اسلامی را معرفی و واکاوی کرده‌اند که در خانواده بدافزارهای (Infy) جای می‌گیرد. این بدافزار از تکنیک‌‌هایی مانند فرمان و کنترل (C2) پروتکل‌های (FTP) و (HTTP)، و امضای (RSA) استفاده می‌کند.

بدافزار (Infy) ابتدا در سال ۲۰۱۶ توسط بخش ۴۲ شبکه پالو آلتو (Palo Alto Networks’ Unit 42) کشف و به یکی از گروه‌های «تهدید پیشرفته مدام» نسبت داده شد. در صنعت سایبری «(APT) Advanced Persistent Threat» و یا تهدید پیشرفته مدام، یعنی تهدیدهای مستمری که بیشتر از سوی هکرهای حکومتی سازمان گرفته و عملیاتی می‌شوند؛ به‌عنوان مثال گروه «APT34» از جمله گروه​‌های (APT) است که تحت حمایت رژیم حاکم بر ایران قرار داشته و اقدام به فعالیت​‌های مجرمانه می​‌کند. فهرستی از این نوع گروه‌​های هک و نفوذ در این قسمت در دسترس است.

واکاوی رد پای بدافزار (Infy) تا سال ۲۰۰۷ نشان می‌دهد که هدف اصلی این بدافزار دولت ایالات متحده آمریکا و شرکت‌های اسرائیلی بود. تنها مورد مشابه (Infy) تا آن زمان، بدافزاری است به‌نام (Qi-Anxin) که در عملیاتی موسوم به پری دریایی دیپلمات‌های دانمارکی را هدف قرار داده بود. این بدافزار نیز از همان روش و زیرساختی بهره می‌برد که بدافزار (Infy).

درخلال چالش ۴۲ شبکه پالو آلتو با (Infy) برای شناسایی و حذف (Infy)، مشخص شد که این بدافزار با جمهوری اسلامی مرتبط بوده و اکثر قربانیان آن ایرانیان مخالف حکومت بودند.

بازیگران پشت‌پرده حملات بدافزار (Infy)  در سال ۲۰۱۰ به یک وب‌سایت مرتبط با گروه «جند‌الله» نفوذ کرده و از آسیب‌پذیری (ActiveX) برای حمله به بازدیدکنندگان آن استفاده کردند. این حملات تا انتخابات سال ۲۰۱۳ در ایران ادامه یافته و دامنه آن به هک مطبوعات فارسی‌زبان خارج از کشور، از جمله بی‌بی‌سی فارسی و همچنین فعالان مدنی و سیاسی کشیده شد.  

در گزارشی که پیش‌تر «گوارنیری و اندرسون» (Guarnieri & Anderson) در خصوص این حمله‌ها منتشر کرده، گفته شده که پس از حذف بدافزار (Infy) توسط شبکه پالو آلتو، شرکت مخابرات ایران تمامی ترافیکی که مرتبط با این بدافزار را مسدود کرده که از ایران نشات گرفته و به شبکه پالو آلتو می‌رسید و یا به‌سویی دیگر هدایت می‌کرد. این اقدام مخابرات به احتمال زیاد برای جلوگیری از رصد عملکرد این بدافزار و عدم امکان رهگیری و شناسایی قربانیان آن صورت گرفته که نشانگر دخالت داشتن حکومت ایران در این حمله سایبری است.

 در سال ۲۰۱۷ بار دیگر فعالیت‌های بدافزارهای (Infy) مشاهده شد. این‌بار بدافزار جدیدی موسوم به «فوردو» (Foudre) پا به عرصه سایبری گذاشت که اندکی بعد ناپدید شد. اما در نیمه اول سال ۲۰۲۰ فوردو بار دیگر ظاهر شد؛ اما با عملکردی متفاوت و پوششی فریبنده. به این شکل که برخلاف گذشته، که قربانی می‌بایست بر روی پیوند ویدئویی آلوده کلیک می‌کردند، در نسخه جدید یک فایل متنی آلوده برای قربانی ارسال می‌شد که هنگام بستن آن، فایلی به‌نام (fwupdate.temp) در فولدر (temp) کامپیوتر قربانی بازنشانی می‌شد که در داخل آن،  کدهای مخرب ماکرو وجود داشت. در تصویر زیر نحوه عملکرد این بدافزار مشخص شده است.

تصویر زیر نمونه‌ای از پیام‌های جعلی، حاوی تصویر مجتبی بیرانوند، فرماندار وقت شهرستان «دورود» در استان لرستان به چشم می‌خورد. این تصویر به همراه متنی فریبنده برای قربانی ارسال می‌شد.

این تصویر نیز مربوط به یکی دیگر از فایل‌های آلوده حاوی کد‌های مخرب است که در آن نامه‌ای جعلی، منتسب به بنیاد شهید و امور ایثارگران به همراه متنی با مضمون اعطای وام به جانبازان و معلولان و خانواده شهدا به چشم می‌خورد.

در سال ۲۰۱۸، شرکت «اینتزر» (Intezer) نسخه هشت بدافزار «فوردو» (8 Foudre) را کشف کرد. در این نسخه، نوعی از باینری‌های ناشناخته مشاهده شد که درواقع افزونه‌های جدیدی بودند به‌نام (called Tonnerre) که در تکامل بدافزار فوردو و دیگر بدافزارهای خانواده (Infy) نقشی کلیدی داشتند.

محققان چک‌پوینت و سفبریج برای شناسایی قربانیان بدافزار فورد از چند روش متفاوت استفاده کردند. اولین روش ثبت دامنه‌های (DGA) و گوش فرادادن به پارامترهای این بدافزار بود. محققان توانستند با این روش، ترافیک چند ده تن از قربانیان را به سوی خود منتقل کرده و آن‌ها را شناسایی کنند. نکته جالب اینکه هیچ‌یک ازاین قربانیان ایرانی نبودند. این وضعیت می‌تواند به دلیل آن باشد که مهاجمان مشخصات (DNS) را به‌صورت پیش‌فرض تغییر داده‌اند.

روش دوم مورد استفاده محققان این دو شرکت، (DNS) منفعل بود. این روش به محققان امکان می‌داد که آی‌پی منشاء درخواست‌ها را مشاهده کرده و تعداد آن را شمارش کنند. در تصویری که در گزارش شرکت چک‌پوینت و سفبریج منتشر شده، دامنه جغرافیایی عملکرد این بدافزار (به‌جز قربانیان پنهان و آشکار در ایران) قابل مشاهده است.

در تصویر زیر، فرایند تکاملی بدافزار فوردو در سال‌های مختلف قابل مشاهده است

تحقیقات شرکت چک‌پوینت و سفبریج نشان می‌دهد که نهاد‌های امنیتی جمهوری اسلامی در سال‌های اخیر، ضمن کسب تجربه و توسعه دانش و مهارت‌های خود، شیوه‌های جدیدی را در جرایم سایبری خود به‌کارگرفته و به پیچیدگی‌های کارشان افزوده‌اند. آن‌ها دست‌کم در ده پروژه اختصاصی، با تمرکز بر دوازده کشور جهان، اطلاعات تلفن همراه و کامپیوترهای شخصی ۱۲۰۰ تن از شهروندان ایرانی را به سرقت برده‌اند.

در بخشی از این گزارش گفته شده که حملات سایبری تحت حمایت رژیم حاکم بر ایران هم‌اکنون دست‌کم در چهار پروژه مختلف ادامه داشته و آخرین مورد آن نیز به سه ماه پیش باز می‌گردد.

استفاده از بدافزارهای جاسوسی و خرب، وب‌سایت‌ها و بلاگ‌های آلوده به بد‌افزار، هک و یا ارائه نسخه جعلی نرم‌افزارهای پیام‌رسان، ارسال پیوند‌های آلوده به کانال‌های تلگرامی و شبکه‌های اجتماعی، خلق برنامه‌های کاربردی جعلی و جاسوسی و ارائه آن به فروشگاه گوگل، مانند نسخه جعلی اپلیکیشن «رستوران محسن» در تهران، اپلیکیشن جاسوسی «وال‌پیپر» و اپلیکیشن‌ جعلی مخصوص امنیت موبایل، ازجمله روش‌هایی بود که جمهوری اسلامی در سال‌های اخیر برای سرقت اطلاعات شهروندان به‌کاربرده است.