جاسوسی جمهوری اسلامی از مخالفان با استفاده از سرورهای هلندی

۶ اسفند ۱۳۹۹

خواندن در ۶ دقیقه

«رادیو هلند» (Dutch radio “NPO1”) در یک برنامه، از کشف مجموعه‌ای از تحرکات سایبری خبر داد که براساس شواهد موجود، از سوی رژیم حاکم بر ایران و با هدف جاسوسی از مخالفان جمهوری اسلامی صورت گرفته است.

در این برنامه از یک مرکز داده در نزدیک شهر «هارلم» (Haarlem) در بیست مایلی غرب آمستردام، پایتخت هلند سخن به میان آمد که ردپای فعالیت‌های جاسوسی ذکرشده در آن یافت شده است.

احمد باطبی

شرکت امنیتی «بیت دیفندر» (Bitdefender) ارائه‌کننده آنتی‌ویروس شناخته‌شده بیت‌دیفندر، با همکاری برنامه رادیویی «آرگوس» (Argos) رادیو هلند گزارشی را به مخاطبان ارائه کرد که جنبه‌های پنهانی از فعالیت‌های سایبری جمهوری اسلامی را در خارج از ایران شفاف می‌کند.

برنامه رادیویی آرگوس، یکی از برنامه‌های مطرح رادیو «اِن‌پی‌او-وان» (NPO 1) هلند است که عصر شنبه‌ها با تمرکز بر روزنامه‌نگاری تحقیقی پخش می‌شود و موضوعات مختلف را به چالش کشیده و واکاوی می‌کند.

در این برنامه که با مجری‌گری «ریک دل‌هاس» (Rik Delhaas) انجام می‌شد، از یک مرکز داده در نزدیک شهر «هارلم» (Haarlem) در بیست مایلی غرب آمستردام، پایتخت هلند سخن به میان آمد که ردپای فعالیت‌های جاسوسی ذکرشده در آن یافت شده است. در این مرکز، مشخصات سروری کشف شد که به گفته محققان شرکت بیت‌دیفندر، احتمالا از سوی جمهوری اسلامی برای کنترل و هدایت بدافزارهای مخرب اینترنتی، نظیر آلوده‌سازی اولیه کامپیوتر و شبکه قربانیان و ذخیره اطلاعات سرقت مانند صدا و عکس و غیره اشاره کرد.

گردانندگان این سرور آن را به‌صورت «سرور فرمان و کنترل» (Command and Control [C&C] Server) استفاده می‌کردند. سرورهای موسوم به فرمان و کنترل، سرورهایی هستند که عموما از سوی مهاجمان برای ارسال دستورات به کامپیوتر و یا شبکه‌های آسیب‌دیده به‌کار گرفته شده و در عموم موارد نیز به‌منظور مخلوط کردن ترافیک سرور فرمان و کنترل با ترافیک عادی کامپیوتر و یا شبکه قربانی، از سرویس‌های ابری، ایمیل و یا اشتراک فایل استفاده می‌شود.

سرورهای فرمان و کنترل در یک حمله سایبری نقش مرکز فرماندهی و پشتیبانی داشته و در موفقیت حملات هکری نقش کلیدی دارند. یک سرور فرمان و کنترل زمینه را برای «بات‌نت» (botnet) فراهم کرده و به سه شیوه متمرکز، تصادفی و یا نظیر به نظیر، فرمان‌های مورد نظر هکرها را به بدافزارهای آن‌ها ارسال می‌کند. این سرورها قادرند که اطلاعات سرقت‌شده توسط بدافزارها را درون خود ذخیره‌سازی کرده و یا مزاحم فعالیت عادی سرورهای دیگر شده و عملکرد عادی آن‌ها را مختل کنند.

محققان با بررسی ترافیک‌ موجود به این نتیجه رسیده‌اند، اگرچه این سرور در هلند قرار دارد؛ اما صاحب آن یک شرکت ثبت‌شده در کشور قبرس است که آدرس مشخصی از آن وجود ندارد. با این وجود به نظر می‌رسد که ثبت‌کنندگان آن اهل کشور رومانی باشند. این شرکت به مشتریان خود اجازه می‌دهد که برای پرداخت هزینه خدمات، از رمزارز بیت‌کوین استفاده کرده و در عوض هویت‌شان پنهان بماند. براساس این گزارش، شرکت مذکور حتی به برخی از شرکت‌های آمریکایی نیز خدماتی ارائه می‌کرد، اما بعد از افشاگری این برنامه رادیویی، ارائه سرویس به اجاره‌کنندگان این سرور آلوده را متوقف کرده است.

ریک دل‌هاس، روزنامه‌نگار شبکه رادیویی هلند گفت که شناسایی این سرور از هشدار یک مرد ایرانی مقیم هلند آغاز شد. او که یکی از مخالفان حکومت جمهوری اسلامی است، از طریق شبکه‌های اجتماعی و همچنین نرم‌افزار پیام‌رسان تلگرام، فایلی مشکوک را دریافت کرد که از سوی هکرهای وابسته به رژیم ایران برای او ارسال شده بود. این مرد هوشمندی به خرج داده و به‌جای گشودن این فایل، آن را در اختیار متخصصان امنیت سایبری قرار داد. بررسی عمیق‌تر نشان داد، این فایل به یکی از بد‌افزارهای جاسوسی آلوده بود که پیش‌تر شناسایی شده و نقش جمهوری اسلامی در طراحی و بهره‌برداری از آن اثبات شده است. طبق گفته ریک دل‌هاس، جمهوری اسلامی هم اکنون در تلاش است که دست کم در کشورهای هلند، آلمان، سوئد و هند به تلفن‌های همراه کاربران نفوذ کند.

این اولین بار نیست که سوءاستفاده رژیم ایران از امکانات سایبری کشور هلند برای هک و جاسوسی از مخالفان کشف می‌شود. در ماه‌های پایانی سال گذشته میلادی نیز شرکت بیت‌دیفندر، سرورهایی را در هلند کشف کرد که برای گرفتن دسترسی‌های غیرقانونی توسط جمهوری اسلامی راه اندازی شده بود. آن سرور نیز با مرکز داده‌های (Evoswitch AMS1 Amsterdam) در شهر هارلم هلند مرتبط بوده و توسط شرکت آمریکایی (Monstermeg) پشتیبانی می‌شد.

« کوین کوپ» صاحب شرکت (Monstermeg) به برنامه رادیویی «آرگوس» گفت که شرکتش با وجود اینکه از دو اسکنر برای رصد سرورهای اجاره‌ای خود استفاده می‌کند، بازهم از وجود چنین سروری مطلع نشده است. اما به هرشکل پس از اطلاع از موضوعِ سرور آلوده، آن را یافته و از دسترس خارج کرده است.

شرکت امنیتی بیت‌دیفندر گزارش داد که بدافزارهای اخیر مورد استفاده رژیم ایران که عمدتا برای جاسوسی از مخالفان سیاسی به‌کار گرفته شده (Tonnerre) و (Foudre) نام داشته و متعلق به مجموعه هکری موسوم به «تهدید پیشرفته مستمر» (APT) است. این مجموعه هکری که در صنعت سایبری به آن (Advanced Persistent Threat) گفته می‌شود، اشاره‌ای است به تهدیدهای دائمی که عموما از سوی مجرمان سایبری تحت حمایت دولت‌ها ایجاد می‌شوند؛ به عنوان مثال گروه «APT34» از جمله گروه‌های «APT» است که تحت حمایت و پشتیبانی جمهوری اسلامی اقدام به فعالیت‌های مجرمانه می‌کند.

در گزارش‌ها عنوان شده که سپاه پاسداران انقلاب اسلامی از سرورهای هلندی برای جاسوسی از اعراب ایرانی مخالف، که از سوی حکومت ایران به تجزیه‌طلبی و اقدامات تروریستی متهم شده‌اند، بهره برده است. با این حال این بدافزار در کشورهای سوئد، ایالات متحده، هلند و همچنین سایر کشورها در سراسر اروپا و نیز در عراق قربانی گرفته است.

هر دو (Tonnerre) و (Foudre) ازجمله بدافزارهایی بودند که از سرورهای هلندی برای عملکرد مخرب خود بهره می‌بردند. روز هشتم فوریه سال جاری، بخش تحقیق شرکت اسرائیلی «چک‌پوینت» (Check Point) ازجمله شرکت‌های اسرائیلی مطرح در صنعت سایبری، با همکاری گروه مطالعاتی سفبریج (Safebreach) گزارش ویژه‌ای را در خصوص بدافزار (Foudre) منتشر کرده و اسناد مربوط به وابستگی این بدافزار به جمهوری اسلامی را در اختیار عموم قرار داده بود.

در این گزارش گفته شد که نهاد‌های امنیتی جمهوری اسلامی در سال‌های اخیر، ضمن کسب تجربه و توسعه دانش و مهارت‌های خود، شیوه‌های جدیدی را در جرایم سایبری خود به‌کار می‌گیرند که عملکردشان را بیش از پیش پیچیده می‌کند.

نهادهای امنیتی دخیل در جرائم سایبری جمهوری اسلامی دست‌کم در ده پروژه اختصاصی، با تمرکز بر دوازده کشور جهان حضور داشته‌اند. آن‌ها با استفاده از بدافزارهای جاسوسی، وب‌سایت‌ها و بلاگ‌های آلوده به بد‌افزار، هک و یا ارائه نسخه جعلی نرم‌افزارهای پیام‌رسان، ارسال پیوند‌های آلوده به کانال‌های تلگرامی و شبکه‌های اجتماعی، خلق برنامه‌های کاربردی جعلی و جاسوسی و ارائه آن به فروشگاه گوگل، مانند نسخه جعلی اپلیکیشن «رستوران محسن» در تهران، اپلیکیشن جاسوسی «وال‌پیپر» و اپلیکیشن‌ جعلی مخصوص امنیت موبایل، اطلاعات تلفن همراه و کامپیوترهای شخصی بیش از ۱۲۰۰ تن از شهروندان ایرانی را سرقت کرده‌اند. در این گزارش هشدار داده شد که در زمان انتشار این گزارش (ماه فوریه سال ۲۰۲۱) حملات سایبری تحت حمایت رژیم حاکم بر ایران دست‌کم در چهار پروژه مختلف ادامه داشته و آخرین مورد آن نیز به سه ماه پیش باز می‌گردد.

مطالب مرتبط:

جمهوری اسلام چطور تحرکات سایبری مخالفان حکومت را رصد می‌کند؟