درباره هکرهای سایه سیاه، سارق اطلاعات دگرباشان اسرائیلی چه می‌دانیم؟

روز شنبه هشتم آبان ۱۴۰۰، رسانه‌های اسرائیلی از هک شدن سرورهای اپلیکیشن دوست‌یابی «اطرَف» (Atraf) در این کشور خبر دادند که بیشتر کاربران آن را هم‌جنس‌گرایان تشکیل می‌دهند.

این رسانه‌ها گروه هکری «سایه سیاه» (Black Shadow) را عامل این حمله معرفی کرده و گفته‌اند که هم‌زمان، سایه سیاه به سرور‌های دو شرکت اتوبوس‌رانی در مرکز اسرائیل و بخش وبلاگ‌های رادیو و تلویزیون ملی اسرائیل نیز نفوذ کرده‌ است.

یک روز پیش از این، سایه سیاه در پیامی تلگرامی، به شکل عمومی اعلام کرد که حجم عظیمی از اطلاعات کاربران اسرائیلی را به سرقت برده‌ است که در میان آن‌ها، اطلاعات بیش از یک میلیون کاربر اپلیکیشن اطرف نیز وجود دارد و اگر تا ۴۸ ساعت دیگر یک میلیون دلار رمز ارز به کیف اینترنتی این گروه واریز نشود، بخشی از این اطلاعات را منتشر خواهد کرد.

با بی پاسخ ماندن این درخواست، هکرهای سایه سیاه بخشی از اطلاعات به سرقت رفته را در دسترس عموم قرار دادند. این اطلاعات شامل طیف وسیعی از کاربران و کارکنان سازمان‌ها و شرکت‌های مختلف اسرائیلی مانند شرکت سفرهای هوایی «پگاسوس»، شرکت اتوبوس‌رانی «دان» و موزه کودکان هستند.

میزبان این اطلاعات، سرورهای شرکت اسرائیلی «سایبرسرو» بود که به دلیل ضعف‌های امنیتی، داده‌های آن توسط هکرها به سرقت رفته است.

سال گذشته، اداره ملی سایبری اسرائیل در خصوص آسیب‌پذیر بودن سرورهای شرکت سایبرسرور هشدار داده بود.

نگرانی کاربران اپلیکشین دوست‌یابی اطرف به عنوان یکی از اپلیکیشن‌های پر کاربر در اسرائیل این است که بسیاری از آن‌ها تا به امروز از گرایش جنسی خود با خانواده‌ها و نزدیکان‌شان سخن نگفته‌اند و انتشار مشخصات آن‌ها ممکن است مشکلات فراوانی را در رابطه با خانواده و اطرافیان برای آن‌ها ایجاد کند.

حمله تازه گروه سایه سیاه چند روز پس از حمله سایبری گسترده به مراکز تامین سوخت ایران رخ داده است که در آن ارتباط تمام چهار هزار و ۳۰۰ جایگاه سوخت کشور با سامانه هوشمند سوخت قطع و فرایند سوخت‌رسانی به شهروندان با اخلال مواجه شد؛ حمله‌ای که «شبکه تلویزیونی ۱۳» اسرائیل از احتمال انجام آن توسط سازمان اطلاعات ارتش سخن گفته و «غلامرضا جلالی»، رییس سازمان پدافند غیرعامل ایران نیز آن را اقدامی از سوی امریکا، اسرائیل و یک کشور خارجی دیگر خوانده بود.

در آذر سال گذشته، سه روز پس از ترور «محسن فخری‌​زاده»، معاون وزیر دفاع و رییس مرکز پژوهش و نوآوری‌‌های وزارت دفاع جمهوری اسلامی، خبر هک وب‌سایت و سرورهای شرکت اسرائیلی «شیربیت» منتشر شد که در حوزه بیمه املاک و مستغلات، خودرو و بیمه‌​های مسافرتی فعال است.

هم‌زمان با تایید این حمله از سوی «زویکا لیبوشور»، مدیر ارشد شیربیت و اطمینان دادن او در خصوص عدم نشت اطلاعات مشتریان و تلاش این شرکت برای حفاظت از داده‌ها، گروه هکری سایه سیاه در یک حساب کاربری توییتر مسدود شده و یک کانال تلگرامی، مسوولیت این حمله را بر عهده گرفت و گفت ضمن آسیب رساندن به بانک اطلاعات این شرکت، انبوهی از اطلاعات، اسناد و داده‌​های شخصی افراد که اکثر آن‌ها از کارکنان دولت اسرائیل هستند را به سرقت برده‌ است.

هکرها برای اثبات ادعاهای خود، بخشی از اسناد سرقت ‌شده را در پست‌​های مختلف تلگرامی منتشر کردند که در میان آن‌ها، اسناد مربوط به ارتباطات مالی با مشتریان، گذرنامه و کارت بیمه شهروندان اسرائیلی، اطلاعات بیمه مشتری‌ها، فایل صوتی گفت‌وگو​ی کارکنان، ایمیل‌های اداری و اسناد فعالیت‌های این شرکت در حوزه فروش خودروهای کار کرده به چشم می خورد. بخشی از این اسناد، مانند اطلاعات مربوط به یک قاضی فدرال درحال خدمت و یا اسناد مربوط به ارتباطات شرکت با ارتش اسرائیل از اهمیت ویژه‌ای برخوردار بودند که حتی می‌توانستند به خطر افتادن حیات شهروندان اسرائیلی منتهی شوند.

بعد از این حمله، وب‌سایت شرکت شیربیت و بسیاری از خدمات آن‌لاین آن برای مدتی طولانی از دسترس خارج شدند.

نفوذ و ماندگاری هکرها در سرورهای شیربیت به حدی بود که حتی مدتی پس از این حمله و تلاش متخصصان برای پاک‌سازی سیستم‌ها و حفاظت از اطلاعات مشتریان، هکرهای سایه سیاه در کانال تلگرام خود تصویر ایمیل گروهی این شرکت به مشتریانش را منتشر کردند که در آن گفته شده بود اطلاعات افراد محفوظ هستند و خطری آن‌ها را تهدید نمی‌کند.

باج‌خواهی گروه سایه سیاه تنها باج‌خواهی هکرهای ایرانی از اسرائیلی‌ها نیست، یک نمونه اثبات شده آن، حمله باج‌افزاری «Pay2key» به چند شرکت اسرائیلی در ماه اکتبر سال گذشته میلادی و تقاضای مبالغ کلان از این قربانیان بود.

شرکت امنیتی «چک‌​پوینت» (Checkpoint) در پی رصد نقل و انتقالات مالی بین قربانیان و هکرها که به صورت بیت‌کوین انجام می‌شد، کشف کردند که مبالغ اخاذی شده در نهایت به یک کیف اینترنتی منتقل شده‌اند که از سوی وب‌سایت «www.excoino.com»، متعلق به شرکت دانش‌​​بنیان «اکسکوینو» میزبانی می‌شود.

این شرکت که از سال ۱۳۹۶ به عنوان یک صرافی مجازی، خدمات خود را برای خرید و فروش ارزهای اینترنتی آغاز کرده، از جمله شرکت‌​هایی است که در سال​‌های اخیر نقش ویژه​‌ای را در فرایند دور زدن تحریم​‌​های ایالات متحده از طریق تبدیل ارزهای رایج به بیت‌​​کوین ایفا کرده است.

سایه سیاه از جمله گروه‌های هکری است که سند دقیقی از هویت عوامل و وابستگی آن‌ به جمهوری اسلامی منتشر نشده است اما به دلایل مختلف، بسیاری، از جمله رسانه‌های اسرائیلی، سایه سیاه را یک گروه هکری ایرانی می‌دانند.

بزرگ‌ترین تفاوت سایه سیاه با دیگر گروه‌های هکری وابسته به جمهوری اسلامی در آن است که هدف اصلی این گروه تاکنون بیشتر انگیزه‌های مالی بوده است تا جاسوسی برای گردآوری اطلاعات مورد نیاز حکومت ایران.

این گروه علاوه بر طلب پول اینترنتی (رمزارز) از قربانیان خود، اطلاعات به سرقت رفته را در فضای وب تاریک به فروش می‌رساند؛ اطلاعاتی که می‌توانند برای بسیاری از نهاد‌های امنیتی کشورهای مختلف در جهان با ‌اهمیت باشند. گروه‌های هکری وابسته به رژیم ایران معمولا به جای فروش و یا افشاگری اطلاعات سرقت شده، آن‌ها را مستقیما در اختیار مقامات رژیم ایران قرار می‌دهند.

آن‌ها هم‌چنین همواره تلاش می‌کنند از دید‌ها پنهان مانده و رد پایی از خود بر جا نگذارند. اما گروه هکری سایه سیاه در عملیات حمله به شرکت شیربیت، برخلاف رفتار معمول هکرهای وابسته به جمهوری اسلامی، بخشی از این مدارک را به همراه توضیحاتی در خصوص نحوه انجام این حمله سایبری برای رسانه‌ها و خبرگزاری‌های بزرگ جهان، ازجمله «رویترز»، «بی‌بی‌سی» و «سی‌ان‌ان» ارسال و آن‌ها را از اقدام خود مطلع کرده‌اند.

اگرچه رد پای گروه هکری سایه سیاه را می‌توان تنها در حمله به اهداف اسرائیلی پیدا کرد اما سخت است تفکیک این موضوع که هکرهای سایه سیاه به دنبال اخاذی اینترنتی از قربانیان خود هستند و یا براساس اعتقادات ایدئولوژیک و ضد اسرائیلی، اقدام به حمله به زیرساخت‌های این کشور می‌کنند.

به دلیل هم‌زمانی حملات این گروه به اهداف اسرائیلی با حملات سایبری انجام شده به اهداف ایرانی، رسانه‌ها و برخی تحلیل‌گران، گروه هکری سایه سیاه را گروهی ایرانی می‌دانند و اقدامات آن را نوعی تلافی‌جویی و انتقام‌گیری از اسرائیلی‌ها تلقی می‌کنند. برخی دیگر نیز این گروه را یکی از گروه‌های هکری مستقل در ایران می‌دانند که با جمهوری اسلامی ارتباط نسبی دارد و ضمن سرقت اطلاعات و کسب درآمد از طریق باج‌گیری اینترنتی، اطلاعات به دست آمده را در اختیار رژیم ایران قرار می‌دهد و از چتر امنیتی آن‌ها نیز بهره می‌برد. برخی هم آن‌ها را گروهی غیرایرانی اما در استخدام جمهوری اسلامی می‌دانند.

اما واقعیت این است که از لحاظ فنی و استانداردهای معمول برای دسته‌بندی گروه‌های هکری در صنعت سایبری، هنوز اطلاعات و اسناد مشخصی از ایرانی بودن هکرهای گروه سایه سیاه و یا وابستگی این گروه به رژیم ایران منتشر نشده است.