به تازگی شرکت تحقیقاتی امنیتی «فایرآی» گزارشی مبنی بر تمرکز هکرهای وابسته به حکومت ایران در شبکه اجتماعی «لینکدین» منتشر کرده است. این گزارش نشان میدهد آنها به دنبال کسب اطلاعات و شبکههای اشخاص حقیقی هستند تا سیستم آنها را به بدافزارهای جاسوسی آلوده کنند. این هکرهای حکومتی موسوم به«APT34»، با ایجاد حساب جعلی در این شبکه اجتماعی، برای هدفهای خود لینکهای آلوده ارسال کردهاند که یکی از موارد شناساییشده، شخصیتی به نام «ربهکا واتس» است.
سالها است که هکرهای حکومتی ایران در فضای مجازی و شبکههای اجتماعی مشغول به فعالیت هستند. هدفهای آنها معمولا یا اشخاص حقیقی مثل روزنامهنگاران، کنشگران سیاسی، فعالان حقوق زنان و محیط زیست و کنشگران مدنی است یا وارد شدن به سیستمهای کارمندان سازمانها، شرکتها و موسسات حقوقی. هکرهای حکومتی جمهوری اسلامی معمولا پس از نفوذ به حسابهای کاربری، ارتباطات افراد را کشف میکنند و ضمن جمعآوری اطلاعات حساس و دادههای مختلف، در مواقعی نیز از آنها بهصورت عمومی علیه افراد استفاده میبرند.
طبق گزارش فایرآی، مجموعه اهداف هکرهای حکومتیAPT34 از سال ۲۰۱۴، شرکتها و سازمانهای فعال در بخشهای مالی، دولتی، انرژی و ارتباطات در امریکا و برخی از کشورهای خاورمیانه بودهاند.
داستان از این قرار است که شخصیتی با نام ربهکا واتس(به عنوان یکی از موارد شناساییشده در این گروه از هکرهای حکومتی) در شبکه اجتماعی «لینکدین» یک اکانت میسازد و مدتی در آن به فعالیت مشغول میشود. او خود را شخصیتی آکادمیک شاغل در «دانشگاه آکسفورد» معرفی و بعد از مدتی ارتباط با هدفهای خود، اعتماد آنها را جلب میکند. در یک روز کاری شلوغ، برای اهداف مورد نظر خود فایلی میفرستد که در ظاهر، برنامه «اکسل» است. او به مخاطبان خود تاکید میکند که به خاطر مسایل امنیتی، فایل مورد نظر را با برنامه «ویندوز» باز کنند؛ لینکی که به بدافزار آلوده بوده است و باعث میشود ربهکا به دادهها و شبکه ارتباطات اهداف خود دسترسی پیدا کند.
معمولا هکرهای حکومتی ایرانی تبحر خاصی در «مهندسی اجتماعی» و «فیشینگ» دارند. هک کردن فنِ ویژهای ندارد بلکه در واقع، استفاده از تواناییها، تکنیکها و ابزارهایی است که هکرهای حکومتی را به هدفشان میرساند. یکی از روشهای مخصوص هکرهای حکومتی ایرانی، مهندسی اجتماعی است که برگرفته از روشهای اطلاعاتی و ضداطلاعاتی، همراه با تلاش برای تخلیه اطلاعات است.
پژوهشگران امنیتی معتقدند که هکرهای حکومتی ایرانی در میان هکرهای حکومتی بینالمللی، قدرت ویژهای در فیشینگ دارند. آنها با سناریوسازی، اطلاعاتی را که میخواهند، به دست میآورند. این هکرهای حکومتی ایرانی با دنبال کردن اهداف خود، به سبک زندگی آنها و جزییاتی از روابطشان دست پیدا میکنند و بعد از اعتمادسازی، سیستمها یا اکانتهای شخصی را آلوده میسازند.
شرکت «مایکروسافت» در آخرین گزارش خود، جزییات تازهای از تلاش برای مقابله با حملات سایبری سازمانیافته و هکرهای حکومتی منتشر کرده که طبق آن، این شرکت طی یک سال گذشته دستکم به ۱۰هزار کاربر خود درخصوص حملات هکرهای تحت حمایت حکومتها هشدار داده است. ۸۴ درصد این حملات مربوط به حسابهای سازمانی و ۱۶درصد آن مختص به حسابهای ایمیلی شخصی بودهاند.
بنابر گزارش مایکروسافت، بازیگردانان اصلی این حملات، کشورهای ایران، روسیه و کره شمالی بودند.
براساس این گزارش، تمرکز فعلی هکرهای حکومتی روی کاربران سازمانهای غیردولتی، اتاقهای فکر و مجموعهای از فعالان حوزههای مختلف عرصه حقوق بشر و دموکراسی است. در گزارش مایکروسافت، به نمونهای که در آستانه انتخابات ۲۰۱۶ امریکا اتفاق افتاد، اشاره شده و آمده است که کشورهایی مثل ایران، روسیه و کره شمالی به دنبال راههای جدیدی هستند تا بتوانند در روند دموکراتیک کارزارهای انتخاباتی امریکا برای سال ۲۰۲۰ اخلال وارد کنند.
شش ماه پیش، یعنی در دسامبر ۲۰۱۸، «آسوشیتدپرس» گزارش داد که گروهی از هکرهای حکومتی ایرانی با عنوان «بچهگربههای جذاب»، برخی از حسابهای کاربری مسوولان امریکایی را هک کرده بودند. ایمیلها و حسابهای کاربری شخصی، بخشی از اهداف این حملات بودند. در این اقدام، دستکم ۷۷ آدرس ایمیل از مسوولان خزانهداری امریکا و چند دانشمند اتمی عرب هک شدند. از جمله این اشخاص هکشده، ایمیلی مرتبط با مدیر گروه «شبکه مقابله با جرایم مالی و تروریسم» بود. در عینحال، برخی از کنشگران ایرانی که خارج از کشور خود زندگی میکنند نیز از جمله اهداف این اقدام سایبری بودند. این گزارش توسط آزمایشگاه امنیتی «سرتفا» در لندن تهیه شده بود.
«کوین میستون»، یکی از محققان سرتفا در گفتوگو با «ایرانوایر» توضیح داد: «در سالهای اخیر، گروههای متعدد هک ایرانی با پشتیبانی و حمایت حکومت، بهصورت مستمر در تلاش بودهاند که به دادههای اهداف مختلف خود دست پیدا کنند. بهطور کلی، ماموریت اصلی آنها، سرقت اطلاعات حساس استراتژیک و ژئوپلیتیک و همینطور در مواردی، واردسازی خسارتهای مالی سنگین به برخی از اهداف در حوزههای خاص است. البته آنچه که تا بهامروز عموما شاهد آن بودهایم، نفوذ و سرقت اطلاعات با تکیه بر روشهای مهندسی اجتماعی و برپایه حملات فیشینگ بوده است. در نمونه گروه بچه گربههای جذاب (APT34)، ما مستنداتی جمعآوری کردیم که نشان میدادند بهصورت ویژه، هکرهای وابسته به حکومت ایران با روشی متفاوت نسبت به گذشته، مقامات امریکایی و افراد فعال در زمینه تحریمهای اقتصادی و نظامی را مورد هدف قرارداده بودند.»
او درباره افشای شخصیت ربهکا نیز گفت: «از نظر من، افشای شخصیت ربهکا و مشخص شدن ماهیت عملکرد او بسیار قابل توجه است. نکته اول این که باید دانست که هکرها از هویت ربهکا برای فریب و آلودهسازی اهداف خود به بدافزار استفاده میکردند. دوم آنکه نباید به اشتباه تصور شود که با مشخص شدن شخصیت ربهکا، دیگر هکرهای وابسته به حکومت ایران دست از این کار خواهند کشید یا تنها همین یک حساب ساختگی را داشتهاند. نکته سوم هم این است که در مواردی مانند همین نمونه گزارش اخیر فایرآی، ما با حملات "تلفیقی" فیشینگ و بدافزاری و "چند مرحلهای" مهندسی اجتماعی برای به دست آوردن اعتماد پیش از آلودهسازی و شنود و کنترل بدافزار پس از آلودهسازی مواجه هستیم که همین مساله در مورد هکرهای ایرانی نیز روز به روز درحال پیشرفت است.»
در ماه مارچ سال جاری، مایکروسافت گزارش دیگری منتشر کرد که طبق شواهد به دست آمده، هکرهای حکومتی ایران با هدف قرار دادن هزاران نفر، به بیش از ۲۰۰ شرکت مختلف حمله کرده و میلیونها دلار خسارت به بار آوردهاند.
به گزارش «والاستریت ژورنال»، هکرهای حکومتی ایرانی پس از سرقت دادههای سیستمهای اهداف خود، کلیه اطلاعات را پاک کرده بودند.
بنابراین گزارش، هدف این هکرها، شرکتهای نفت و گاز و تولیدکنندگان ماشینهای سنگین بود که در چند کشور، از جمله عربستان سعودی، انگلیس، آلمان، هند و امریکا فعالیت داشتند. این حملهها به گروههای موسوم به «Holmium» و APT34 مربوط هستند که با روش فیشینگ به دام افتادند.
مایکروسافت همچنین در ماه مارچ سال جاری میلادی خبر داد که ۹۹ وبسایت فیشینگ هکرهای وابسته به حکومت ایران را توقیف کرده است. در این گزارش آمده بود که گروهی از هکرهای ایرانی با ارسال ایمیلهای فیشینگ که دارای لینکهایی به ظاهر معتبر اما آلوده به بدافزار بودند، به اهداف خود دسترسی پیدا میکردند. اهداف آنها در این خصوص، روزنامهنگاران، کنشگران حوزههای مدنی و سیاسی، کارشناسان هستهای و کارمندان ارتش امریکا بودهاند.
از سوی دیگر، در ماه می سال جاری، «کمپین حقوق بشر ایران» در گزارشی خبر داد که بدافزارهای هکرهای حکومتی جمهوری اسلامی از یکسال پیش تاکنون ارتقا یافتهاند. اهداف این هکرها، گروههای اتنیکی و مدیران وبسایت «مجذوبان نور»، پایگاه اینترنتی درویشهای گنابادی بودند.
طبق این تحقیقات، طراحهای بدافزار مورد نظر اقدام به ثبت دامنهای به نام «تلگرام» کرده بودند تا بتوانند از آن برای حملههای فیشینگ استفاده کنند.
گفته شده که پایگاه این هکرهای وابسته به حکومت ایران، شهر ارومیه در استان آذربایجان غربی بوده است.
فعالیتهای هکرهای وابسته به حکومت ایران البته تنها مختص به کنشگران و روزنامهنگاران ایرانی در خارج از کشور یا شرکتها و موسسات غیرایرانی فعال نیست. این هکرها گاهی به سراغ اعضای دولت جمهوری اسلامی هم رفتهاند؛ برای نمونه، در اسفند سال گذشته، «علیرضا رحیمی»، نماینده مجلس شورای اسلامی خبر داد که متن ایمیل محرمانه «محمدجواد ظریف»، وزیر امور خارجه به حسن روحانی، رییسجمهوری ایران رصد و منتشر شده است. اشاره او به استعفای ظریف بود. این نماینده مجلس گفته بود: «ظریف میداند ایمیلش به رییس جمهوری و متن محرمانه استعفایش شنود شده و در سایتها منتشر شده است اما چیزی نمیگوید چون هم عادت کرده و هم دنبال حاشیه نیست.»
البته هک شدن شخصیتهای دولتی مختص به ظریف نیست؛ «حسامالدین آشنا»، «شهیندخت مولاوردی» و نزدیکان حسن روحانی، چه در خانواده و چه در دولت هم بارها مورد چنین حملههای سایبری قرار گرفتهاند.
در همین خصوص، «امیر رشیدی»، محقق امنیت، حریم خصوصی و دسترسی به اینترنت که در کمپین حقوق بشر ایران فعالیت دارد، درباره مواضع دولتیهای جمهوری اسلامی در قبال هکرهای حکومتی به «ایرانوایر» توضیح میدهد: «تاکنون نه واکنش مثبتی در این خصوص مشاهده شده است و نه واکنشی منفی. حتی روحانی که حرفهایش را در قالب متلک بیان میکند هم در این زمینه موضع گیری نداشته است. این سکوت، عجیب مینماید. چراکه مشخص نیست این سکوت مرگبار از سر ناآگاهی است یا بیاهمیت بودن موضوع.»
به عقیده این کنشگر، فعالیتهای هکرهای حکومتی ایرانی در دوره حسن روحانی با دورههای دیگر دولتها تفاوت چندانی ندارند بلکه تغییرات به دلیل تغییرات تکنولوژی است: «مثلا در دورهای، ما احراز هویت دو مرحلهای نداشتیم. هکها بیشتر فیشینگ و ارسال بدافزار بودند. اما حالا هکرها میتوانند کد مرحله دوم را برای اهداف خود در داخل ایران به دست آوردند و از آن استفاده کنند. اما اهداف این هکرها در خارج از ایران همچنان با روشهای فیشینگ و بدافزار به دام میافتند. از نظر سیاسی اما تغییر خاصی وجود ندارد. البته هک کردن آن دستکم ۷۴ نفر، یکی از بینقصترین حملههای سایبری بوده است.»
به گفته رشیدی، تا به حال سازمانها و نهادهای حقوق بشری بسیاری در خصوص هکرهای حکومتی هشدار داده و این اقدام را محکوم کردهاند. اما این محکومیتها مانع ادامه فعالیتهای هکرهای حکومتی نشدهاند؛ اگرچه این اقدام از نظر حقوق بشری، نقض حریم شخصی محسوب میشود: «جنگهای فیزیکی قواعد دارند. طبق قانونهای وضع شده، به عنوان نمونه، کشتن یک اسیر یا حمله به غیرنظامیها، "جنایت جنگی" محسوب میشود و در دادگاه "لاهه" قابل بررسی است. اما در حوزه سایبری هیچ قانون و قاعده خاصی برقرار نیست. این مساله چنان بیقاعده است که هر حکومتی هرچه میخواهد، میکند. از سوی دیگر، در جنگهای فیزیکی آیتمهایی مثل یونیفرمهای جنگی یا حمل سلاح وجود دارد که باعث شناسایی مسوولان جنایتهای جنگی میشود. اما در حوزه سایبری، شناخت مسوولان، اقدامی دشوار است. آیتمهای حوزه سایبری به راحتی قابل جعل هستند. ما هیچ قانون ملی و بینالمللی نداریم که در این حوزه، خط قرمزی را معلوم کند.»
به نظر میرسد اگر در چنین شرایطی جنگی فیزیکی بین حکومتها هم به راه نیفتد، خلبانهای جنگی قرار است به جای سوار شدن بر هواپیماهای بمبافکن، پشت کامپیوترها بنشینند و تلاش خود را در جنگهای سایبری به کار بندند؛ مثل معروفترین نمونه که باعث شد بخشی از تاسیسات اتمی ایران با بدافزار «استاکسنت» از کار بیفتد یا استفاده جمهوری اسلامی از بدافزار «شمعون» که وظیفه حمله به نیروگاههای عربستان سعودی را برعهده داشت.
ویروس استاکسنت از طریق اتصال یو اس بی(USB) پخش شد و هدف آن، یکی از نیروگاههای هستهای ایران بود. در نوامبر ۲۰۱۰ ، «محمود احمدینژاد»، رییسجمهوری پیشین ایران در یک کنفرانس خبری گفت که این بدافزار توسط دولتهای غربی طراحی شده و کار تعدادی از سانتریفیوژها را مختل کره است.
بدافزار شمعون، نهادهایی در عربستان سعودی را مورد حمله قرار داد. جمهوری اسلامی با بهرهمندی از دامنهها و عناوین عبری، سعی کرد تقصیر را به گردن اسراییل بیاندازد اما در نهایت افشا شد.
مطالب مرتبط:
گزارش حملات سایبری ایران گزاف و غیر واقعی است
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
با ایرانوایر همکاری کنید
ویدیوها و مطالب خود را برای ما بفرستید
ثبت نظر