گزارش اختصاصی؛ اقلیت‌ها، هدف هکرهای حکومتی

گزارش یک گروه از پژوهشگران امنیت سایبری نشان می‌دهد، هکرهای وابسته به حکومت ایران از سال ۲۰۱۸ تا کنون، با استفاده از روش‌های ویژه نفوذ سایبری، به اطلاعات موجود روی رایانه شخصی و تلفن همراه فعالان حقوق بشر، وکلا و خبرنگاران دست یافته‌اند. فعالان اقلیت‌های دینی در صدر اهداف این گروه قرار داشتند. یافته‌های این گروه نشان می‌دهد، بخشی از این فایل‌های آلوده از طریق پیام‌رسان تلگرام برای قربانی ارسال می‌شده است و در عین حال، روش‌های جدید و کم‌سابقه‌ای برای شنود قربانیان مورد استفاده قرار گرفته است.

یکی از قربانیان این حمله سایبری در گفت‌وگوی اختصاصی با «ایران‌وایر»، از چگونگی سرقت اطلاعاتش می‌گوید. «امیر رشیدی»، محقق امنیت اینترنت، که درباره این حمله پژوهش کرده است، جزییات بیشتری را در این باره  ارائه می‌کند.

بیش از صد دستگاه آلوده؛ دراویش و فعالان اقلیت‌ در صدر

فعالیت گروه هکرها از فوریه ۲۰۱۸ تا امروز تحت نظر یک گروه از محققان امنیت سایبری است. بررسی این گروه که اخیرا منتشر شده است، نشان می‌دهد این حمله‌ها از طریق روش‌های متعددی از جمله، ارسال و نصب فایل‌های آلوده روی رایانه شخصی کاربران انجام می‌شده است. این برنامه‌ها با روش‌هایی از جمله دریافت اسکرین‌شات از رایانه قربانی، فعالیت‌های او را تحت نظر می‌گرفتند.

در برخی دیگر از حملات، سایت‌هایی طراحی شده بودند تا با استفاده از حملات موسوم به فیشینگ، اطلاعات قربانی را سرقت کنند. در حمله فیشینگ، قربانی به فضای جعلی هدایت می‌شود که مشابه وب‌سایت مورد نیاز او طراحی شده است. از این طریق اطلاعاتی مثل رمزهای عبور قربانی قابل دریافت هستند. در بسیاری موارد، فرد متوجه نمی‌شود که مورد حمله قرار گرفته است.

امیر رشیدی، محقق امنیت اینترنت، دراین‌باره می‌گوید: «این حمله‌ها عمدتا فعالان حقوق اقلیت‌های قومی و مذهبی، از جمله دراویش گنابادی و فعالینی را که با آن‌ها در تماس بوده‌اند، در برگرفته است.»

سیستم‌عامل قربانیان این رشته حملات، اندروید یا ویندوز بوده است. آقای رشیدی در این‌ باره می‌گوید: «این‌که قربانیان از یک سیستم‌عامل خاص استفاده می‌کرد‌ه‌اند، به این معنا نیست که سیستم‌عامل‌های دیگر امن و غیر قابل نفوذ هستند. موضوع فقط این است که، این گروه خاص عمدتا روی همین سیستم‌عامل‌ها تمرکز کرده بودند.»

مهندسی اجتماعی: روش جدید هکرها برای نفوذ به قربانیان

یکی از فعالان حقوق بشر که قربانی این حملات بوده است، می‌گوید، در سال‌های گذشته بارها ایمیل‌های مشکوک دریافت کرده، اما فایل‌های داخل آن را باز نکرده بود. او اما می‌گوید، بارها فایل‌هایی مربوط به ماده‌های قانونی یا دستورالعمل‌ها را از سایت‌هایی دانلود کرده که ممکن است از طریق همان‌ها به رایانه‌اش نفوذ شده باشد.

او تاکید می‌کند، هکرها یک بار کنترل حساب تلگرام او را که روی دسک‌تاپ رایانه باز بوده است، در اختیار گرفته و از این طریق، فایل‌های مخربی را برای یک گروه حقوق‌ بشری ارسال کرده بودند. این قربانی می‌گوید، نام فایل طوری تغییر کرده بود که به نظر می‌رسید اطلاعات مربوط به یکی از فعالان حقوق بشری در آن گنجانده شده است.

امیر رشیدی، محقق امنیت رایانه، در این‌ باره ‌می‌گوید: «بررسی فعالیت این هکرها نشان می‌دهد، آن‌ها پیش از حمله، به اطلاعات قابل‌ توجهی از قربانی دسترسی داشته و می‌دانسته‌اند، او را باید چه‌طور به دانلود یا اجرای یک برنامه وادار کنند.» به گفته آقای رشیدی، «هکرها می‌دانستند که یکی از قربانیان‌شان به زبان محلی کشور سکونتش تسلط ندارد و دنبال دریافت اطلاعاتی درباره یک شرکت دولتی است. هکرها این اطلاعات را روی یک اپ فارسی پیاده می‌کردند و آن را در معرض دید قربانی می‌گذاشتند.»

آقای رشیدی تاکید می‌کند، استفاده از روش‌های مهندسی شبکه برای شنود اطلاعات، کار خاص این هکرها بود که در نفوذشان به سیستم مخاطب تاثیر قابل توجهی داشت.

احتمال هک‌شدن از طریق کافه‌بازار؛ چه‌طور ایمن شویم؟

گفت‌وگو با برخی قربانیان این حملات سایبری نشان می‌دهد که آن‌ها برای انجام فعالیت‌های روزمره یا حرفه‌ای، از نرم‌افزارهای رایگان استفاده کرده‌اند. در بسیاری از موارد، قربانیان فایل‌ها و اطلاعات مورد نیازشان را از اولین سایتی که پیدا کرد‌ه‌اند، دریافت کرده‌اند. این در صورتی است که، لزوما این منابع فایل‌های امنی را در اختیار کاربران نمی‌گذاشته‌اند.

امیر رشیدی، کارشناس امنیت سایبری در این‌ باره می‌گوید، بررسی‌هایش نشان می‌دهد که هکرها در سال‌های گذشته دست‌کم هفت اپلیکیشن را ساخته و از طریق آن‌ها، اطلاعات موجود در اینستاگرام یا تلگرام قربانیان را سرقت کرده‌اند. برخی از این اپلیکیشن‌ها روی بسترهایی مثل «کافه‌بازار»، فروشگاه آنلاین محصولات اندرویدی ویژه کاربران ایرانی، منتشر شده بودند. یکی از این برنامه‌ها برای مدتی از کافه‌بازار حذف شد، اما مدتی بعد دوباره به این فضا برگشت.

امیر رشیدی درباره این‌ که چه‌طور می‌توان در این فضا امن ماند، می‌گوید: «به جز فعال‌سازی تایید اطلاعات دو مرحله‌ای و استفاده از ابزارهای مدیریت ترافیک اینترنت، بهتر است افراد درباره روش‌های هک با کمک مهندسی اجتماعی اطلاعات کسب کرده و خود را در مقابل این روش حملات سایبری ایمن کنند.»