یک شرکت پیشروی جهان در حوزه امنیت سایبری طی تحقیقی که به تازگی نتایجش را منتشر کرده نشان میدهد کارزارهای عملیات جاسوسی سایبری مرتبط با ایران که یکی از آنها هزار و ۲۰۰ مخالف حکومت را هدف قرار داده، با گسترش قابلیتها حملات جدیدی را تدارک دیده است.
کارزار جاسوسی سایبری ایران
شرکت آمریکایی-اسرائیلی «چکپوینت» جزییات این تحقیق را روز دوشنبه ۲۰ بهمنماه در وبسایتش با عنوان «غرش آسمان بعد از رعد و برق میآید» منتشر کرده است.
این گزارش اشاره میکند تلاشهای این کارزارهای عملیات سایبری که قبلا قربانیانی از ایران داشته با قابلیتهای بیشتر و در موج جدیدتر قربانیانی از ۱۲ کشور از جمله آمریکا، بریتانیا، کانادا، عراق، ترکیه، روسیه و هلند هم دارد.
چکپوینت در زمینه سابقه این حملات به اولین اقدامات سایبری با نام «اینفی» مشهور به «شاهزاده پارسی» که به معرض عموم آورده شده اشاره کرده که به سال ۲۰۰۷ میلادی باز میگردد. این شرکت اشاره میکند که احتمالا این عملیات توسط حکومت ایران حمایت میشد.
این عملیات سایبری از مراحل نخستش بسیار فعال بود و شواهدش نشان میداد که قربانیان اصلیاش در ایران و سراسر اروپا بودهاند. همچنین به شرکتهای آمریکایی و اسرائیلی نیز حمله کرده بود.
کارزارهای نفوذ سایبری بررسیشده که به دستگاههای کامپیوتر و همراه کاربران قربانی حمله میکند برای سرقت فایلهای صوتی تماسها و مدیا به کار گرفته شد.
در پی بررسی سال ۲۰۱۶ میلادی، ارتباطات این کارزارها با ایران مشخص شد که بعدها وقتی عملیات حذف علیه آنها صورت گرفت، محققان توانستند ارتباط آن با ایران را مجددا تایید کنند.
واکنش ایران به بررسیها
گوارنیری و اندرسون در تحقیقی در همین زمینه مشاهده کردند که پس از عملیات حذف علیه این کارزارها، شرکت مخابرات ایران هرگونه ترافیکی را که از ایران منشا میگرفت، مسدود و هدایت کرد.
چکپوینت نوشته این احتمالا تلاش عمدی بازیگران برای کاهش مشاهده خود و بازیابی مجدد کنترل قربانیان بوده است.
پس از این وقایع، این عملیات تا ماه اوت سال ۲۰۱۷ میلادی، زمانی که فعالیت «اینفی» دوباره و اینبار با استفاده از بدافزار جدیدی موسوم به «فودره» مشاهده شد، متوقف بود. فودره واژهای فرانسوی به معنای رعد و برق است.
حمله به قربانیان و سرقت فایلها
در نیمه اول سال ۲۰۲۰ میلادی، نسخههای جدید فودره با اسناد جدیدی مشاهده شد که برای جلب قربانیان طراحی شدهاند.
این موارد کمی متفاوت از قبل عمل میکنند؛ به جای این که قربانی روی آنچه که به نظر یک لینک ویدیو میآید کلیک کند، بدافزار به محض اینکه کاربر یک سند را میبندد به اجرا در میآید.
در یکی از این اسناد نام مجتبی بیرانوند، فرماندار درود لرستان، با اطلاعاتی فارسی از دفتر و شماره تلفنش، که البته در واقع متعلق به یک وکیل است، مشاهده میشود. در سند دیگری هم که به فارسی است نامهای با لوگوی بنیاد شهید و امور ایثارگران که وامهایی برای مجروحان و خانوادههای کشتهشدگان جنگ مهیا میکند دیده میشود.
قربانی با باز کردن این اسناد و سپس بستن آن به اجرا شدن فایلی در دستگاهش کمک میکند که نفوذ را انجام میدهد.
سابقه بچهگربههای خانگی
گزارش جدید چکپوینت از کارزار «بچهگربههای خانگی» که قبلا نیز از سال ۲۰۱۸ میلادی به آنها پرداخته شده بود نشان میدهد این کارزار متوقف نشده و عملیات جاسوسی علیه مخالفان از جمله مخالفان داخلی، نیروهای اپوزیسیون و اقلیتهای کرد درون ایران در بر میگیرد.
این کارزار قربانیان را فریب میدهد تا بدافزارهایی را با روشهای مختلف روی گوشیهای خود نصب کنند. از قابلیتهای بدافزار بچهگربههای خانگی جمعآوری شناسههای دستگاه، دریافت پیامهای کوتاه متنی و گزارش تماسها، ضبط فراگیر میکروفون دستگاه، ضبط تماس، ردیابی مکان دستگاه و سرقت فایلها است.
یافتههای محققان این شرکت در این زمینه حاکی از اسنادی درباره قربانیان ساکن هفت کشور است.
چکپوینت میگوید از سال ۲۰۱۷ میلادی با ۱۰ کارزار حمله منحصر به فرد بیش از هزار و ۲۰۰ فرد را در معرض حمله قرار داده که ۶۰۰ نفر از آنها را آلوده کردند.
چهار کارزار این عملیات همچنان فعال هستند که آخرین آنها از نوامبر سال ۲۰۲۰ میلادی آغاز شده است.
بچهگربههای خانگی: