افشای چگونگی حملات سایبری علیه صدها فعال ایرانی/ مصطفی رحمانی
اواخر سال گذشته، گروهی از هکرهایی که محتملاً به دولت ایران مرتبط بودند، سازمانی را برای پشتیبانی حملات سایبریشان راهاندازی کردند. این حملات بدافزاری هکرها که رایانههای فعالان حقوق بشر و مخالفان در داخل و خارج ایران را آلوده میکرد، با چند سرور تحت کنترل آنها تماس برقرار مینمود.
در آن مرحله، “کالین اندرسون” و “کلودیو گوئارنیری”، دو محقق مستقل امنیت، که از پیش هکرهای ایرانی را به مدت ۳ سال تحت نظر داشتند، فرصتی را پیش روی خود یافتند. از اینرو یک سری دامنههای متصل شده به زیرساخت هکرها را ثبت کرده و منتظر شدند.
ظرف شش ماه بعد، زمان هک هر یک از فعالین حقوق بشر ایرانی، بدافزار، اطلاعات وی را همزمان برای هکرها و محققان ارسال میکرد.
گوئارنیری، تکنولوژیست سازمان “عفو بین الملل” و عضو “آزمایشگاه سیتیزن” میگوید: “آنها هیچوقت متوجه نشدند که ما همه چیز را به طور کامل و به مدت چندین ماه است که تحت نظر داریم”.
نه تنها این دو محقق موفق به جمع آوری اطلاعات قربانیان شدند، بلکه یک بار، وقتی هکرها در حال تست گونهی جدیدی از بدافزار بودند، اطلاعات خود را هم به سرورهای کنترل و فرمان و به تبع آن، برای سرورهای اندرسون و گوئارنیری فرستادند.
به این شکل، دو محقق توانستند با نگاه داشتن نشانه بر خود هکرها، حسابهای آنها، آیپی آدرسها و شناسههای منحصر به فرد کامپیوتر و “همهی اینطور موارد” را به دست آورند. این دو محقق این موضوع را با خندههای خجالتی در طول مصاحبه در لاسوگاس به من میگفتند.
هفتهی گذشته، اندرسون و گوئارنیری، تحقیقی 50 صفحهای منتشر کردند که رد 300 حملهی سایبری فردی به فعالین را در کمپینهای هک ایرانی در مدت این سه سال، دنبال کرده است.
این محققین میگویند تحقیق آنها نشان میدهد علیرغم تمرکز مستمر رسانهها بر هک دولتهای خارجی، شرکتها و زیرساختهای حیاتی توسط هکرهای ایرانی، این هکران بیشتر در تلاش برای جاسوسی از شهروندان ایرانی در درون کشور و خارج از آن هستند.
گوئارنیری با اشاره به اینکه تکنیکهای هکرها دقیقاً پیشرفته نیست، اما موثر است، در ادامه میگوید “آنها چیزهای زیادی به دست میآورند؛ با سرعت در حال پیشروی هستند که نشانهای است از احتمال بدتر شدن اوضاع در آیندهای نزدیک”.
به عنوان مثال، این دو محقق یک دام “فیشینگ” قدیمی فرستاده شده برای یکی از فعالین را نشان میدهند. ایمل به نوعی شلخته بود که به راحتی توجه هرکسی با اندک دانشی در مورد بدافزارها را به خود جلب میکند. مثلاً این ایمیل توسط “برنامهی امن سازمان سیا(CIA)!” فرستاده شده و از دریافت کنندهی ایمیل میخواهد با نصب یک فایل “اگزِ” گزارشات بینام به آژانس جاسوسی بفرستد.
سه سال بعد، دیگر این حملاتِ فیشینگ، مدعی ارسال از سازمان سیا نبودند، بلکه به اصطلاح از سوی مسئولین “ادارهی مهاجرت” بودند. این ایمیلهای جدید میکوشیدند با برجسته کردن تعداد ایرانیان خارج از کشور با ویزا، به خواننده القا کنند که این افراد بایستی نگران کارهای اداری مهاجرت باشند. ظاهر این ایمیلها حرفهایتر و قابل باورتر هم شده بود.
در این تحقیق که خود قسمتی از یک پروژهی تحقیقی عظیمتر بوده و سال جاری توسط اتاق فکر “بنیاد کارنگی برای صلح بینالمللی(Carnegie Endowment for International Peace)” در واشنگتن منتشر خواهد شد، اندرسون و گوئارنیری فعالیتهای چهار گروه مختلف هکری ایرانی به نامهای “ملقب اطلاعات”، “ساطور یا قمبر”، “بچهگربهی موشکی” و “سیما” را تشریح میکنند.
کار [تحقیق] آنها تنها یک نگاه عمیق بر فعالیت هکران ایرانی علیه جامعهی مدنی نیست که برپایهی تحقیق قبلی انجام شده و آن را پوشش میدهد؛ بلکه همچنین شهادتی است بر اینکه نیاز نیست حتماً یک شرکت آنتیویروس داشته باشید تا بتوانید از طریق دسترسی به هزاران کامپیوتر در سرتاسر جهان به بدافزارها دست یابید.
روشی که اندرسون و گوئانیری انجام دادند این بود که روابطی با جوامع مورد حملهی هکرها تشکیل دادند.
گوئانیری میگوید: “ما دیتا-ستهایی برپا نمیکنیم، ما به اطلاعات ابری و هرچیز دیگری دسترسی نداریم. اما به منبعی دسترسی داریم که احتمالاً هیچ شرکت امنیتی دسترسی ندارد که آن شبکهای متشکل از مردم است”.
این دو محقق، این شبکه را با ارتباط و کار مستقیم با مخالفان [ایرانی] و رسیدن به گروهها و جوامع آنها تشکیل دادند. به عنوان مثال اندرسون کارشناس مورد انتخاب برای مسائل اینترنت ایرانیان بود. این محقق ساکن در واشنگتن دیسی با تکرار افکار گوئارنیری میگوید: “داشتن چنین روابط قابل اعتمادی با آن جوامع به ما اجازه داد تا گونهای از نسخهی ساخت خودمان بر آن سیستمهای نظارت خلق کنیم”.
در طول این سالها، این دو مسئول در ارتباط با ایرانیانی بودند که ایمیلهای مشکوک دریافت کرده بودند؛ کار چنان سادهای هم نیست که این اعتماد سازی انجام شود. اندرسون یادش میآید که یکبار دوستِ یکی از دوستانش، او را به شخصی وصل کرد که ایمیلی مشکوک به خطر دریافت کرده بود. در ابتدا، آن شخص حرفش را باور نمیکرد. اندرسون میگوید: “به او گفتم ببین مرا نمیشناسی اما تو به خطر افتادهای”. اندرسون ادامه میدهد: “بعضی وقتها مرا باور نمیکردند و من در چند مورد مجبور بودم بگویم: خوب، این هم چندتا فایل از کامپیوترت”.
پس از سه سال از جمع آوری موشکافانه و پشت صحنهی بدافزارها، بعد از آنکه در اوایل ماه می میلادی شرکت امنیتی پالو آلتو(Palo Alto)، گروه مورد نفوذ محققان را افشا کرد، دو محقق تصمیم گرفتند در این تابستان فعالیتشان را علنی کنند.
این شرکت امنیتی با هدایت ترافیک دادهای که به باتنت هکرها میرفت، به سرورهای تحل کنترل خود، عملیات هکرها را در تعطیلات آخر هفتهی ایرانی مختل کرده بود. بنا به گفتههای اندرسون و گوئارنیری، وقتی روزهای آفلاین و عدم دسترسی به سرورهای هکرها تمام شد و آنها بازگشتند، با ترس و دیوانهوار همهی سرورها را چک میکردند تا بفهمند چه اتفاقی رویداده است.
در آن مرحله، دو محقق به این نتیجه رسیدند وقت عمومی کردن رسیده است. بر این باور بودند که افشای تاکتیکهای آنها، نه تنها کمک میکند قربانیان احتمالی بیشتر دقت کنند، بلکه مانع عملیاتهای آیندهی هکرها نیز هست.
گوئارنیری میگوید: “اگر اقدامی نکنیم، نمیتوانیم آنها را متوقف کنیم. البته انتشار [این تحقیق] نیز آنها را متوقف نمیکند، اما نوعی تنش اقتصادی میان هزینهی سرمایهگذاری شده برای تشکیل و نگهداری این کمپینها و انتشار آن به وجود میآورد”.
با این وجود، علیرغم کشف حدود 300 مورد از حملات، این دو محقق تاکید میکنند احتمالاً این تنها نوک کوهیخ است. آنها از صنعت امنیت میخواهند پا پیش گذاشته، به جمع آوری موارد بیشتر کمک کند و نمونههای بدافزار را به اشتراک بگذارد.
گوئارنیری میگوید: “جوامعی [از فعالین ایرانی] که ما با آنها در تماس هستیم، به طور کامل درمانده و بیکمک رها شدهاند، آنها مشتریان کسی نیستند، از نظر تکنیکی توسط کسی محافظت نمیشوند. واقعاً کار بسیار سختی است که خودمان تنها بخواهیم از عهدهاش بربیاییم”.
توضیح: این مطلب، ترجمهی خط صلح از گزارش لورنزو فرانچنسی است که در تاریخ یازدهم آگوست سال جاری در وبسایت مادربرد منتشر شده است.
برچسب ها
ارتش سایبری ایمیل بنیاد کارنگی برای صلح بینالمللی جاسوسی حملات سایبری حمله سایبری سایبر اتک فضای مجازی فیشینگ کالین اندرسون کلودیو گوئارنیری ماهنامه خط صلح ماهنامه شماره ۶۴ مصطفی رحمانی