هکرهای مرتبط با سپاه نزدیکان روحانی را هدف میگرفتهاند
بیبیسی: محمدجواد ظریف و حسین فریدون از اهداف حملات گروهی بودهاند که با سپاه مرتبط بوده، عباس عراقچی را گروه دیگری هدف گرفتهبیبیسی فارسی مستنداتی را دیده است که نشان میدهند هکرهایی از داخل ایران نزدیکان حسن روحانی، از جمله محمدجواد ظریف، وزیر امور خارجه را هدف قرار دادهاند. بنا به مستندات موجود دست کم یکی از این گروهها با سپاه پاسداران ارتباط داشته است.
بنیاد کارنگی برای صلح بینالملل گزارشی درباره حملات سایبری از داخل ایران منتشر کرده و بخشی از مستندات این گزارش پیش از انتشار عمومی آن در اختیار بیبیسی فارسی و روزنامه نیویورکتایمز قرار گرفته است.
بنا بر این مستندات محمدجواد ظریف، حسین فریدون، مجید تخت روانچی، عباس عراقچی، حسامالدین آشنا و چند تن دیگر از مقامها و نزدیکان حسن روحانی جزو هدفهای حمله هکرهایی از داخل ایران بودهاند. شهیندخت مولاوردی، معاون وقت رئیس جمهور در امور زنان و خانواده یکی از اهداف در میان مقامهای دولتی بوده که هک موفق او در بهار سال ۱۳۹۵ و پاییز ۱۳۹۶ رسانهای شده است.
هکرها پس از در اختیار گرفتن حسابهای گوگل و فیسبوک خانم مولاوردی از آنها برای هک شماری از روزنامهنگاران و فعالان حقوق زنان استفاده کردند و به آشنایان خانم مولاوردی، که به لینک دریافتی از حساب او اطمینان داشتند، جاسوسافزاری برای دانلود فرستادند.
مکالمه هکرها با یک نفر از حساب شهیندخت مولاوردیمتخصصان امنیت سایبری غربی، گروه هکری را که در بهار ۱۳۹۵ به خانم مولاوردی حمله کردند به عنوان «بچهگربه موشکی» (Rocket Kitten) میشناسند.
بچهگربه موشکی گروهی است که تصور میشود پشت هک تلگرام و ربودن شماره تلفنهای ۱۵ میلیون کاربر ایرانی در سال ۱۳۹۵ بوده باشد.
این گروه علاوه بر حمله به خانم مولاوردی، محمدجواد ظریف، وزیر خارجه ایران و حسین فریدون، برادر حسن روحانی و رئیس دفتر پیشین او را نیز هدف گرفته و با فرستادن لینکهایی که به صفحات جعلی جیمیل و گوگلدرایو میرفتند، سعی در دزدیدن رمز عبور آنها داشته است.
صفحه ساختگی گوگل که به محمدجواد ظریف پیغام هشدار جعلی میدهد تا پس از وارد کردن مشخصات از طرف او رمزعبورش را بدزدد – این مورد مربوط به تلاش گروه هکری “بچهگربه پرنده” است نه “بچهگربه موشکی” صفحه جعلی گوگل درایو که برای حسین فریدون فرستاده شد
فیشینگ (Phishing) چیست؟
در حمله فیشینگ هکر به دنبال فریب قربانی است تا با او را به سایتهایی جعلی، که مشابه سرویسهای واقعی چون گوگل و فیسبوک و… طراحی شدهاند، هدایت کند.
برای این کار وبسایت جعلی علاوه بر اینکه ظاهری مشابه سایت اصلی دارد، آدرسی مشابه نیز دارد که میتواند قربانی را به اشتباه بیندازد. (مثلا qooqle.com به جای google.com)
معمولا ایمیلی ساختگی از طرف یک سرویس برای قربانی فرستاده میشود. مثلا ایمیلی که به دروغ از طرف جیمیل به او میگوید باید برای افزایش امنیت، تنظیمات حسابش، مانند رمز عبور را تغییر بدهد.
اگر قربانی فریب بخورد و به آن لینک برود، سایت قلابی از او میخواهد که رمزش را وارد کند. در صورتی که قربانی این کار را بکند هکرها به رمز او دسترسی پیدا میکنند و میتوانند کنترل حسابش را در دست بگیرند.
البته هک مقامهای ایرانی میتواند از طرف نهادهای اطلاعاتی خارجی هم انجام شود.
چنان که پیش از این گزارش شده و ادوارد اسنودن، کارمند سابق آژانس امنیت ملی آمریکا نیز گفته است، آمریکا بدافزار استاکسنت را برای جاسوسی و همچنین ایجاد اختلال در تجهیزات هستهای ایران طراحی و استفاده کرد.
همچنین از میان موارد عمده حمله سایبری علیه مقامهای ایران که رسانهای شدهاند، میتوان به تلاش برای نفوذ به شبکه هتلهای محل برگزاری مذاکرات هستهای اشاره کرد. این تلاش برای نفوذ به گفته شرکتهای امنیت سایبری کاسپرسکی و سیمانتک احتمالا کار اسرائیل بود.
- اسنودن: آمریکا در حمله استاکسنت با اسرائیل همکاری کرد
- اسنودن: ایران حمله استاکسنت را تلافی کرد
- اتریش و سوئیس درباره جاسوسی از مذاکرات هستهای ایران تحقیق میکنند
اما حملات ذکرشده به شهیندخت مولادوردی، محمدجواد ظریف و حسین فریدون از داخل ایران انجام شدهاند. و مستنداتی وجود دارد که گروه بچهگربه موشکی، یعنی عامل این حملات را به سپاه پاسداران انقلاب اسلامی مرتبط میکند.
باقر نمازی، استاندار خوزستان در دوران حکومت پهلوی و از کارکنان پیشین یونیسف، در زمستان ۱۳۹۴ در حالی که به ایران رفته بود تا پیگیر وضعیت پسرش، سیامک نمازی، از مدیران کرسنت و زندانی در ایران باشد، بازداشت شد.
چند ساعت پس از بازداشت آقای نمازی، و در حالی که بسیاری از نزدیکان او هنوز از بازداشتش مطلع نبودند، از حساب ایمیل او برای حملات “فیشینگ” (ربودن رمز عبور) استفاده شد و از آدرس او ایمیلهایی برای نزدیکانش فرستاده شد که آنها را به صفحهای جعلی برای وارد کردن رمز عبور میبرد. این صفحه جعلی از وبسایتهای مورد استفاده گروه بچهگربه موشکی بوده است.
از آنجا که بازداشت آقای نمازی از طرف سپاه پاسداران انجام شده، و گروه بچهگربه موشکی پس از بازداشت او به ایمیلش دسترسی پیدا کرده است، این گروه هکر قاعدتا باید با سپاه ارتباط داشته باشد.
سیامک نمازی (راست) و پدرش باقر نمازیطبق مستنداتی که بیبیسی مشاهده کرده، چند حمله دیگر نیز انجام گرفته که به ترتیب مشابهی گروه بچهگربه موشکی تنها از طریق در اختیار گرفتن اطلاعات بازداشتشدگان سپاه قادر به انجام آنها بوده است.
البته کالین اندرسون، پژوهشگر امنیت سایبری که گزارش کارنگی را تهیه کرده، میگوید به نظر میرسد گروههای هکری مانند بچهگربه موشکی در ایران، در قالب پیمانکاران و شرکتهای کوچکی کار میکنند که ضرورتا همه فعالیتهایشان رسمی و وابسته به نهادهای حکومتی نیست.
شمار هکرها و هویت واقعی همه اشخاص در این گروههای هکری روشن نیست و دست کم در یک مورد یک شخص در دو گروه مختلف شناسایی شده، که میتواند به معنی ارتباط کاری یا سازمانی گروهها با یکدیگر باشد.
مستندات این گزارش چه طور به دست آمده؟
در مواردی قربانیان حملات با مختصصان امنیت سایبری تماس میگیرند و اطلاعات مربوط به حمله، مثلا ایمیل حاوی بدافزار یا لینک فیشینگ را به آنها میدهند.
ویژگیهای فنی موجود در این مستندات بررسی میشود و به عنوان مثال آدرس فرستنده، نشانی اینترنتی (آیپی)، بدافزار یا صفحه فیشینگ مورد استفاده، سرورهای مورد استفاده و ردپاهای دیگری نظیر آن به دست میآید.
از آنجا که یک گروه مادامی که لو نرفته ممکن است از ابزارها، کدها و سرویسهای مشابهی استفاده کند، میتوان آن را شناسایی کرده و ردش را در حملات مختلف دید.
در مواردی بدافزارها و ذخیرهسازی اطلاعات ربودهشده بر سرورهای مورد استفاده هکرها نقاط ضعف امنیتی دارند که اقدامات آنها را لو میدهد.
یک روش دیگر به دست آمدن چنین اطلاعاتی “سینکهولینگ“ است. اصطلاحی که برای منحرف کردن مسیر اطلاعات استفاده میشود.
شیوه عمل در سینکهولینگ از این قرار است:
هر بدافزاری برای فرستادن اطلاعات ربودهشده از قربانی به هکر، اطلاعات را به آدرسی میفرستد. متخصصان امنیت سایبری میتوانند در مواردی اطلاعات را رهگیری کنند و به طور کامل به آنچه هکر میبیند دسترسی داشته باشند.
مستندات مورد استناد در این گزارش هر یک به یکی از این شیوهها به دست آمده است.
گروه مشهور به بچهگربه موشکی تنها گروهی نیست که در سالهای اخیر از داخل ایران مقامها و چهرههای نزدیک به حسن روحانی را هدف گرفته است.
از میانه زمستان ۱۳۹۲ تا بهار ۱۳۹۳ گروهی دیگر، که شرکتهای امنیت سایبری غربی آن را به نام “بچهگربه پرنده” ( Flying Kitten) میشناسند به شماری از چهرههای دیپلماتیک حمله کرد.
علاوه بر محمدجواد ظریف، عباس عراقچی، مجید تختروانچی، صادق خرازی، حسین موسویان و سیروس ناصری هدف گروه بچهگربه پرنده قرار گرفتند.
مقطعی که این حملات طی آن رخ دادهاند بین توافق موقت ژنو و توافق جامع هستهای است.
در این مدت هکرهای بچهگربه پرنده با دست کم دو ایمیل جعلی که مشابه ایمیلهای آشنایان مقامهای دولت و اطرافیان حسن روحانی بوده، تلاش کردهاند تا با آنها ارتباط برقرار کرده و فریبشان دهند که فایلی را از طریق ایمیل دانلود و نصب کنند. فایلی که قاعدتا جاسوسافزار بوده است.
چنان که از اطلاعات لو رفته از این دو اکانت جعلی برمیآید، مقامهای دولت حسن روحانی چندین مکاتبه با هکر داشتهاند.
هک مقامها و حاکمیت دوگانه
بهرنگ تاجدین – بیبیسی فارسی
شاید انتظار میرفت که مقامهای ایرانی برای هکرهای “مرتبط با سپاه پاسداران” خط قرمز محسوب شوند. ولی نکته غافلگیرکننده این است که طبق مدارکی که بیبیسی فارسی دیده، این گروهها بین وزیر خارجه جمهوری اسلامی ایران با یک فعال حقوق بشر در خارج از کشور، گروههای جداییطلب یا نهادهای نظامی آمریکایی و اسرائیلی فرقی قائل نمیشوند.
نمیدانیم آیا یک فرمانده سپاه اجازه یا دستور حمله سایبری به محمدجواد ظریف، حسین فریدون و دیگران را داده یا این گروهها “سرخود” عمل کردهاند، ولی تلاشهای مکرر برای چنین حملاتی از داخل ایران، تا حدی که یک گروه چند سال وزیر مسئول مهمترین مذاکرات تاریخ جمهوری اسلامی را زیر حمله دارد، نشان میدهد این گروهها امنیت و اختیار عمل بالایی دارند؛ چیزی که نمیتواند از چشم و گوش مقامهای عالیتر پنهان بماند.
این حملهها میتوانند نظریه “حاکمیت دوگانه” در ایران را تقویت کنند. جایی که حتی اعضای کابینه و افراد نزدیک به آن را هم میتوان به چشم غیرخودی و “دشمن” بالقوه دید.
محکومیت حبس پنج ساله عبدالرسول دری اصفهانی، عضو تیم مذاکرات به هسته ای، به اتهام جاسوسی، شاهدی بر این دوگانگی است تا جایی که وزارت اطلاعات و اطلاعات سپاه به صورت علنی درباره جاسوس بودن او اختلاف نظر دارند.
یکی از نکات جالبی که از این حملات برمیآید استفاده بسیاری از مقامهای ایرانی از سرویسهای جیمیل و یاهو است، سرویسهایی که سرور آنها در ایران نیست و دسترسی نهادهای امنیتی غربی به اطلاعات آنها آسانتر از دسترسی به اطلاعات سرویسی در داخل ایران است.
البته روشن نیست مقامهای ایرانی هدف حمله هکرها از حسابهای ایمیل جیمیل و یاهو برای مکاتبات شخصی استفاده کردهاند یا مکاتبات رسمی. هرچند صفحه گوگل درایو جعلی که برای هک حسین فریدون استفاده شد مدارکی با مهر “محرمانه” در خود دارد، یعنی تصور هکرها، که به دنبال بازسازی صفحهای جعلی مشابه صفحه ورود گوگل درایو شخصی آقای فریدون بودهاند، این بوده است که آقای فریدون ممکن است مدارکی محرمانه را در گوگل درایو خود ذخیره کند.
بچه گربه پرنده با ایمیلی که شبیه یکی از آشنایان مقامهای دولت بوده با آنها مکاتبه میکرده تا برایشان بدافزار بفرستدگروه بچهگربه پرنده نیز مانند گروه بچهگربه موشکی تنها به مقامهای دولتی نپرداخته است.
یکی از اهداف عمده این گروه بابک زنجانی، سرمایهدار مشهور ایرانی بوده است.
چند ماه پیش از آن که آقای زنجانی دستگیر شود، هکرهای بچهگربه پرنده سعی میکردند در حساب او، خواهرش و همچنین مدیر وبسایتش نفوذ کنند.
تلاش بچهگربه پرنده برای هک بابک زنجانی
تلاش گربهپرنده برای هک شرکت سورینتاحتمالا همین گروه بچهگربه پرنده به دنبال هک مایکل فلین، مشاور امنیت ملی پیشین دونالد ترامپ، و باب کورکر، رئیس کمیته روابط خارجی نیز بوده است.
به همین ترتیب، حملات گروه بچهگربه موشکی که با سپاه مرتبط بوده، محدود به مقامهای دولت حسن روحانی نبوده است، بلکه آنها به اهدافی در آمریکا، عربستان سعودی، اسرائیل و همچنین روزنامهنگاران و فعالان سیاسی ایرانی نیز حمله کردهاند.
اقدام نهادهای امنیتی یک کشور برای جمعآوری اطلاعات یا ایجاد اختلال در کشورهایی که با آنها دچار تنش هستند، و همچنین اقدام مشابه علیه فعالان سیاسی و خبرنگاران نامعمول نیست، اما اقدام هکرهای مرتبط با یک نهاد امنیتی به نفوذ در حسابهای مقامهای دولت خود کمسابقه به نظر میرسد.
بخشی از چت هکرها با هم
-چند نفرو میخواهم بیارم. کلاً تعداد ما خیلی کمه
+اگر کسی رو میشناسی بهم معرفی کن برای استخدام. من به حاجی میگم
(چهار روز بعد)
-برای اون قضیه اضافه کردن خودمون چند نفرو پیدا کردم. بقیه رو واجا [وزارت اطلاعات] درو کرده بود
+بهش گفتی برای کجا قراره بیاد؟
-گفتم شرکت … شرکت معمولی
+اگر بهش بگیم برای کجا قراره کار کنه جا می زنه؟
-نه.
+فقط جلو روش بهش بگو. تو تلفن نگو
-ببین به نظر من میخواهی آدم بیارم وعده آنتالیا و تایلند بدید
+من فقط میتونم وعده قم جمکران بدم
…
-مک رو برای بد افزار میخواهی؟
+نه صرفاً بدافزار. یه حوزه جدید داریم شروع میکنیم. الزاماً بدافزار نیست. ولی بالاخره پروژه هاش با دیدگاه امنیتیه
-میگم جایی سراغ نداری بشه سربازی دوستمو درست کنم؟
+تخصصی تو هیچ زمینهای داره؟
-قبلن هک برنامهنویسی میکرد. خیلی قدیمیه. الان فروشندگی میکنه
+شنبه یادم بنداز یه سؤال کنم ببینم اگر شد هماهنگ کنم بره سپاه تهران. احتمالاً با لباس شخصی اوکی نمیشه. ولی در عوض خدمتش راحته.
-اینجا که بچههای خودمونند خیلی هتله خداییش
بهار سال ۱۳۹۶ حملات فیشینگ دیگری هم علیه محمدجواد ظریف و حسامالدین آشنا انجام شد.
مختصصان امنیت سایبری گروه مسئول این حملات را “بچهگربه دلربا” (Charming Kitten) نامگذاری کردهاند.
مستندات موجود حاکی از آن است که این گروه چندین بار برای فریب دادن محمدجواد ظریف صفحات جعلی ساخته که اطلاعات او را بدزدند.
همان سروری که برای حمله به آقایان ظریف و آشنا استفاده شده بود، برای ساخت صفحات جعلی و هدف گرفتن فعالان حقوق بشر و روزنامهنگاران، از جمله بهرنگ تاجدین، خبرنگار بیبیسی فارسی نیز مورد استفاده قرار گرفت.
فهرستی از برخی هدفهای حمله گروه هکری بچهگربه دلرباکالین اندرسون میگوید عملیات سایبری گروههای هکری داخل ایران از سال ۱۳۸۸ به بعد افزایش پیدا کرده است، چرا که در آن مقطع هم اعتراضات جنبش سبز در جریان بوده که انبوهی از فعالان و خبرنگاران را به اهداف مورد نظر برای جمعآوری اطلاعات تبدیل کرد.
در عین حال حملات استاکسنت هم در همان مقطع شروع شد.
آقای اندرسون میگوید: “حکومت خودش را از دو جبهه تحت حمله میدید که هر دو هم به اینترنت مربوط بود. به نظر میآید از آن موقع ایران گروههای هکر کوچکی را به خدمت گرفت تا علیه رقبایش دست به عملیاتی بزنند.”
گزارش کارنگی میگوید پیچیدگی و سطح فنی عملیات گروههای هکر ایرانی قابل مقایسه با عملیات قدرتهای غربی یا چین و روسیه نیست.
پدیده “فرار مغزها” و مهاجرت دانشجویان ایرانی به خارج، در این گزارش به عنوان یکی از عوامل محدودیت توانایی ایران در انجام حملات پیچیدهتر ذکر شده است.
این گزارش میگوید هکرهای احتمالا مرتبط با نهادهای امنیتی ایران در اغلب موارد به دزدیدن اطلاعات تجاری و صنعتی یا بانک اطلاعات دولتی دست نزدهاند و اغلب به جمعآوری اطلاعات پرداختهاند و یا در مواردی مانند حمله به آرامکو در عربستان سعودی، اقدامشان حرکتی انتقامجویانه بوده است.
کارنگی پیشبینی میکند که با بالا گرفتن دوباره تنش میان ایران و آمریکا، گروههای هکر ایرانی حملاتی را، مانند حمله سال گذشته به سدی در نیویورک، ترتیب بدهند.
پیام برای این مطلب مسدود شده.