شرکت امنیت سایبری چک پوینت روز دوشنبه ۲۰ بهمن ۱۳۹۹ گزارشی منتشر کرد که نشان میداد، دو گروه از هکرهای وابسته به جمهوری اسلامی طی فعالیتهای مخرب و متداوم در فضای مجازی هزاران نفر از مخالفین و منتقدان حکومت را هدف حملات سایبری قرار داده است. تمرکز فعالیتهای این دو گروه بر روی جمعآوری اطلاعات و پروندهسازی برعلیه شهروندان ایرانی است که منتقد سیاستهای نظام هستند.
محققان چک پوینت در این جدیدترین پژوهش خود دریافتهاند، هر دو گروه که مدتهاست مشغول حملات سایبری و جاسوسی هستند با تکنیک های کاملا جدید و بروز از طریق نصب جاسوس افزار و بدافزار روی تلفن همراه یا رایانه شخصی، منتقدین و مخالفین نظام را هدف حملات خود قرار میدهند.
نکته قابل توجه در گزارش چک پوینت این است که هر چند قربانیان و نوع اطلاعات جمعآوری شده در هر دو عملیات همپوشانی دارند و هر دو گروه عاملان جمهوری اسلامی هستند اما این دو گروه هکری مستقل از یکدیگر عمل میکنند.
یکی از این گروه های هکری فعال با نام «بچه گربه های خانگی» Domestic kitten یا APT-50 یک گروه هکری پیشرفته است که از سال ۲۰۱۸ تحت نظارت رژیم، مشغول جاسوسی و انتقال اطلاعات آن گروه از افرادی است که یا مخالف حاکمیت و تمامیت نظام جمهوری اسلامی و یا منتقد رژیم هستند یا با سیاست های ضد حقوق بشری، تروریستی و فساد گسترده حکومتی مخالفت می کنند. این گروه قربانی مورد نظر را با یکی از شیوه های دانلود بدافزار روی گوشی همراه فریب میدهد.
«بچه گربه های خانگی» طی ۴سال گذشته حداقل ۱۰ کارزار جداگانه را کلید زده و حداقل ۱۲۰۰ نفر، اعم از مخالفین رژیم، فعالان حقوق بشری و مدنی، روزنامه نگاران و وکلا را در لیست حملات خود دارد و در حال حاضر ۴عملیات جاسوسی سایبری را در سراسر جهان از جمله ایران، ایالات متحده، پاکستان و ترکیه از ماه نوامبر گذشته آغاز کرده و پیش میبرد.
چک پوینت تاکنون بیش از ۶۰۰ مورد حمله موفق را در این پروژه شناسایی کرده که یکی از آنها بدافزاری به نام «فاربال» (Furball) است، که با استفاده از یک وبلاگ یا سایت فارسی زبان، کانال های تلگرامی و پیام کوتاه کاربر را به نصب نرم افزار آلوده ترغیب میکند. «تکنیوز» آلمان در این باره مینویسد، گمان میرود فاربال بر اساس جاسوسافزاری به نام «کیدلاگر» ساخته شده باشد، که در بازار به راحتی قابل تهیه است. در این صورت سازندگان «فاربال» به سورس کد کیدلاگر دسترسی پیدا کرده و بخشهای غیرضروری از کد را حذف و کارکردهای جدیدی به آن افزودهاند.
حملات مجازی «فاربال» می تواند از طریق شبیه سازی تقلبی یک بازی ویدیویی در گوگل، ایجاد فروشگاه مجازی برای دانلود اپلیکیشن، تصاویر پس زمینه جذاب (وال پیپر) اما آلوده برای صفحات موبایل، پیشنهاد اپهای خبری دستکاری شده و حتی کپی کردن اپ یک رستوران در تهران انجام شود.
«فاربال» می تواند از این طرق، مکالمات سوژه را ضبط کند، گوشی را مکانیابی، اطلاعات شناسایی افراد داخل گوشی را جمع آوری کرده و به پیام های فرد دسترسی داشته باشد. همچنین می تواند از حافظهی اس دی اطلاعات را سرقت کرده یا عکس و فیلم های درون گوشی را بدزدد، سپس اطلاعات جمع آوری شده به سرورهای کنترل کننده مورد استفاده گربه های خانگی که IP آنها در تهران و کرج شناسایی شده اند، منتقل میشود.
چکپوینت گروه دوم را با نام اینفای Infy معرفی میکند که به عنوان تهدید بسیار جدی از سال ۲۰۰۷ فعالانه مخالفان رژیم را مورد هدف قرار داده. اما این گروه به جای تمرکز بر تلفنهای هوشمند افراد، رایانه شخصی کاربر قربانیان را مورد حمله قرار میدهد.
طبق تحقیقات انجام شده روش کار این گروه به اینصورت است که برای کاربر ایمیلی با محتوای جذاب ارسال میکنند که فایل پیوستی ضمیمه آن است با باز شدن فایل پیوست یک جاسوس افزار روی رایانه نصب میشود و تمام!
برخلاف گربه های خانگی قربانیان این گروه تعداد کمتری هستند و عمدتا مخالفین رژیم در عراق، آذربایجان، انگلیس، روسیه، رومانی، آلمان، کانادا، ترکیه، ایالات متحده، هلند و سوئد را تشکیل میدهند.
اینفای گروه هدف خود را با دقت و سرفرصت انتخاب میکند و حملاتش در مواردی قابل شناسایی نیست و توانایی این گروه بالاتر از دیگر گروه های شناخته شده ایرانی تخمین زده شده.
رئیس گروه تحقیقات چک پوینت؛ یانیو بالماس معتقد است هرچند عاملان این کارزارهای جاسوسی پیش از این به عنوان مثال در ۲۰۱۶ توسط Palo Alto Networks شناسایی یا حتی فعالیت آنها متوقف شده اما متاسفانه خود آنها هرگز هدف قرار نگرفته و در آگوست ۲۰۱۷ با تکنیک های جدیدتر، رفع اشکالات قبلی و توانایی ابزاری بالاتر فعالیت شان را از سر گرفته اند: «برای اعضای این گروههای سایبری از قرار معلوم هیچ اهمیتی ندارد که چه اقداماتی بر علیه آنان انجام میشود. حتی اگر عملیاتشان لو برود و متوقف بشوند؛ باز هم ادامه میدهند. از گذشته یاد میگیرند. تاکتیکشان را تغییر میدهند و مدتی صبر میکنند تا آبها از آسیاب بیفتد و سپس دوباره شروع میکنند. گذشته از اینها، میزان منابعی که رژیم به منظور کنترل و اشراف اطلاعاتی بر شهروندان خود، در اختیار این افراد و گروهها میگذارد، بسیار درخور توجه است.»
