اخبار

بی‌بی‌سی: در عملیات مهاجمان مجازی از اپلیکیشن‌های قلابی بازی و رستوران برای نفوذ به موبایل محالفان حکومت ایران استفاده شده

یک شرکت بین‌المللی امنیت مجازی گزارش داده است که ایران در دو عملیات تجسسی در فضای مجازی، بیش از هزار نفر از مخالفان حکومت را هدف قرار داده است.

شرکت آمریکایی-اسرائیلی “چک‌پوینت” در گزارش خود گفته است که این دو عملیات برای جاسوسی علیه مخالفان جمهوری اسلامی در داخل ایران و ۱۲ کشور دیگر از جمله بریتانیا و آمریکا انجام شده است.

بر اساس این گزارش دو گروهی که در این دو پروژه فعالیت می‌کنند، از تکنیک‌های جدید برای نصب جاسوس‌افزار‌ها یا بدافزارهای جاسوسی در کامپیوترهای شخصی و گوشی‌های موبایل افراد استفاده کرده‌اند.

این گزارش می‌گوید در جریان این عملیات جاسوسی مجازی، عکس‌ها، فیلم‌ها و پیام‌های صوتی افراد مورد حمله به سرقت رفته است.

یکی از دو گروه هکر فعال در این حمله‌ها که با نام بچه‌گربه‌ خانگی (Domestic Kitten) یا APT-۵۰ شناخته می‌شود، متهم شده است که افراد را با شیوه‌های مختلف برای دانلود کردن بدافزار روی موبایل فریب می‌دهد، از جمله:

عرضه بسته قلابی از نسخه واقعی یک بازی ویدیویی در فروشگاه اینترنتی گوگل
کپی کردن اپلیکیشن یک رستوران در تهران
پیشنهاد دانلود اپلیکیشن قلابی برای امنیت موبایل
پیشنهاد اپ دستکاری‌شده‌ای که مقالات خبرگزاری‌ها را منتشر می‌کند
اپلیکیشن آلوده وال‌پیپر
ایجاد یک فروشگاه مجازی اپ اندروید برای دانلود نرم‌افزار

شرکت چک‌پوینت می‌گوید در پژوهش خود ۱۲۰۰ مورد از قربانیان این حملات مجازی را که ساکن هفت کشور مختلف هستند فهرست کرده‌ است.

به گفته این شرکت بیش از ۶۰۰ مورد حمله آلوده‌کننده موفق را در این پروژه‌ها شناسایی شده است.

به گزارش چک‌پوینت گروه دوم با نام اینفی (Infy) یا شاهزاده پارسی (Prince Of Persia) از کامپیوترهای شخصی یا کاری مخالفان در ۱۲ کشور جاسوسی کرده و اطلاعات حساس را بعد از فریب دادن آنها از طریق باز کردن فایل‌های آلوده در ایمیل سرقت کرده است.

دولت ایران به گزارش تازه چک‌پوینت واکنشی نشان نداده است.

بدافزار”گلوله پشمی”

عملیات گروه “بچه‌گربه خانگی” اولین بار در سال ۲۰۱۸ شناسایی شد و چک‌پوینت در آن زمان گفت که شواهدی در ارتباط با دست کم ۱۰ پروژه جاسوسی سایبری از سال ۲۰۱۷ وجود دارد.

چهار پروژه این گروه همچنان فعال است و به گفته این شرکت تازه‌ترین حملات در نوامبر ۲۰۲۰ شناسایی شده است.

در این پروژه با استفاده از یک وبلاگ فارسی، کانال‌های تلگرام و پیامک استفاده شده تا افراد را برای نصب نرم‌افزارهای آلوده فریب دهند. در گزارش چک‌پوینت از این بد‌افزارها با عنوان “گلوله پشمی” یاد شده که می‌توانند:

صدای مکالمات و دیگر صداها را ضبط کنند
موقعیت موبایل را شناسایی کنند
اطلاعات شناسایی افراد روی موبایل را جمع‌آوری کنند
به پیامک‌ها و فهرست تماس‌ها دسترسی پیدا کنند
فایل‌ها عکس و فیلم را بدزدند
به فهرست اپ‌های نصب‌شده دسترسی پیدا کنند
از حافظه اس‌دی اطلاعات سرقت کنند

۶۰۰ تلاش موفق این گروه علیه افراد و گروه‌های مخالف و اقلیت کرد در این کشورها شناسایی شده است:

ایران
آمریکا
بریتانیا
افغانستان
ترکیه
ازبکستان

گفته شده است که گروه دیگر (اینفی) از سال ۲۰۰۷ فعال بوده است.

در گزارش چک‌پوینت گفته شده که به نظر می‌رسد یکی از اسناد آلوده مربوط به “بنیاد شهید و امور ایثارگران” بوده است

به گزارش چک‌پوینت تازه‌ترین اقدام این گروه هدف قرار دادن کامپیوترهای شخصی با ایمیل‌های جعلی با محتوای “جذاب” برای فرد هدف حمله بوده که با پیوست یک فایل نوشتاری فرستاده شده است.

یکی از نمونه‌هایی که در گزارش به آن اشاره شده سندی مربوط به وامی است که به “جانبازان جنگ” پیشنهاد شده است.

با باز شدن این فایل، یک جاسوس‌افزار روی دستگاه نصب می‌شود و اطلاعات حساس را می‌دزدد.

دو فایل دیگر هم که به تازگی استفاده شده عکسی از یک فرماندار در ایران بوده که ادعا شده حاوی اطلاعات تماس آن مقام است.

پژوهشگران چک‌پوینت می‌گویند توانایی گروه اینفی “بسیار بالاتر” از گروه‌های شناخته‌شده دیگر ایرانی است به این دلیل که این گروه اهداف خود را بسیار با دقت انتخاب می‌کنند و حملاتش در بسیاری از موارد قابل شناسایی نیست.

یانیو بالماس، رئیس تحقیقات چک‌پوینت، می‌گوید: “روشن است که حکومت ایران منابع قابل توجهی را به عملیات سایبری اختصاص می‌دهد.”

به گفته آقای بالماس با وجود آن که عاملان این پروژه‌های جاسوسی سایبری در مقطعی شناسایی و حتی متوقف شد‌ه‌اند، اما خود آنها هدف قرار نگرفته‌اند و “به وضوح کارشان را از سر گرفته‌اند.”

رادیوفرانسه: وزارت دادگستری آمریکا روز چهارشنبه ٧ آذر/ ٢٨ نوامبر، دو ایرانی به نام‌های “محمدمهدی شاه‌ منصوری” ٢٧ ساله و “فرامرز شاهسوندی” ٣٧ ساله را به حمله سایبری به ٢٠٠ شهر و مؤسسه آمریکا و بیش از ۶ میلیون دلار اخاذی متهم کرد.

این ٢ ایرانی، متهم شده‌اند که از ایران سیستم‌های انفورماتیک مراکز دولتی و خصوصی با بدافزاری به نام “سام سام” مورد حمله قرار داده‌اند و بیت‌کوین‌هایی (یک نوع پول دیجیتال) را به دست آورده‌اند.
این دو ایرانی که در ایران زندگی می‌کنند، همچنین متهم شده‌اند که قصد فلج کردن مراکزی در شهرهای “آتلانتا”، “نیوآرک”، بندر “سان دیگو”، اداره حمل و نقل “کلورادو”، ۶ بیمارستان و مراکز درمانی آمریکا و دانشگاه شهر “کلگری” کانادا را داشته‌اند.
دادستان نیوجرسی شاکی اصلی پرونده است و علی‌رغم حضور این دو هکر در ایران، علیه آنها اعلام جرم کرده است.

“راد روزنستاین” قائم‌مقام وزیر دادگستری آمریکا، با انتشار بیانیه‌ای نوشت که «متهمان می‌دانستند که هک کردن رایانه‌ها، مشکلات بسیاری را برای قربانیان بی‌گناه به همراه دارد».
بر اساس گزارش وزارت دادگستری آمریکا، “شاه‌ منصوری” و “شاهسوندی”، اولین بار بدافزار خود را در دسامبر ٢٠۱۵ به اجرا گذاشتند و بعد در ژوئن و اکتبر ٢٠۱٧ نسخه‌های پیشترفته‌تری از این بدافزار را اجرا کردند.

به عنوان نمونه، بر اثر حملات این دو ایرانی، سیستم‌های انفورماتیک شهر “آتلانتا” که دارای نیم میلیون جمعیت است، در ماه مارس گذشته به مدت ۶ روز از کار افتاده بود و بسیاری از مردم این شهر نتوانسته بودند که پرداخت‌های اینترنتی خود را انجام دهند.

برای شناسایی این دو هکر، “اف بی آی”، “آژانس جرایم ملی، پلیس یورکشایر غربی” در انگلیس همراه با “سرویس پلیس کالگاری” و “پلیس سلطنتی کانادا”، با یکدیگر همکاری امنیتی کرده‌اند.

دویچه‌وله: بدافزار شامون پس از چهار سال بار دیگر به صحنه بازگشته است. این بدافزار که به اعتقاد پنتاگون ساخته ایران است، شبکه گسترده‌ای از کامپیوترها در سازمان هوانوردی عربستان و دیگر کشورهای حوزه خلیج فارس را هدف قرار می‌دهد.

بدافزار شامون پس از چهار سال بار دیگر به صحنه بازگشته است. این بدافزار که به اعتقاد پنتاگون ساخته ایران است، شبکه گسترده‌ای از کامپیوترها در سازمان هوانوردی عربستان و دیگر کشورهای حوزه خلیج فارس را هدف قرار می‌دهد.

در دنیای امنیت، بدافزار «شامون» به عنوان ابزاری شناخته می‌شود که کامپیوترها را به سیستمی بی‌حافظه و بی‌استفاده تبدیل می‌کند. نزدیک به دو هفته پیش برخی کمپانی‌های امنیتی هشدار دادند که این بدافزار بازگشتی نگران‌کننده به صحنه داشته و دوباره هزاران کامپیوتر سازمان هوانوردی عربستان سعودی و دیگر نهادهای دولتی در این کشور را هدف حملات سهمگین خود قرار داده است.

خبرگزاری بلومبرگ به نقل از مقام‌های وزارت دفاع آمریکا می‌گوید منشا این بدافزار ایران است و طراحان آن تحت حمایت دولت ایران بوده‌اند. سرویس امنیت دفاعی (DDS) در آمریکا که نهاد زیرمجموعه پنتاگون است، به پیمانکاران خود درباره ظهور دوباره این جاسوس‌افزار مخرب هشدار داده است.

شامون (Shamoon)‌ پس از ورود به سیستم‌ها و شبکه‌های قربانی، اطلاعات حساس را در فرآیندی که هنوز ناشناخته مانده می‌رباید و سپس همه اطلاعات موجود را به‌گونه‌ای غیرقابل‌بازگشت پاک می‌کند. پنتاگون در اطلاعیه هشداری که صادر کرده، از پیمانکارهای خود خواسته مکانیسم‌های دفاعی لازم را برای مصون نگه داشتن زیرساخت سیستم‌های اطلاعاتی خود در برابر این حملات ویرانگر طراحی کنند.

بیشتر بخوانید: مهارت‌های رو به گسترش هکرهای ایران و نگرانی‌های جهانی

از آنجایی که سرورهای سازمان هوانوردی عربستان اطلاعات حساس فرودگاه‌های این کشور را در اختیار دارند و پردازش عملیاتی انجام می‌دهند، این حملات اختلالات جدی در سامانه‌های آنها ایجاد کرده است. تحقیقات درباره دور جدید حملات شامون هنوز ادامه دارد و به نتایج قطعی نرسیده، اما شواهد اولیه موید نقش‌آفرینی ایران در پس این حملات است.

مقام‌های ایرانی تا کنون درخواست‌های مکرر بلومبرگ و دیگر خبرگزاری‌ها برای پاسخ‌گویی پیرامون «شامون» را نپذیرفته‌اند و واکنشی رسمی به انتشار این خبرها نشان نداده‌اند.

پیشینه این حملات به سال ۲۰۱۲ برمی‌گردد که گروهی از هکرهای ایرانی موسوم به «شمشیر عدالت» با بهره‌گیری از بدافزار شامون بزرگ‌ترین کمپانی نفتی دولت عربستان، آرامکو را هدف قرار دادند و بسیاری از پردازش‌های عملیاتی آنها را فلج کردند.

بیشتر بخوانید: استاکس‌نت؛ نگاهی به بمباران مجازی تاسیسات هسته‌ای ایران

آرامکو در پی این حملات مجبور شد همه شبکه‌اش را آفلاین کند. این یعنی قطع دسترسی به همه تلفن‌ها و ایمیل‌های موجود در این شبکه و گذشته از این، هکرهای ایرانی همه فایل‌ها و ایمیل‌های حساس را هم با تصویری از پرچم سوخته آمریکا جای‌گزین کردند.

به گزارش کمپانی امنیتی سیمنتک، نسخه جدید شامون البته تغییراتی نسبت به نسخه پیشین دارد: حالا این نرم‌افزار تصویری از آلان کردی را نمایش می‌دهد: کودک سه ساله سوری که در دریای مدیترانه غرق شد و انتشار عکس جسدش در کنار ساحل از تکان‌دهنده‌ترین و بحث‌انگیزترین رویدادهای سال بود.

ایران و عربستان در سال‌های گذشته به موازات جنگ نیابتی در منطقه پرتنش خاورمیانه، مشغول نبرد سایبری هم بوده‌اند. پیشینه حملات دو طرف نشان می‌دهد که اگرچه جاسوسی سایبری در اولویت دو کشور است، تهران و ریاض از وارد کردن ضربات کاری به شبکه‌های حساس یکدیگر هم ابایی ندارند.

رادیوفردا: محققان امنیتی روز دوشنبه اعلام کردند نرم افزار اینترنتی بسیار پیچیده‌ای را کشف کرده‌اند که از حدود شش سال قبل برای سرقت اطلاعات از دولت‌ها، ‌بازرگانان و سایرین مورد استفاده قرار گرفته است.

به گزارش خبرگزاری فرانسه، این بدافزار که «رِجین» نام گرفته، به طور سیستماتیک مشغول جاسوسی درباره زیرساخت‌های مخابراتی دولت‌ها، ‌ بازرگانان، ‌محققان و برخی از اشخاص بوده است.

‌کشورهایی از جمله ایران، روسیه، عربستان سُعودی، ایرلند و اتریش نیز هدف این بدافزار قرار گرفته‌اند.

خودنویس: اسنودن باز هم افشاگری کرد. او می‌گوید آژانس امنیت ملی ایالات متحده آمریکا ۵۰ هزار کامپیوتر را در جهان هک و آن ها را به بدافزار آلوده کرده است.

در آخرین ادعای [1] ادوارد اسنودن، کارمند پیمانی آژانس امنیت ملی آمریکا که پس از افشاگری‌ها به طور موقت به روسیه پناهنده شده است نقشه‌ای منتشر شده که نقشه عملیات NSA به شمار می‌رود.

این نقشه نشان می‌دهد که آژانس امنیت ملی آلودگی‌های کامپیوتری را چگونه در سطح جهان پراکنده است. تیم هکری جدا از عملیات پراکنده در جهان، در این حملات جاسوسی‌های پیشرفته‌ای در شرکت مخابرات بلژیک انجام داده است. این عملیات CNE ‌نام دارد و شامل جاگذاری سلول دارای امکان تخریب است به طوری که با فشردن تنها یک دکمه فعال می‌شود.

هک، در سازمان امنیت ملی آمریکا روشی ارزان قیمت برای دستیابی به اطلاعاتی محسوب می‌شود که در حالت‌های دیگر به سختی قابل دسترس است. برای مثال در برزیل و ونزوئلا طی پروژه CNE اطلاعات بسیاری به دست آمده است.