IranCyberArmy

یک قرارگاه وابسته به سپاه پاسداران به صورت فعال برای حملات سایبری به استخدام نیرو در تهران می پردازد. 

هفتم اردیبهشت ۱۳۹۵—یافته های کمپین بین‌المللی حقوق بشر در ایران نشان می‌دهد بعد از فعالان مدنی و روزنامه نگاران که مدتهاست هدف حمالات سایبری سپاه پاسداران انقلاب اسلامی ایران قرار داشته اند، این نهاد حملات خود را اینک به مقامات دولت حسن روحانی، از جمله شخصیت‌های نزدیک به وی و اعضای کابینه‌اش گسترش داده است. دولت حسن روحانی تا به حال به صورت علنی از این حملات سپاه پاسداران انتقاد نکرده است.

در آخرین حمله، شهیندخت مولاوردی، معاون زنان و امور خانواده در دولت حسن روحانی، اول اردیبهشت با انتشار پست‌هایی در صفحات توییتر وتلگرام خود اعلام کرد که حساب‌های جی‌میل و فیس‌بوک او هک شده و از مخاطبانش خواست تا به پیام‌هایی که از طرف او منتشر می‌شود پاسخ ندهند.

هادی قائمی مدیرکمپین بین المللی حقوق بشر درایران دراین زمینه گفت: «نقض حریم خصوصی از طریق حملات سایبری که سالها توسط دستگاه‌های خودسر وابسته به نهادهای نظامی علیه روزنامه‌نگاران و فعالان مدنی به صورت گسترده و سازمان یافته انجام شده است، هم اکنون مقامات دولت حسن روحانی را هم هدف قرار داده است.» وی افزود: «با توجه به ابعاد گسترده چنین حملاتی، رئیس جمهوری و مقامات وزارت ارتباطات ایران باید نسبت به شناسایی و توقف این حملات اقدام جدی به عمل آورد و به نقض حقوق شهروندان در این حوزه خاتمه دهد.»

علاوه بر خانم مولاوردی، طی دو سال گذشته مقامات عالی رتبه دولت حسن روحانی، از جمله یک مشاور نزدیک به وی، یک وزیر کابینه، یک معاون وزیر امور خارجه، و سیدمحمدعلی ابطحی معاون سابق رئیس جمهوری در زمان محمدخاتمی، با حمله این هکرها مواجه بوده اند. برخی از این افراد کنترل حساب‌های خود را برای مدتی و یا کاملا از دست داده‌اند.

این حملات بخشی از یک تلاش مستمر دو ساله نیروهای موسوم به ارتش سایبری و گروه‌های امنیتی خارج از دولت است که فعالیت‌های اینترنتی مقامات  دولتی و شخصیت‌های اصلاح‌طلب، علاوه بر فعالان مدنی و روزنامه نگاران را هدف قرار داده اند تا پس از هک علاوه بر استفاده از اطلاعاتی که به دست می آورند، به صورت زنجیره‌ای افراد نزدیک به این شخصیت‌ها را نیز مورد هدف قرار دهند.

کمپین همچنین مطلع شده است که طی سال گذشته، یکی از قرارگاه‌های سپاه پاسداران، به صورت فعال در تماس با کارشناسان امنیت شبکه در ایران، از آنها برای همکاری در پروژه هایی که هدف اصلی آن  طراحی حمله‌های سایبری به روش‌های فیشینگ، بدافزار و تروجان سازی دعوت کرده است و حتی آنها را تهدید کرده است.

یک متخصص فن‌آوری اطلاعات که خود مورد دعوت به همکاری سپاه پاسداران قرار گرفته به کمپین گفت: “این قرارگاه برای استخدام این افراد، حقوق مکفی وعده داده است و در مواردی که این متخصصین از همکاری با این نهاد سرباز زده اند، با ارعاب این افراد، به آنها درخصوص عواقب همکاری نکردن با خود هشدار داده اند.”

در همه این موارد، پس از اینکه هکرها کنترل حساب‌های کاربرای شخصیت‌های سیاسی را به دست گرفته‌اند، به سرعت با افرادی که با آنها در تماس بوده اند، به خصوص سیاستمداران و روزنامه نگاران، حتی روزنامه‌نگاران غیرایرانی، تماس گرفته اند تا قبل از عمومی شدن خبر هک این حساب‌ها، بتوانند افراد دیگری را نیز به دام بیاندازند و در کمترین زمان بیشترین بهره را از هک افراد ببرند.

بررسی‌های کمپین همچنین نشان می‌دهد که ارتش سایبری ایران و نهاد‌های امنیتی از سه تکنیک عمده برای چنین حملاتی استفاده کرده است. این تکنیک‌ها رو‌ش‌های پیشرفته‌ای محسوب نمی‌شوند اما به دلیل عدم اشنایی کاربران با نکات اولیه حفظ امنیت حساب‌هایشان،‌ این حمله‌ها بسیار اثر بخش عمل می‌کنند.

عمده‌ترین روش و یکی از قدیمی‌ترین روش‌هایی که برای حمله به کاربران استفاده شده است، تکنیک‌های موسوم به مهندسی اجتماعی است. در این روش حمله کننده یا حمله‌کنندگان با ارسال یک صفحه مانند صفحه‌ی لاگین به حساب جی‌میل از کاربر خواسته اند تا برای دسترسی به فایلی که به ظاهر بر روی گوگل درایو برای آنها به اشتراک گذاشته شده،‌ رمز و نام حساب کاربری خود را وارد کنند. این حمله‌ها به حمله‌های فیشینگ معروف هستند. پس از وارد کردن نام کاربری و رمز، کاربرعملا کنترل حساب خود را در اختیار حمله کننده قرار می‌دهد.

کسانی که کنترل حساب فیس‌بوک خانم ملاوردی را در اختیار داشتند با ارسال ایمیل و یا پیام فیس‌بوکی از کاربران خواسته‌اند تا لینکی را باز کنند(عکس یک). که درواقع کاربران را به سمت صفحه‌ای که مانند صفحه‌ای ورود به حساب جی‌میل ساخته شده بود هدایت می‌کرد. برخی از کاربران پس از ارسال این پیام‌ها، به دلیل اطمینان به فرستنده و بی خبری از هک شدن حساب کاربری ایشان و البته ناآشنایی با چنین روش‌های حمله‌های سایبری، اطلاعات حساب کاربری خود را وارد کرده و بلافاصله کنترل حساب کاربری خود را از دست داده‌اند.

چندین تن از کسانی که پس از هک شدن حساب کاربری خانم مولاوردی حساب کاربری خود را برای ساعاتی از دست دادند به کمپین گفتند که به دلیل مطلع نبودن از هک شدن و بی دقتی، به گمان اینکه با  ایشان مکاتبه می کنند، پس از درخواست کدی که به تلفن آنها فرستاده شده از سوی اکانت هک شده، آن را واگذار کرده اند و حساب‌های تلگرام و فیس بوک خود را از دست دادند.»‌ (عکس ۲)

در روش دوم که در طول انتخابات مجلس دهم بسیار مورد استفاده قرار گرفت و در نتیجه آن ده‌ها خبرنگار و فعال سیاسی کنترل حساب‌های خود را از دست دادند،‌ حمله کننده با ارسال یک فایل پاور پوینت از کاربر می‌خواست تا اطلاعات مورد نیاز خود را از این فایل دریافت کند. به عنوان نمونه در زمانی که شورای نگهبان سرگرم بررسی صلاحیت‌های نامزد‌های انتخابات مجلس شورای اسلامی و مجلس خبرگان بود،‌ پس از رد صلاحیت حسن خمینی یک فایل پاورپوینت به تعداد زیادی از خبرنگاران ارسال شد که در عنوان ایمیل نوشته شده بود: «خبر فوری: واکنش حسن خمینی به رد صلاحیتش.» (عکس ۳)

با باز کردن این فایل پاورپوینت یک بدافزار بر روی دستگاه قربانی نصب می‌شود. این بدافزار اطلاعات کامپیوتر قربانی را برای سازندگانش ارسال می‌کند و تا زمانی که این بدافزار در کامپیوتر قربانی وجود دارد حتی با تغییر رمز حساب‌های کاربری نیز کنترل همچنان در دست حمله‌کننده‌ها باقی خواهد ماند.

در نسخه جدید این روش، فایل پاورپوینت که حاوی بدافزار است در یک فایل زیپ به صورت فشرده شده قرار گرفته بود. فعالان و روزنامه نگاران ایمیل هایی همراه با این فایل زیپ که ادعا میشد حاوی آخرین عکس های زندانی سیاسی بیمار، امید کوکبی است دریافت می کردند. بازکردن فایل پاورپوینت داخل زیپ فایل بدافزار را فعال می کرد. حملات هکرها غالبا در زمانهایی که اخبار ویژه ای منتشر میشوند بیشتر میشود تا هکرها بتوانند از این طریق از علاقه کاربران به موضوع ویژه برای گسترش بدافزار بهره بگیرند.

در برخی موارد در صورتی که افراد آنلاین نبوده اند، به آنها تلفن شده است و از آنها خواسته شده تا فایل مهمی که دریافت کرده اند را باز کنند. یا به آنها هشدار داده اند که ای میلشان هک شده و سریع پسورد خود را عوض کنند و یا در مورد کسانی که تایید هویت دومرحله حساب‌های خود را فعال کرده اند، به بهانه های مختلف از آنها خواسته اند کدی که برای تلفن آنها ارسال شده است را به صورت تلفنی به آنها بدهند.

یک روزنامه‌نگار که پس از هک شدن یکی از این مقامات هدف هکرها قرارگرفته بود به کمپین گفت: « در روی جی چت پیامی از اقای … دریافت کردم که درخواست می کرد فایلی را باز کنم و چون سالها بود که با او در تماس نبودم مشکوک شدم. وقتی روی آن کلیک کردم دیدم که یو.آر.ال تقلبی است و مطمئن شدم که ای میل او هک شده است. بعد از آن تلفنی با کد لندن دریافت کردم که فردی شکایت می کرد که چرا برای او ای میل های نامربوط می فرستم. او را اصلا نمی شناختم و متوجه نبودم درباره چه صحبت می کند. وقتی به جی میلم مراجعه کردم، دیدم که ای میلی از شرکت گوگل آمده است که می گوید افرادی می خواهند جی‌میلم را هک کنند. وقتی به آدرس ای میل نگاه کردم به جای google.com  متوجه شدم qooqle.com  است و آن هم تلاشی برای هک کردن اکانتم بود.»

در روش سوم که طی هفته‌های اخیر شاهد افزایش این نوع حمله‌های به کاربران ایرانی بودیم،‌ حمله کننده با ارسال درخواست تغییر پسورد به حساب‌های کاربری فیس‌بوک، جی میل و تلگرام باعث می‌شود تا کد مخصوص برای تغییر کلمه عبور کاربران به شماره تلفن آنها به صورت پیامک ارسال شود.

***

عکس یک: کسانی که کنترل حساب فیس‌بوک شهین‌دخت مولاوردی را در دست دارند از مخاطبان ایشان می‌خواهند تا لینک حمله فیشینگ را باز کنند.

عکس دوم: کسانی که کنترل حساب خانم مولاوردی را در دست داشتند از مخاطبان او درخواست کد ورود به اپلیکیشن تلگرام را کردند.

Screen-Shot-2016-04-20-at-4.00

عکس سوم: حمله با بدافزار به کاربران در طول مدت انتخابات مجلس دهم.

Hassan-Khomeini