حمله سایبری هکرهای حکومتی ایران به حساب خبرنگاران و فعالین اجتماعی
بر اساس یافتههای کمیپن حقوق بشر در ایران، هکرهای وابسته به دستگاههای امنیتی-قضایی ایران با هک کردن حساب فیسبوک یک فعال حقوق زنان در تهران در تاریخ ۱۵ آبانماه، اقدام به ارتباط گرفتن با خبرنگاران ایرانی ساکن آمریکا و اروپا از طریق این حساب هکشده کردند و تحت عنوان ارسال مقاله در مورد حقوق زنان، از آنها میخواستند تا فایلهای فشرده شده با فرمت ZIP را بازکنند که آلوده به بدافزارجاسوسی بوده است.
یافتههای کمپین پس از مصاحبه با افراد هدف قرار گرفته که هکرها با آنها تماس گرفتند نشان میدهد که حداقل سه خبرنگار تلویزیون ایران اینترنشنال در اروپا، یک خبرنگار دیگر این تلویزیون در امریکا، یک فعال مدنی ساکن اروپا و وکیل ایرانی حقوق بشر ساکن امریکا با استفاده از این بدافزار مورد حمله هکرهای حکومتی ایران قرار گرفتند. همچنین با بررسی فنی کمپین بر روی سرور استفاده شده توسط هکرها برای انتقال این بدافزار نشان میدهد که آنها این فایل را برای یک خبرنگار دیگر که خواست نامش فاش نشود و یک پزشک نیز ارسال کردهاند.
علاوه بر این بر اساس اطلاعاتی که کمپین به دست آورده است از تاریخ ۹ آبان تا ۱۳ آبان حداقل ده نفر از اعضای احزاب اصلاحطلب و فعالین سیاسی ساکن ایران با حملههای هکرها برای سرقت رمز ایمیل مواجه بودهاند. روش به کار رفته در این حملات سرقت کد تایید هویت دو مرحلهای بوده است که توسط پیامک ارسال میشود.
تحقیقات کمیپن نشان میدهد روش ارسال بدافزار عمدتا برای حمله به کاربران ایرانی خارج از ایران که دسترسی مستقیم به آنها وجود ندارد استفاده میشود و برای کاربران داخل ایران عمدتا از روش به سرقت بردن کد تایید هویت دو مرحلهای که توسط پیامک ارسال میشود. با توجه به کنترل سیستم مخابراتی توسط دستگاههای امنیتی، کاربرانی که برای حفاظت از ایمیل خود از روش دریافت پیامک استفاده میکنند، همواره در معرض سوء استفاده این نهادها از کنترل خود بر سیستم مخابرات ایران قرار دارند.
نیوشا صارمی خبرنگار ساکن آمریکا که یکی از افراد هدف قرار گرفته در این حمله سایبری بوده است به کمپین گفت: «چون قبلا هیچ مکالمهای با فرستنده این فایل نداشتم یک کم بودار بود و این که فایل [فرستاده شده] زیپ بود نه فایل ورد. بعد هم که گفتم متن را کپی کن، غیب شد و جوابی نداد. » صارمی اضافه کرد: «چون اخیرا خیلی هدف فیشینگ بودم، اساسا خیلی روی باز کردن فایل ها حساس بودم که خب بیجا هم نبود.»
بررسی فنی یک نمونه از این فایلها توسط کمپین نشان داد که با اجرای این فایل زیپ ارسال شده توسط هکرها، کنترل کامپیوتر قربانی در اختیار هکرها قرار میگرفت. این بدافزار که در طراحی از پیچیدگی کمی نسبت به بدافزارهای متداول در دنیا برخوردار است، تلاش میکند که با اجرای فایل اصلی در شاخهی Library کامپیوتر قربانی یک فولدر با نام content ایجاد کند و سپس دو فایل .sh و یک فایل ورد را از سروری عمومی بر روی دستگاه قربانی و فولدر content کپی کند.
هدف از این کار نصب کردن یک LaunchAgents در سیستم عامل مک است. LaunchAgents برنامههایی هستند که در زمان وارد شدن به کامپیوتر با سیستم عامل مک، به صورت خودکار اجرا خواهند شد.
در صورتی که حمله کننده بتواند این برنامهها را با با موفقیت دانلود و روی کامپیوتر قربانی نصب کند، کامپیوتر قربانی عملا به یک دستگاه جاسوسی تبدیل خواهد شد. هکر همچنین قادر خواهد بود تا از راه دور تمام محتوای کامپیوتر قربانی را کنترل کند و همه ارتباطات قربانی را کنترل و حتی با آن کار کند. حمله کننده قادر خواهد بود تا با استفاده از یک VNC Server که مخصوصا ارتباط از راه دور است، دسترسی کاملی به کامپیوتر قربانی داشته باشد. VNC ابزاری است که با استفاده از آن میشود از راه دور به یک کامپیوتر دسترسی داشت که معمولا توسط شرکتها و یا افراد فعال در زمینه تعمیر کامپیوتر از راه دور استفاده میشود.
یک کارشناس امنیت اینترنت به کمپین گفت :«به دلیل آنکه حملههایی که توسط هکرهای ایران صورت میگیرد معمولا از تکنیکهای پیشرفتهای استفاده نمیکنند نیاز به دخالت انسانی دارد. بنابراین بهترین راه حفظ امنیت همیشه مشکوک بودن است مخصوصا اگر حمله کننده به شما اصرار دارد که شما کاری را مطابق میل او انجام دهید.» این کارشناس امنیت اینترنت اضافه کرد: «در صورتی که آشنایی کامل با ارسال کننده ندارید، یا در انتظار دریافت فایلی از کسی نیستید، این فایلها را قبل از بررسی توسط یک کارشناس امنیت اینترنت باز نکنید و یا تلاش کنید از طرق دیگری با فرستنده و یا افراد نزدیک به او تماس بگیرید و مطمئن شوید ارسال کننده فایل شخصی است که ادعا میشود.»
حمله با استفاده از فریب کاربران برای اجرای بدافزارهای ساخته شده توسط هکرهای حکومتی ایران پیش از این نیز سابقه داشته است. پیش از این بدافزارهایی برای سیستمعامل اندروید، مک و ویندوز مورد استفاده هکرهای حکومتی قرار گرفته بود. تحقیقات کمپین نشان میدهد که این روش عموما برای حلمه به اهدافی استفاده میشود که دسترسی مستقیم به قربانیان وجود ندارد.
استفاده سازمانهای اطلاعاتی و امنیتی در ایران از حسابهای کاربران فعالسیاسی و روزنامهنگاران و نقض حریم خصوصیآنها برای به دام انداختن افراد دیگر، یکی از موضوعاتی است که کرارا تکرار شده است و به دلیل نزدیکی این نهادها به قوه قضاییه، عملا امکان شکایت قضایی از چنین اقداماتی وجود ندارد.