با حداقل ۷۴ قربانی در سراسر جهان: فعال شدن بدافزار ارتقا یافته هکرهای حکومتی بعد از حدود یک سال

تحقیقات کمپین حقوق بشر در ایران نشان می‌دهد بدافزاری که هکرهای حکومتی ایران از آن برای حمله به مدیران وب‌سایت مجذوبان‌نور، پایگاه خبری دراویش گنابادی استفاده می‌کردند،‌ بار دیگر با تغییراتی در روش‌های فنی خود، به سرقت اطلاعات ده‌ها تن از کاربران از جمله برخی خبرنگاران اقدام کرده‌اند.

مورد جدید سرقت‌ اطلاعات این کاربران در طی هفته‌ گذشته رخ داده است.

بر اساس تحقیقات کمپین این بدافزار در دور جدید فعالیت خود تا کنون دست کم ۲۷ را شامل یکی از خبرنگاران بخش آذری صدای آمریکا و اعضای سازمان مرتبط با اقلیت‌های قومی را  در ایران، اروپا، ترکیه و آمریکا هدف گرفته است. پیش از این، این بدافزار بیش از ۴۷ نفر دیگر در عمدتا در اروپا و استرالیا را هدف قرار داده بود. به این ترتیب تا کنون دست کم ۷۴ نفر در داخل و خارج از ایران مورد حمله این بدافزار قرار گرفته‌اند. با وجود این شواهدی مبنی بر وجود قربانیان بیشتر دیده می‌شود.

در اسفند ۱۳۹۶ کمپین برای نخستین بار به نمونه‌ای از این بدافزار دست پیدا کرد که از آن برای حمله سایبری به مدیران پایگاه خبری مجذوبان‌نور استفاده شده بود. همچنین تحقیقات کمپین نشان می‌دهد که طی یک سال گذشته از همین بدافزار برای حمله به  فعالین حقوق زنان و جنبش دانشجویی در تهران، تلویزیون اینترنتی دُر(وابسته به شاخه‌ای از دراویش گنابادی) و برخی از افراد مرتبط به این تلویزیون اینترنتی در فرانسه، اعضای گروهی به نام «حزب دمکرات آذربایجان جنوبی» در سوئد و گروه رسانه‌ای حیدر بابا نیز استفاده شده بود.

کمپین مطلع شده است که طی هفته‌های گذشته نیز وب‌سایت مجذوبان‌نور تحت حمله‌های شدیدی از نوع محروم‌سازی از سرویس(DDoS) قرار داشت که مشخص نیست آیا این حمله‌ها ارتباطی با دور جدید فعالین این بدافزار دارد یا خیر؟ این حمله‌ها باعث شد که این وب‌سایت برای ساعاتی در روز‌های ۱۵ تا ۱۷ اردیبهشت ۱۳۹۸ از دسترس خارج شود.

تاریخچه بدافزار

دراویش گنابادی روز سی‌ام بهمن ۹۶ در اعتراض به محاصره خانه رهبرشان در خیابان گلستان هفتم واقع در محله پاسداران تهران تجمع کردند، که این تجمع با دخالت نیروی انتظامی و ماموران لباس شخصی به آشوب کشیده شد. سردار سعید منتظر المهدی، سخنگوی نیروی انتظامی تهران روز اول اسفند گفت در این تجمع ۳۰۰ نفر بازداشت شدند و سه مامور پلیس و دو بسیجی نیز جان خود را از دست دادند.

پس از این تجمع و درگیری در ۹ اسفند ماه ۱۳۹۶ ایمیلی مشکوک به یکی از مدیران وب‌سایت مجذوبان‌نور ارسال شد و فرستنده در آن ادعا کرد ویدیوی چهار ساعتی از درگیری بین در خیابان گلستان هفتم در تهران دارد و با هدف «روشن شدن حقیقت» از مدیران این وب‌سایت خواست آن را منتشر کنند.

فایل ارسالی یک فایل فشرده شده و با فرمت ZIP بود که در صورت اجرا فایلی با همان نام ولی با فرمت اجرایی SCR. را بر روی کامپیوتر قربانی نصب و اجرا می‌کند و این فایل نیز سه فایل دیگر شامل یک فایل VBScript، NFS و یک فایل ویدیو را بر روی کامپیوتر قربانی کپی می‌کند.

این بدافزار می‌تواند موارد زیر را انجام دهد:

• تهیه فهرستی از فایل‌های موجود در کامپیوتر قربانی
• تهیه تصاویری از صفحه نمایش کاربر در فاصله زمانی‌های مشخص
• ذخیره کلید‌هایی که کاربر بر روی صفحه کلید فشار می‌دهد
• فراهم کردن دسترسی از راه دور به کامپیوتر کاربر

تحقیقات کمپین نشان می‌دهد که طراح‌های این بدافزار اقدام به ثبت دامنه‌‌ای به نام اپلیکیشن پیام‌رسان تلگرام کردند به طوری بتوانند از آن برای طراحی حمله‌هایی از نوع فیشینگ به قربانیان خود استفاده کنند. هنوز مشخص نیست که آیا از این دامنه برای این نوع حمله‌ها استفاده شده است یا خیر.

بر اساس اسناد و شواهدی که کمپین یافته است، پایگاه این هکرها باید در شهر ارومیه در استان آذربایجان غربی باشد.

بر اساس یافته‌های کمپین به نظر می‌رسد که طول عمر این بدافزار بیشتر از یک سال باشد چرا که کمپین یه اسنادی دست یافته است که نشان می‌دهد از نسخه دیگری از این بدافزار برای حمله‌های با موضوع‌های مرتبط با تجمعات ۹ دی سال ۸۸ استفاده شده است. تاریخ نه دی ماه از این جهت در تاریخ فعالیت‌های سیاسی و مدنی ایران دارای اهمیت است که پس از اعتراض‌های مردمی به نتایج انتخابات ریاست جمهوری سال ۱۳۸۸ شورای هماهنگی تبلیغات اسلامی به ریاست احمد جنتی فراخوان تظاهراتی حکومتی در حمایت از نتیجه انتخابات و سرکوب معترضین و همچنین در واکنش به تظاهرات هواداران جنبش سبز در تاسوعا و عاشورای ۱۳۸۸،  داد که در تاریخ ۹ دی ۱۳۸۸ این تظاهرات انجام شد.

تغییرات در بدافزار

براساس یافته‌های کمپین این بدافزار در دور جدید فعالیت‌های خود که به نظر می‌رسد از تیر ماه ۱۳۹۷ شروع شده است، تغییراتی در روش ارتباط با سازندگان خود داده است. با وجود آنکه هسته اصلی بدافزار همچنان تغییری نکرده است، اما سازنده‌های این بدافزار اقدام به رمزگذاری تمام اطلاعاتی کردند که از کامپیوترهای قربانیان به دست می‌آورند. این رمزگذاری از نوع AES-256 است که توسط pyAesCrypt 0.4.3 انجام شده است.

یافته‌های کمپین نشان می‌دهد که این هکر‌ها سرور خود را از شهری در یکی از کشورهای عربی حاشیه خلیج فارس به محل دیگری منتقل کردند و به دلیل تمدید نکردن دامنه‌ای که مرتبط با اپلیکیشن تلگرام آن را ثبت کرده بودند تا برای حمله‌های از نوع فیشینگ برای هدف قرار دادن حساب‌های تلگرام قربانیان استفاده کنند، این دامنه در حال حاضر در دسترس آنها نیست. این دامنه به نام telegramdesktop.com از طریق شرکتی ایرانی به نام irPowerWeb در تاریخ ۲۶ مهر ۱۳۹۶ ثبت شده بود و در تاریخ ۲۶ مهر ۱۳۹۷ منقضی شده و به نظر می‌رسد بعد از آن دیگر تمدید نشده است.

برخی اطلاعات فنی فایل‌های که بدافزار بر روی کامپیوتر قربانی کپی می‌کند:

Video-record-20180220-convertmp4.zip (MD5: b4184045a355bb2ca7405bd5bbb12626)
Video-record-20180220-convertmp4.scr (MD5: d41d8cd98f00b204e9800998ecf8427e)
Myvideo.mp4 (MD5: bb7c52a141e2ea1d3a7d276c8e57f3cc)
۶۶۲fsnnsf.nfs (MD5: 8c2ba49841dd2cd9e3f08cdae2e2cda0)