بلومبرگ :محققان می
گویند که رخنه اطلاعاتی نشان می دهد ایرانیان از برنامه چت برای جاسوسی استفاده می
کنند
به قلم رایان
گالاگر Ryan Gallagher
باب
دیاچنکو Bob Diachenko، یک محقق امنیتی در اوکراین ، بخشی از
روزهای خود را صرف جستجوی اینترنت برای گنجینهای از دادهها که به طور مناسبی امن
نیستند، میکند تا آنها را رفع و رجوع کند ، طوری که مورد سوءاستفاده هکرها قرار
نگیرند.
ماه گذشته، او
با یک سرور نا امن حاوی اطلاعات 42 میلیون حساب پیام رسانی ذخیره شده که تقریباً
همگی از ایران و مرتبط با برنامه چت تلگرام هستند، مواجه شد.
در آن
موقع هیچ سرنخی از اینکه چه کسی داده را بدست آورده و آن را روی سرور قرار داده،
وجود نداشت. فقط یک صفحه وب هدف landing page ، تماما سیاه، با آرم یک عقاب سفید و یک پیام به زبان فارسی وجود
داشت، که میگفت: "به سیستم شکار خوش آمدید ."
دیاچنکو
گفت که وی به یک آژانس امنیت سایبری ایران اطلاع داد، و پس از آن خیلی زود سرور
حذف شد.
اما
قبل از ناپدید شدن سرور، کارآگاهان سایبری دیگر تحقیقات خود را آغاز کردند.
سرانجام، این امر آنها را به سمت یک گروه هکری با اسم مستعار مشکوک - بچه گربه
جذاب Charming Kitten - و یک نتیجه گیری
حیرت آور سوق داد: دیاچنکو درگیر یک عملیات جاسوسی دولت ایران شده بود.
امیر
رشیدی، یک محقق امنیت اینترنتی و حقوق دیجیتال ایرانی، مستقر در نیویورک گفت:
"بیش از 10 سال است که من حملات سایبری و نظارتی ایران را زیر نظر گرفته ام و
هرگز چیزی شبیه این ندیده ام."، "آنها می توانند از این استفاده
کنند و به دنبال بستگانم، دوستانم، خانواده ام بروند ".
گنجینه
داده ها، که بخش هایی از آن توسط اخبار بلومبرگ مورد بررسی قرار گرفت، حاوی
نام های کاربری، شماره تلفن ها، زندگینامه کاربر و کدهای منحصر به فرد - یا
"هشها" ی مرتبط با حساب های ذخیره شده در سرور، هستند.
هنوز
مشخص نیست که آیا داده ها بیشتر از طرف کاربران تلگرام بوده است یا از طرف کاربران
نسخه های غیررسمی این برنامه که پس از ممنوع شدن تلگرام در سال 2018 در ایران رواج
پیدا کرده است. برخی از برنامه های غیر رسمی، که از همان کد منبع تلگرام استفاده
می کنند، قبلا مرتبط با دولت ایران بودهاند.
دیاچنگو گفت،
در هر دو صورت، این داده ها می توانند برای شبیهسازی حسابهای افراد و جاسوسی در
ارتباطات خصوصی، شناسایی افرادی که از تلگرام به صورت ناشناس استفاده می کنند، یا
ارسال تبلیغات یا اطلاعات گمراه کننده برای هدف گرفتن گروه های خاص، استفاده شوند.
رشیدی
گفت که ایران قبلاً به این شناخته شده بود که به طور انتخابی حساب های خاص افراد
را هدف قرار میداد و هک می کرد. وی گفت که اما سیستم شکار نشان می دهد که مقامات ایرانی از تکنیک
های جدید و تهاجمی تر برای جمع آوری و تجزیه و تحلیل اطلاعات یافت شده بسیار زیاد
درباره شهروندان خود استفاده می کنند.
رشیدی
گفت: "این اولین بار است که من شواهدی دیدم که آنها در حال تلاش برای تجزیه و
تحلیل داده ها در مقیاس انبوه هستند".
تلگرام
در یک بیانیه الکترونیکی گفت که معتقد است که منشا این داده ها نسخه های غیر رسمی
برنامه آن است که در ایران استفاده می شوند، که به گفته وی می تواند به صورت
پنهانی اطلاعات مربوط به کاربران تلگرام را از طریق تلفن های افراد جمع آوری کند.
مارکوس را Ra ، یک سخنگوی تلگرام گفت: "نمونه داده هایی که ما قادر به
مطالعه آنها بودیم، به روشنی نشان می دهد که داده ها با استفاده از برنامه های شخص
ثالث جمع آوری داده ها، از کاربران آنها جمع آوری شده اند".
Ra گفت: «اگر یکی از دوستان شما که شماره شما را دارد از یک
برنامه مخرب استفاده کرده باشد، شماره و نام کاربری شما می تواند در پایگاه داده
قرار بگیرد" مانند سیستم شکار، حتی اگر خودتان از آن برنامه مخرب استفاده
نکرده باشید.»
بر
اساس یک بررسی از مقایسه حسابهای روی سرور و در تلگرام، حداقل برخی از حسابهای
کاربری موجود در گنجینه دادهها، با کاربران فعال برنامه رسمی تلگرام در ارتباط
هستند. ترتیب اطلاعات و کاراکترها در زمان Timestamps نشان می دهد که به برخی از پرونده های کاربران Telegram اخیرا در مارس 2020 دسترسی پیدا کرده اند.
پلیس
سایبری ایران به درخواست های اظهار نظر پاسخ نداد. امیر ناظمی ، معاون وزیر در
وزارت ارتباطات و فناوری اطلاعات ایران، گفت که وی شکایتی را در مورد رخته
اطلاعاتی به دفتر دادستان کل ایران ارائه داده است. وی از اظهارنظر درباره اینکه
پلیس سایبر یا سایر آژانسهای دولتی در سیستم شکار شرکت داشتهاند، خودداری کرد.
کشف
دیاچنکو از سرور در یک مجله تجاری کامپیوتر گزارش شد. چندین محقق امنیتی ایرانی به
تحقیق در مورد داده ها ادامه دادند.
یکی از آنها،
محمد جورجندی ، که در ایالات متحده زندگی و کار می کند، گفت که وی کشف کرد که سرور
ذخیره کننده داده های کاربر توسط شخصی به نام منوچهر هاشملو در یک دفتر در شمال
غربی تهران ثبت شده است.
با
استفاده از سوابق آنلاین مشاهده شده توسط بلومبرگ نیوز، جورجندی تشخیص داد که
هاشملو از همان آدرس جیمیلی استفاده می کند که توسط یک هکر شناخته شده وابسته به
دولت ایران استفاده شده است. این هکر که از اسم کاربری ArYaIeIrANاستفاده میکند، با یک گروه هکری موسوم به بچه گربه جذاب Charming Kitten که گفته شده تحت حمایت دولت ایران است و سابقه هدف قرار دادن
مخالفان، دانشگاهیان، روزنامه نگاران و فعالان حقوق بشر را دارد، در ارتباط بوده
است.
جورجندی
نتیجه گیری کرد افرادی که سرور سیستم شکار را تنظیم کرده بودند، احتمالاً برای
دولت ایران کار می کردند.
شرکت
امنیتی ClearSky همچنین پیشتر چندین عملیات هکری را که
توسط ArYaIeIrAN انجام شده، نام مستعار مرتبط با هاشملو، کشف
کرده است و یک گزارش مربوط به سال 2017 به آدرس جیمیل هکر اشاره کرده و آن را با
عملیات انجام شده توسط Charming Kitten مرتبط کرده است.
هاشملو
به یک درخواست ایمیلی برای اظهار نظر پاسخ نداد.
یک
محقق امنیتی دیگر ایرانی گفت: هاشملو در ایران "شخصیت شناخته شده ای در جامعه
امنیتی و هکری" بود که "نام وی در بسیاری از عملیات های سایبری دولت
ایران بود". این محقق که در ایران زندگی می کند و به دلیل نگرانی های امنیتی
خواسته ناشناس بماند، گفت: سیستم شکار احتمالاً یک ورودی برای آژانس سایبری پلیس
ایران است که در سال 2011 بخشی از آن برای هدف قرار دادن گروه های دگراندیش و
منتقدان دولت ایجاد شده است.
سوء
استفاده های هکرهای Charming Kitten چندین سال توسط محققان
مستند شده است.
ClearSky در گزارش سال 2017
خودش، مستند کرد که Charming Kitten ، وب سایتهای خبری
جعلی - از جمله یکی از آنها به نام britishnews.com - ایجاد کرده اند و سعی کرده اند رایانه های روزنامه نگاران،
فعالان حقوق بشر و محققان مستقر در اروپا و خاورمیانه را هک کنند.
سال
گذشته ، ClearSky گفت که همان گروه هکرها سعی کرده اند به
حساب های ایمیل مقامات فعلی و سابق ایالات متحده، افراد درگیر با انتخابات فعلی
ریاست جمهوری ایالات متحده، روزنامه نگارانی که سیاست های جهانی را پوشش میدهند و
ایرانی های سرشناس ساکن خارج از ایران، وارد شوند.
اوهاد
زیدنبرگ Ohad Zaidenberg ، رهبر محقق هوش
سایبری شرکت ، گفت: "ما شواهد محکمی داریم که معتقدند Charming Kitten یک گروه هکری مورد حمایت دولت در ایران است".
زیدنبرگ
گفت که او ارزیابی نکرده است که چه کسی در پشت سیستم شکار است. اما او گفت، در
گذشته، گروه Charming Kitten ، کاربران تلگرام را
هدف قرار داده بود. وی گفت که این گروه قبلاً یک وب سایت مخرب راه اندازی کرده بود
که به گونه ای طراحی شده بود که مانند صفحه ورود login page به تلگرام به نظر برسد.
سالهاست
که ایرانیان از تلگرام به عنوان ابزاری برای برقراری ارتباط رمزگذاری شده برای
حفاظت از پیام های خصوصی استفاده می کنند. این برنامه همچنین به کاربران این امکان را می دهد تا به
گروههایی بپیوندند که در آنجا می توانند از اخبار خبری سانسور شده توسط رسانه های
دولتی در کشور مطلع شوند.
به
گفته رشیدی، پس از ممنوعیت تلگرام، برخی از ایرانیان با استفاده از نرم افزارهایی
مانند شبکه های مجازی خصوصی ، از آن اجتناب می کنند و به آنها اجازه میداد ممنوعیت
کشور در وب سایت تلگرام را دور بزنند.
دیگران
شروع به بارگیری نسخه های غیررسمی تلگرام به نام های تلگرام طلایی و هاتگرام Hotgram و Telegram Gold کردند که به همان کد
زیرین برنامه رسمی تکیه دارند اما توسط تلگرام اداره نمی شوند.
کارشناسان
امنیتی گمان می کنند که برنامه های غیر رسمی ممکن است توسط دولت ایران به عنوان
ابزاری برای نظارت بر شهروندان کشور ایجاد شده باشد.
در ماه
مه سال 2019 ، نصرالله پژمانفر ، عضو پارلمان ایران، این سوء ظن ها را تأیید کرد و
اظهار داشت که تلگرام طلایی و هاتگرام توسط وزارتخانه های اطلاعات و ارتباطات
ایران حمایت می شوند، که به گفته وی حدود 90 میلیون دلار برای ایجاد آنها هزینه
شده است.
مهسا
علیمردانی، محقق متخصص در باره ایران در انستیتوی اینترنت آکسفورد گفت:
"بدیهی است که آنها به مقامات ایران وصل شده اند." "آنها محتوا بر
روی سیستم عامل ها را سانسور میکردند و به دنبال متمرکز کردن کنترل بر کاربران
بودند".
نه
تلگرام طلایی نه هاتگرام به ایمیلی که بدنبال اظهار نظر آنها بود، پاسخ ندادند.
تلگرام
به ایرانیان نسبت به استفاده از برنامه های غیر رسمی هشدار داده است. سال گذشته،
آنها به دلیل نگرانی های امنیتی از فروشگاه Google Play حذف شدند.
Ra ، سخنگوی تلگرام گفت:
"متأسفانه، علیرغم هشدارهای ما، مردم ایران هنوز از برنامه های تایید نشده
استفاده می کنند." "برنامه هایی مانند Hotgram یا Telegram Gold به احتمال زیاد به این
متصل می شوند".
#سال_سرنگونی #ایران #کروناویروس #قیام_تا_پیروزی #coronavirus
اعتصاب واعتراض #شورش #زندانیان ، تظاهرات# سرنگونی #COVID2019 # اتحادوهمبستگی - مرگ_بر_دیکتاتور #مجاهدین خلق ایران
