هکرهای تحت حمایت حکومت ایران که سیاستمداران آمریکایی را در آستانه انتخابات ریاستجمهوری ۲۰۲۰ هدف قرار داده بودند، هنوز به طور فعال به دنبال نفوذ و جاسوسی از اهداف دولتیاند. گروه «تجزیه و تحلیل تهدیدهای گوگل» (TAG) در گزارشی اعلام کرده است، گروه ایرانی «ایپیتی ۳۵» که برای سالها در راستای منافع حکومت جمهوری اسلامی به نفوذ و هک کردن حسابهای مهم مشغول بوده است، نهتنها هنوز به فعالیت مشغول است بلکه ترفندهایی را توسعه داده است که در شناسایی ابزارهای امنیتی و رد شدن از این ابزارها به آنان کمک میکند.
گروه هکری «ایپیتی ۳۵» که از سمت حکومت ایران حمایت میشود، در جاسوسی از روزنامهنگاران، دانشگاهها و کارمندان دولتها تخصص دارد. این گروه در سال ۲۰۱۳ آغاز به کار کرد، اما هفت سال بعد هنگامی که اقدام به سرقت دادههای اعضای ستاد انتخاباتی ترامپ کرده بودند، خبرساز شدند.
«واحدهای جرایم دیجیتال و شناسایی تهدید اطلاعات مایکروسافت»، در سال ۲۰۱۹ اعلام کرد که از سال ۲۰۱۳ فعالیتهای این گروه ایرانی را که با نام «فسفر» و «بچه گربه جذاب» نیز شناخته میشود، زیر نظر داشته است؛ این گروه در تلاش بودند تا با دسترسی به سیستمهای رایانهای مشاغل و سازمانهای دولتی، دادههای حساس آنها را سرقت کند.
بنا بر گزارش وبسایت «فارینپالیسی» این گروه هکر ایرانی احتمالا با «مونیکا ویت»، افسر پیشین نیروی هوایی آمریکا که در سال ۲۰۱۳ به ایران گریخته بود، در ارتباط بوده است.
عمده فعالیت این گروه هکری بر پایه فیشینگ و مهندسی اجتماعی است که از طریق ارسال لینک یا ایمیل با نام اشخاص شناختهشده، طرف مقابل را ترغیب به کلیک روی لینک مورد نظر میکند و سپس از طریق بدافزار تعبیه شده در لینک، دادههای او را به سرقت میبرد. روشهای فیشینگ و ایجاد سایتهای جعلی این گروه هکری پیچیدهتر از پیش شده است و تشخیص آنها بسیار دشوار است. این گروه برای قانونی به نظر رسیدن و متقاعد کردن کاربران، گزینه احراز هویت دو عاملی را هم به سایتهای خود اضافه کردهاند تا هم کاربران را متقاعد سازند و هم از این طریق به دادههای بیشتری از اشخاص دست یابند.
Read More
This section contains relevant reference points, placed in (Inner related node field)
براساس گزارش گروه تجزیه و تحلیل تهدیدهای گوگل، یکی از روشهای جدید هکرهای «ایپیتی ۳۵»، استفاده از API در سرویس تلگرام است. این قابلیت به هر کاربر اجازه میدهد از یک ربات تلگرام برای ارسال پیام به یک کانال عمومی استفاده کند و هکرهای ایرانی از طریق رباتها و اعلانهای خودکار، دادههای اولیه شخص مورد نظر را به دست میآوردند. API به صورت کلی یک میانافزار است که بین دو سرویس قرار میگیرد و این امکان را میدهد تا سرویسها با یکدیگر ارتباط برقرار کنند که هکرهای ایرانی از این امکان برای نفوذ به هدفهای خود بهره بردهاند و از این طریق توانستهاند شخص مورد نظر را شناسایی کنند و با سوق دادن هدف به سایت جعلی خود جزئیاتی مانند آیپی و موقعیت مکانی او را مشاهده کنند.
ترفند دیگری که هکرهای ایرانی از آن استفاده کردهاند، نرمافزارهای مخرب و جاسوسی است که در قالب ویپیان در فروشگاه گوگل پلی ارایه شدهاند. اگرچه این روش برخلاف حملات فیشینگ هدفمند نیست و عموم مردم را هدف قرار میدهد، با این حال از آنجا که استفاده از ویپیان برای فعالان شبکههای اجتماعی و مخالفان حکومت ضروری تلقی میشود، احتمالا این روش نیز تا حدی برای دستیابی هکرها به دادههای مخالفان حکومت و فعالان مدنی موفقیتآمیز بوده است.
این گروه هکری تحت حمایت جمهوری اسلامی در اوایل سال ۲۰۲۱ با حسابهایی با عنوان استاد و پژوهشگر دانشگاهی در بریتانیا با ارسال ایمیل افرادی را به یک کنفرانس آنلاین دعوت میکردند. در ایمیل ارسالیِ هکرها لینکی برای ثبت نام در یک سایت واقعی مرتبط با دانشگاه «سواز» لندن جاگذاری شده بود که هکرها قبلا به آن سایت نفوذ کرده بودند و از این طریق میتوانستند دادههای افرادی را سرقت کنند که در این سایت ثبت نام کردهاند. کارکنان ارشد اندیشکدههای مطالعاتی خاورمیانه، روزنامهنگاران حوزه خاورمیانه و استادان ارشد، اهداف اصلی این هکرها بودند.
خبرگزاری رویترز در بهمن ۱۳۹۸ در گزارشی از تلاش این گروه هکری برای نفوذ به حسابهای کاربری برخی روزنامهنگاران و محققان اشاره کرد که این اقدام از طریق جعل حسابهای کاربری به نام روزنامهنگاران شناختهشده صورت گرفته است. یک نمونه از فعالیتهای این گروه را میتوان در تلاش برای دسترسی به دادههای عرفان کسرایی، پژوهشگر فلسفه ساکن آلمان مشاهده کرد؛ این گروه هکری در ایمیل ارسالی خود به او، از نام یک روزنامهنگار والاستریت ژورنال بهره برده بود که خواستار مصاحبهای با عنوان «ایجاد انگیزه در میان جوانان کشور عزیزمان» بود. در این ایمیل فرد قربانی باید برای مشاهده سوالات نام کاربری و رمز عبور خود را در یکی از همین صفحات وارد میکرد که با هوشیاری این فرد در این حمله ناکام ماند.
آنچه در ماجرای هکرهای تحت حمایت حکومت جمهوری اسلامی جلب توجه میکند این است که حاکمیت ایران با ادعای «نفوذ» دشمن، دسترسی شهروندان به اینترنت آزاد را روزبهروز سختتر میکند؛ ولی فعالیتهای نفوذی خود را با برنامهریزی منسجم دنبال میکند. حاکمیتی که استفاده از اینترنت را برای مردم خود نامناسب میپندارد و آن را عامل فساد برمیشمرد، خود با به کار گیری نامشروع آن از هر اقدامی برای جاسوسی از شهروندان کشورهای دیگر بهره میبرد.
