محققان مؤسسه تحقیقات امنیت فضای سایبر، چک پوینت، گزارش جدیدی از فعالیتهای گروه «گربههای وحشی» منتشر کردهاند که نشان میدهد، این گروه شش سال است به مدیریت طرحی مشغول بوده که برای جاسوسی از قربانیان خود، از جمله دگراندیشان و گروههای مخالف حکومت جمهوری اسلامی در سراسر جهان برنامهریزی شده است. «بچهگربه وحشی» نام گروهی از برنامهریزان حملات پیشرفته فضای سایبر است که مورد حمایت دولت ایران قرار دارند.
این گروه با هدف قرار دادن دو نرمافزار اصلی، نسخه کامپیوتری تلگرام و برنامه «گاوصندوق رمز عبور»، با طعمه قرار دادن اسناد آلودهکننده، موفق به نفوذ به کامپیوتر افراد شده تا از طریق آنها به سرقت رمز عبور، کنترل حسابهای کاربری، ثبت اطلاعات موجود در حافظه موقت و گرفتن عکس از صحفه نمایش بپردازند.
آنها با استفاده از مکانیزم ثابتی که در رویه درونی بهروزرسانی تلگرام وجود دارد، موقعیت خود را در کامپیوتر قربانی حفظ و تقویت میکردند.
به گفته مدیر امنیت اطلاعات این شرکت، لوتم فینکلستین، «پس از انجام تحقیقات، خیلی چیزها دریافتیم. اول متوجه شدیم که توجه زیادی روی نظارت بر نرمافرارهای پیامرسانی وجود دارد. اگر چه محتویات تلگرام قابل رمزگشایی نیست، ولی خود برنامه قابل نفوذ است. نظارت بر سیستمهای پیامرسانی، به ویژه تلگرام، چیزی است که همه باید مراقب و متوجه آن باشند.»
وی ادامه داد: «دوم متوجه شدیم که اقدامات دامگستری روی موبایل، کامپیوتر و وب همگی به یک عملیات وابسته هستند. این نوع عملیات از روی منافع ملی و مرکز اطلاعات مدیریت و سازماندهی میشوند، نه چالشهای فناوری. ما به مطالعه خود ادامه میدهیم تا با بررسی سایر نواحی جغرافیایی بتوانیم اطلاعات امنیتی بیشتری در اختیار عموم قرار دهیم.»
به گفته چکپوینت، تعدادی از سایتهایی که به فعالیت «بچهگربه وحشی» وابسته هستند، حاوی صفحاتی هستند که تلگرام جعلی ارائه میدهند. بسیاری از کانالهای تلگرامی ایران کاربران خود را از وجود صفحات جعلی تلگرام آگاه کرده و رژیم را در این موضوع دخیل میدانند.
Read More
This section contains relevant reference points, placed in (Inner related node field)
دامی که از طریق صفحات جعلی تلگرام برای کاربران گسترده میشود این گونه است که به کاربر هشدار میدهد استفاده آنها از تلگرام ناصحیح است و اگر میخواهند حسابشان مسدود نشود، باید روی یک لینک (که حاوی کد نفوذ است) کلیک کنند.
در جریان این تحقیق، همچنین شواهدی دال بر ربط یک برنامه اندروئیدی به گروه «بچهگربه وحشی» نیز کشف شد. این برنامه خود را سرویسی جا میزند که برای کمک به فارسیزبانان ساکن سوئد برای گرفتن گواهینامه رانندگی طراحی شده است.
اما برنامه در عمل یک «در مخفی» دارد که اجازه میدهد نفوذگران در پشت صحنه پیامهای فوری را گرفته، کدهای یک بار مصرف را به تلفن خودشان ارسال، اطلاعات تماس و شماره تلفنها را استخراج کرده و فهرست برنامههای نصب شده و در حال اجرا را به دست آورند.
کشف اخیر چکپوینت در حالی صورت گرفته است که دادگستری آمریکا چند روز پیش دو ایرانی، به نامهای هومن حیدریان و مهدی فرهادی، را به خاطر ترتیب دادن حملات منظم به افرادی در آمریکا، اروپا و خاورمیانه به ۱۰ فقره اتهام متهم کرد. از جمله این افراد، فعالان حقوق بشر، رهبران گروههای اپوزیسیون (مخالف) و دگراندیشان بودهاند.
کریگ کارپنیتو، دادستان شعبه نیوجرسی در آمریکا، گفت: «این دو ایرانی به همکاری برای انجام حملات گسترده به کامپیوترهایی در نیوجرسی و سراسر جهان متهم هستند. آنها با گستاخی به سیستمهای کامپیوتری رسوخ کرده و اموال معنوی را مورد حمله قرار دادهاند و در موارد متعددی به تهدید دشمنان ضمنی ایران نظیر مخالفانی که برای حقوق بشر در ایران یا سایر نقاط جهان مبارزه میکنند، پرداختهاند.»
وی افزود: «این اقدامات، تهدیدی برای امنیت ملی ماست و در نتیجه افبیآی آنها را مورد پیگرد قرار داده و عدالت در مورد آنها باید اجرا شود.»
قربانیان این حملات، دانشگاهها، پژوهشکدهها، پیمانکاران ارتش، نهادهای وابسته به سیاست خارجه، سازمانهای غیرانتفاعی، و سایر مؤسسات و نهادهایی هستند که به عنوان «دشمن یا رقیب» رژیم ایرانی محسوب میشوند.
حملهکنندگان علاوه بر سرقت اطلاعات محرمانه، با تخریب پایگاههای اینترنتی، پیامهایی را به نمایش میگذاشتند که از نابودی دشمنان ایران و اپوزیسیون داخلی حکایت داشتند.
آنها برای دسترسی به سیستم قربانیان خود از روشهای مختلفی، از جمله تزریق اسکیوال (نوعی حمله وب) و استراق سمع استفاده میکردند. سپس با استفاده از ابزارهای ثبت صفحه کلید و نفوذ از راه دور به کامپیوتر کاربر دسترسی پیدا میکردند. آنها همچنین متهم به ساخت برنامه خودکار اینترنتی هستند که به انتشار بدافزار سهولت بخشیده و امکان حملات قطع دسترسی به سرویس را فراهم میکند.