هکرهای مرتبط با سپاه نزدیکان روحانی را هدف می‌گرفته‌اند

بالکن مذاکرات حق نشر عکس iSNA
Image caption محمدجواد ظریف و حسین فریدون از اهداف حملات گروهی بوده‌اند که با سپاه مرتبط بوده، عباس عراقچی را گروه دیگری هدف گرفته

بی‌بی‌سی فارسی مستنداتی را دیده است که نشان می‌دهند هکرهایی از داخل ایران نزدیکان حسن روحانی، از جمله محمدجواد ظریف، وزیر امور خارجه را هدف قرار داده‌اند. بنا به مستندات موجود دست کم یکی از این گروه‌ها با سپاه پاسداران ارتباط داشته است.

بنیاد کارنگی برای صلح بین‌الملل گزارشی درباره حملات سایبری از داخل ایران منتشر کرده و بخشی از مستندات این گزارش پیش از انتشار عمومی آن در اختیار بی‌بی‌سی فارسی و روزنامه نیویورک‌تایمز قرار گرفته است.

بنا بر این مستندات محمدجواد ظریف، حسین فریدون، مجید تخت روانچی، عباس عراقچی، حسام‌الدین آشنا و چند تن دیگر از مقام‌ها و نزدیکان حسن روحانی جزو هدف‌های حمله هکرهایی از داخل ایران بوده‌اند. شهیندخت مولاوردی، معاون وقت رئیس جمهور در امور زنان و خانواده یکی از اهداف در میان مقام‌های دولتی بوده که هک موفق او در بهار سال ۱۳۹۵ و پاییز ۱۳۹۶ رسانه‌ای شده است.

هکرها پس از در اختیار گرفتن حساب‌های گوگل و فیسبوک خانم مولاوردی از آنها برای هک شماری از روزنامه‌نگاران و فعالان حقوق زنان استفاده کردند و به آشنایان خانم مولاوردی، که به لینک دریافتی از حساب او اطمینان داشتند، جاسوس‌افزاری برای دانلود فرستادند.

Image caption مکالمه هکرها با یک نفر از حساب شهیندخت مولاوردی

متخصصان امنیت سایبری غربی، گروه هکری را که در بهار ۱۳۹۵ به خانم مولاوردی حمله کردند به عنوان «بچه‌گربه موشکی» (Rocket Kitten) می‌شناسند.

بچه‌گربه موشکی گروهی است که تصور می‌شود پشت هک تلگرام و ربودن شماره‌ تلفن‌های ۱۵ میلیون کاربر ایرانی در سال ۱۳۹۵ بوده باشد.

این گروه علاوه بر حمله به خانم مولاوردی، محمدجواد ظریف، وزیر خارجه ایران و حسین فریدون، برادر حسن روحانی و رئیس دفتر پیشین او را نیز هدف گرفته و با فرستادن لینک‌هایی که به صفحات جعلی جی‌میل و گوگل‌درایو می‌رفتند، سعی در دزدیدن رمز عبور آنها داشته است.

Image caption صفحه ساختگی گوگل که به محمدجواد ظریف پیغام هشدار جعلی می‌دهد تا پس از وارد کردن مشخصات از طرف او رمزعبورش را بدزدد - این مورد مربوط به تلاش گروه هکری "بچه‌گربه پرنده" است نه "بچه‌گربه موشکی"
Image caption صفحه جعلی گوگل درایو که برای حسین فریدون فرستاده شد

فیشینگ (Phishing) چیست؟

در حمله فیشینگ هکر به دنبال فریب قربانی است تا با او را به سایت‌هایی جعلی، که مشابه سرویس‌های واقعی چون گوگل و فیسبوک و… طراحی شده‌اند، هدایت کند.

برای این کار وبسایت جعلی علاوه بر اینکه ظاهری مشابه سایت اصلی دارد، آدرسی مشابه نیز دارد که می‌تواند قربانی را به اشتباه بیندازد. (مثلا qooqle.com به جای google.com)

معمولا ایمیلی ساختگی از طرف یک سرویس برای قربانی فرستاده می‌شود. مثلا ایمیلی که به دروغ از طرف جیمیل به او می‌گوید باید برای افزایش امنیت، تنظیمات حسابش، مانند رمز عبور را تغییر بدهد.

اگر قربانی فریب بخورد و به آن لینک برود، سایت قلابی از او می‌خواهد که رمزش را وارد کند. در صورتی که قربانی این کار را بکند هکرها به رمز او دسترسی پیدا می‌کنند و می‌توانند کنترل حسابش را در دست بگیرند.


البته هک مقام‌های ایرانی می‌تواند از طرف نهادهای اطلاعاتی خارجی هم انجام شود.

چنان که پیش از این گزارش شده و ادوارد اسنودن، کارمند سابق آژانس امنیت ملی آمریکا نیز گفته است، آمریکا بدافزار استاکس‌نت را برای جاسوسی و همچنین ایجاد اختلال در تجهیزات هسته‌ای ایران طراحی و استفاده کرد.

همچنین از میان موارد عمده حمله سایبری علیه مقام‌های ایران که رسانه‌ای شده‌اند، می‌توان به تلاش برای نفوذ به شبکه هتل‌های محل برگزاری مذاکرات هسته‌ای اشاره کرد. این تلاش برای نفوذ به گفته شرکت‌های امنیت سایبری کاسپرسکی و سیمانتک احتمالا کار اسرائیل بود.

اما حملات ذکرشده به شهیندخت مولادوردی، محمدجواد ظریف و حسین فریدون از داخل ایران انجام شده‌اند. و مستنداتی وجود دارد که گروه بچه‌گربه موشکی، یعنی عامل این حملات را به سپاه پاسداران انقلاب اسلامی مرتبط می‌کند.

باقر نمازی، استاندار خوزستان در دوران حکومت پهلوی و از کارکنان پیشین یونیسف، در زمستان ۱۳۹۴ در حالی که به ایران رفته بود تا پیگیر وضعیت پسرش، سیامک نمازی، از مدیران کرسنت و زندانی در ایران باشد، بازداشت شد.

چند ساعت پس از بازداشت آقای نمازی، و در حالی که بسیاری از نزدیکان او هنوز از بازداشتش مطلع نبودند، از حساب ایمیل او برای حملات "فیشینگ" (ربودن رمز عبور) استفاده شد و از آدرس او ایمیل‌هایی برای نزدیکانش فرستاده شد که آنها را به صفحه‌ای جعلی برای وارد کردن رمز عبور می‌برد. این صفحه جعلی از وبسایت‌های مورد استفاده گروه بچه‌گربه موشکی بوده است.

از آنجا که بازداشت آقای نمازی از طرف سپاه پاسداران انجام شده، و گروه بچه‌گربه موشکی پس از بازداشت او به ایمیلش دسترسی پیدا کرده است، این گروه هکر قاعدتا باید با سپاه ارتباط داشته باشد.

حق نشر عکس Personal Domain
Image caption سیامک نمازی (راست) و پدرش باقر نمازی

طبق مستنداتی که بی‌بی‌سی مشاهده کرده، چند حمله دیگر نیز انجام گرفته که به ترتیب مشابهی گروه بچه‌گربه موشکی تنها از طریق در اختیار گرفتن اطلاعات بازداشت‌شدگان سپاه قادر به انجام آنها بوده است.

البته کالین اندرسون، پژوهشگر امنیت سایبری که گزارش کارنگی را تهیه کرده، می‌گوید به نظر می‌رسد گروه‌های هکری مانند بچه‌گربه موشکی در ایران، در قالب پیمانکاران و شرکت‌های کوچکی کار می‌کنند که ضرورتا همه فعالیت‌هایشان رسمی و وابسته به نهادهای حکومتی نیست.

شمار هکرها و هویت واقعی همه اشخاص در این گروه‌های هکری روشن نیست و دست کم در یک مورد یک شخص در دو گروه مختلف شناسایی شده‌، که می‌تواند به معنی ارتباط کاری یا سازمانی گروه‌ها با یکدیگر باشد.


مستندات این گزارش چه طور به دست آمده؟

در مواردی قربانیان حملات با مختصصان امنیت سایبری تماس می‌گیرند و اطلاعات مربوط به حمله، مثلا ایمیل حاوی بدافزار یا لینک فیشینگ را به آنها می‌دهند.

ویژگی‌های فنی موجود در این مستندات بررسی می‌شود و به عنوان مثال آدرس فرستنده، نشانی اینترنتی (آی‌پی)، بدافزار یا صفحه فیشینگ مورد استفاده، سرورهای مورد استفاده و ردپاهای دیگری نظیر آن به دست می‌آید.

از آنجا که یک گروه مادامی که لو نرفته‌ ممکن است از ابزارها، کدها و سرویس‌های مشابهی استفاده کند، می‌توان آن را شناسایی کرده و ردش را در حملات مختلف دید.

در مواردی بدافزارها و ذخیر‌ه‌سازی اطلاعات ربوده‌شده بر سرورهای مورد استفاده هکرها نقاط ضعف امنیتی دارند که اقدامات آنها را لو می‌دهد.

یک روش دیگر به دست آمدن چنین اطلاعاتی "سینک‌هولینگ" است. اصطلاحی که برای منحرف کردن مسیر اطلاعات استفاده می‌شود.

شیوه عمل در سینک‌هولینگ از این قرار است:

هر بدافزاری برای فرستادن اطلاعات ربوده‌شده از قربانی به هکر، اطلاعات را به آدرسی می‌فرستد. متخصصان امنیت سایبری می‌توانند در مواردی اطلاعات را رهگیری کنند و به طور کامل به آنچه هکر می‌بیند دسترسی داشته باشند.

مستندات مورد استناد در این گزارش هر یک به یکی از این شیوه‌ها به دست آمده است.


گروه مشهور به بچه‌گربه موشکی تنها گروهی نیست که در سال‌های اخیر از داخل ایران مقام‌ها و چهره‌های نزدیک به حسن روحانی را هدف گرفته است.

از میانه زمستان ۱۳۹۲ تا بهار ۱۳۹۳ گروهی دیگر، که شرکت‌های امنیت سایبری غربی آن را به نام "بچه‌گربه پرنده" ( Flying Kitten) می‌شناسند به شماری از چهره‌های دیپلماتیک حمله کرد.

علاوه بر محمدجواد ظریف، عباس عراقچی، مجید تخت‌روانچی، صادق خرازی، حسین موسویان و سیروس ناصری هدف گروه بچه‌گربه پرنده قرار گرفتند.

مقطعی که این حملات طی آن رخ داده‌اند بین توافق موقت ژنو و توافق جامع هسته‌ای است.

در این مدت هکرهای بچه‌گربه پرنده با دست کم دو ایمیل جعلی که مشابه ایمیل‌های آشنایان مقام‌های دولت و اطرافیان حسن روحانی بوده، تلاش کرده‌اند تا با آنها ارتباط برقرار کرده و فریبشان دهند که فایلی را از طریق ایمیل دانلود و نصب کنند. فایلی که قاعدتا جاسوس‌افزار بوده است.

چنان که از اطلاعات لو رفته از این دو اکانت جعلی برمی‌آید، مقام‌های دولت حسن روحانی چندین مکاتبه با هکر داشته‌اند.


هک مقام‌ها و حاکمیت دوگانه

بهرنگ تاج‌دین - بی‌بی‌سی فارسی

شاید انتظار می‌رفت که مقام‌های ایرانی برای هکرهای "مرتبط با سپاه پاسداران" خط قرمز محسوب شوند. ولی نکته غافلگیرکننده این است که طبق مدارکی که بی‌بی‌سی فارسی دیده، این گروه‌ها بین وزیر خارجه جمهوری اسلامی ایران با یک فعال حقوق بشر در خارج از کشور، گروه‌های جدایی‌طلب یا نهادهای نظامی آمریکایی و اسرائیلی فرقی قائل نمی‌شوند.

نمی‌دانیم آیا یک فرمانده سپاه اجازه یا دستور حمله سایبری به محمدجواد ظریف، حسین فریدون و دیگران را داده یا این گروه‌ها "سرخود" عمل کرده‌اند، ولی تلاش‌های مکرر برای چنین حملاتی از داخل ایران، تا حدی که یک گروه چند سال وزیر مسئول مهم‌ترین مذاکرات تاریخ جمهوری اسلامی را زیر حمله دارد، نشان می‌دهد این گروه‌ها امنیت و اختیار عمل بالایی دارند؛ چیزی که نمی‌تواند از چشم و گوش مقام‌های عالی‌تر پنهان بماند.

این حمله‌ها می‌توانند نظریه "حاکمیت دوگانه" در ایران را تقویت کنند. جایی که حتی اعضای کابینه و افراد نزدیک به آن را هم می‌توان به چشم غیرخودی و "دشمن" بالقوه دید.

محکومیت حبس پنج ساله عبدالرسول دری اصفهانی، عضو تیم مذاکرات به هسته ای، به اتهام جاسوسی، شاهدی بر این دوگانگی است تا جایی که وزارت اطلاعات و اطلاعات سپاه به صورت علنی درباره جاسوس بودن او اختلاف نظر دارند.


یکی از نکات جالبی که از این حملات برمی‌آید استفاده بسیاری از مقام‌های ایرانی از سرویس‌های جیمیل و یاهو است، سرویس‌هایی که سرور آنها در ایران نیست و دسترسی نهادهای امنیتی غربی به اطلاعات آنها آسانتر از دسترسی به اطلاعات سرویسی در داخل ایران است.

البته روشن نیست مقام‌های ایرانی هدف حمله هکرها از حساب‌های ایمیل جیمیل و یاهو برای مکاتبات شخصی استفاده کرده‌اند یا مکاتبات رسمی. هرچند صفحه گوگل درایو جعلی که برای هک حسین فریدون استفاده شد مدارکی با مهر "محرمانه" در خود دارد، یعنی تصور هکرها، که به دنبال بازسازی صفحه‌ای جعلی مشابه صفحه ورود گوگل درایو شخصی آقای فریدون بوده‌اند، این بوده است که آقای فریدون ممکن است مدارکی محرمانه را در گوگل درایو خود ذخیره کند.

Image caption بچه گربه‌ پرنده با ایمیلی که شبیه یکی از آشنایان مقام‌های دولت بوده با آنها مکاتبه می‌کرده تا برایشان بدافزار بفرستد

گروه بچه‌گربه پرنده نیز مانند گروه بچه‌گربه موشکی تنها به مقام‌های دولتی نپرداخته است.

یکی از اهداف عمده این گروه بابک زنجانی، سرمایه‌دار مشهور ایرانی بوده است.

چند ماه پیش از آن که آقای زنجانی دستگیر شود، هکرهای بچه‌گربه پرنده سعی می‌کردند در حساب او، خواهرش و همچنین مدیر وبسایتش نفوذ کنند.

Image caption تلاش بچه‌گربه پرنده برای هک بابک زنجانی
Image caption تلاش گربه‌پرنده برای هک شرکت سوری‌نت

احتمالا همین گروه بچه‌گربه پرنده به دنبال هک مایکل فلین، مشاور امنیت ملی پیشین دونالد ترامپ، و باب کورکر، رئیس کمیته روابط خارجی نیز بوده است.

به همین ترتیب، حملات گروه بچه‌گربه موشکی که با سپاه مرتبط بوده، محدود به مقام‌های دولت حسن روحانی نبوده است، بلکه آنها به اهدافی در آمریکا، عربستان سعودی، اسرائیل و همچنین روزنامه‌نگاران و فعالان سیاسی ایرانی نیز حمله کرده‌اند.

اقدام نهادهای امنیتی یک کشور برای جمع‌آوری اطلاعات یا ایجاد اختلال در کشورهایی که با آنها دچار تنش هستند، و همچنین اقدام مشابه علیه فعالان سیاسی و خبرنگاران نامعمول نیست، اما اقدام هکرهای مرتبط با یک نهاد امنیتی به نفوذ در حساب‌های مقام‌های دولت خود کم‌سابقه به نظر می‌رسد.


بخشی از چت هکرها با هم

-چند نفرو می‌خواهم بیارم. کلاً تعداد ما خیلی کمه

+اگر کسی رو می‌شناسی بهم معرفی کن برای استخدام. من به حاجی میگم

(چهار روز بعد)

-برای اون قضیه اضافه کردن خودمون چند نفرو پیدا کردم. بقیه رو واجا [وزارت اطلاعات] درو کرده بود

+بهش گفتی برای کجا قراره بیاد؟

-گفتم شرکت ... شرکت معمولی

+اگر بهش بگیم برای کجا قراره کار کنه جا می زنه؟

-نه.

+فقط جلو روش بهش بگو. تو تلفن نگو

-ببین به نظر من میخواهی آدم بیارم وعده آنتالیا و تایلند بدید

+من فقط میتونم وعده قم جمکران بدم

...

-مک رو برای بد افزار می‌خواهی؟

+نه صرفاً بدافزار. یه حوزه جدید داریم شروع می‌کنیم. الزاماً بدافزار نیست. ولی بالاخره پروژه هاش با دیدگاه امنیتیه

-می‌گم جایی سراغ نداری بشه سربازی دوستمو درست کنم؟

+تخصصی تو هیچ زمینه‌ای داره؟

-قبلن هک برنامه‌نویسی می‌کرد. خیلی قدیمیه. الان فروشندگی می‌کنه

+شنبه یادم بنداز یه سؤال کنم ببینم اگر شد هماهنگ کنم بره سپاه تهران. احتمالاً با لباس شخصی اوکی نمی‌شه. ولی در عوض خدمتش راحته.

-اینجا که بچه‌های خودمونند خیلی هتله خداییش


بهار سال ۱۳۹۶ حملات فیشینگ دیگری هم علیه محمدجواد ظریف و حسام‌الدین آشنا انجام شد.

مختصصان امنیت سایبری گروه مسئول این حملات را "بچه‌گربه دلربا" (Charming Kitten) نامگذاری کرده‌اند.

مستندات موجود حاکی از آن است که این گروه چندین بار برای فریب دادن محمدجواد ظریف صفحات جعلی ساخته که اطلاعات او را بدزدند.

همان سروری که برای حمله به آقایان ظریف و آشنا استفاده شده بود، برای ساخت صفحات جعلی و هدف گرفتن فعالان حقوق بشر و روزنامه‌نگاران، از جمله بهرنگ تاج‌دین، خبرنگار بی‌بی‌سی فارسی نیز مورد استفاده قرار گرفت.

Image caption فهرستی از برخی هدف‌های حمله گروه هکری بچه‌گربه دلربا

کالین اندرسون می‌گوید عملیات سایبری گروه‌های هکری داخل ایران از سال ۱۳۸۸ به بعد افزایش پیدا کرده است، چرا که در آن مقطع هم اعتراضات جنبش سبز در جریان بوده که انبوهی از فعالان و خبرنگاران را به اهداف مورد نظر برای جمع‌آوری اطلاعات تبدیل کرد.

در عین حال حملات استاکس‌نت هم در همان مقطع شروع شد.

آقای اندرسون می‌گوید: "حکومت خودش را از دو جبهه تحت حمله می‌دید که هر دو هم به اینترنت مربوط بود. به نظر می‌آید از آن موقع ایران گروه‌های هکر کوچکی را به خدمت گرفت تا علیه رقبایش دست به عملیاتی بزنند."

گزارش کارنگی می‌گوید پیچیدگی و سطح فنی عملیات گروه‌های هکر ایرانی قابل مقایسه با عملیات قدرت‌های غربی یا چین و روسیه نیست.

پدیده "فرار مغزها" و مهاجرت دانشجویان ایرانی به خارج، در این گزارش به عنوان یکی از عوامل محدودیت توانایی ایران در انجام حملات پیچیده‌تر ذکر شده است.

این گزارش می‌گوید هکرهای احتمالا مرتبط با نهادهای امنیتی ایران در اغلب موارد به دزدیدن اطلاعات تجاری و صنعتی یا بانک اطلاعات دولتی دست نزده‌اند و اغلب به جمع‌آوری اطلاعات پرداخته‌اند و یا در مواردی مانند حمله به آرامکو در عربستان سعودی، اقدامشان حرکتی انتقام‌جویانه بوده است.

کارنگی پیش‌بینی می‌کند که با بالا گرفتن دوباره تنش میان ایران و آمریکا، گروه‌های هکر ایرانی حملاتی را، مانند حمله سال گذشته به سدی در نیویورک، ترتیب بدهند.