برنامک‌های خدماتی، روش تازه جاسوسی حکومت ایران از مخالفان

بیش از یک هزار مخالف در ایران و ۱۲ کشور دیگر هدف حمله نرم‌افزارهای جاسوسی قرار دارند

دو گروه متهم به فریب مردم در بارگیری نرم‌افزار مخرب از طریق تلفن‌های همراه و رایانه‌ها هستند، عکس تزیینی - ATTA KENARE / AFP

به گفته یک شرکت پیشرو در زمینه امنیت سایبری، ایران در حال اجرای دو عملیات نظارتی در فضای سایبری است که بیش از یک هزار مخالف را هدف قرار داده است.

 این شرکت آمریکایی-اسرائیلی که چک پوینت (Check Point) نام دارد گفته است که که این اقدامات علیه افرادی انجام می‌شود که در ایران و ۱۲ کشور دیگر از جمله انگلیس و ایالات متحده هستند.

بر اساس گزارشی که بی‌بی‌سی انگلیسی منتشر کرده، این شرکت توضیح داده که این اقدام توسط دو گروه، و با استفاده از تکنیک‌های جدیدی برای نصب نرم‌افزارهای جاسوسی در رایانه‌های شخصی و دستگاه‌های تلفن همراه صورت می‌گیرد. سپس از این نفوذ، برای سرقت اطلاعاتی از جمله ضبط مکالمات و فایل‌ها استفاده می‌شود.

یکی از این گروه‌ها، معروف به بچه گربه خانگی (Domestic Kitten) یا (APT-50) ، متهم به فریب مردم در بارگیری نرم‌افزار مخرب از طریق تلفن‌های همراه به طرق مختلف از جمله:

دسته بندی مجدد نسخه موجود یک بازی ویدیویی معتبر که در فروشگاه Google Play موجود است؛

ساخت برنامک مشابه رستورانی در تهران

ارایه یک برنامک جعلی امنیت موبایل

ارایه یک برنامک مشکوک که مقالاتی را از یک خبرگزاری محلی منتشر می‌کند

تهیه یک برنامک ارایه تصویر زمینه آلوده حاوی تصاویر طرفدار دولت

تهیه برنامک شبیه به بازاری برای تهیه نرم‌افزارهای بیشتر

محققان این شرکت آمریکایی-اسرائیلی، یک هزار و ۲۰۰ قربانی را که در هفت کشور مختلف زندگی می‌کنند و مورد هدف این کارزار قرار دادند ثبت کرده‌اند. آنها می‌گوید که بیش از ۶۰۰ مورد نفوذ موفق انجام شده است.

گفته می‌شود که گروه دوم، معروف به شاهزاده پرشیا (Prince Of Persia) یا Infy ، در رایانه‌های خانگی یا محل کار از مخالفان در ۱۲ کشور جاسوسی می‌کنند. آنها پس از فریب افراد به باز کردن پیوست‌های مخرب ایمیل، داده‌های حساس را استخراج می‌کنند.

دولت ایران در مورد این گزارش توضیحی نداده است.

عملیات بچه‌گربه خانگی برای اولین بار در سال ۲۰۱۸ شناسایی شد. شرکت چک پوینت می‌گوید شواهدی وجود دارد که این گروه از سال ۲۰۱۷ دست‌کم ۱۰ کارزار را به اجرا درآورده است.

چهار مورد از اینها هنوز فعال بودند و جدیدترین آنها در نوامبر ۲۰۲۰ شروع شده است. این گروه از یک سایت وبلاگ ایرانی کانال های تلگرامی و پیام های متنی برای جلب مردم به نصب نرم افزار آلوده خود استفاده می‌کند، که محققان آن را Furball لقب داده‌اند، که می‌تواند:

تماس‌ها و صداهای دیگر را ضبط کند

مکان دستگاه را ردیابی کند

شناسه‌های دستگاه را جمع‌آوری کند

پیام‌های متنی و گزارش تماس‌ها را بگیرد

فایل‌هایی از جمله فیلم‌ها و عکس‌ها را سرقت کند

فهرستی از سایر برنامه‌های نصب شده را بدست آورد

فایل‌ها را از حافظه خارجی سرقت کند

گفته می‌شود ۶۰۰ نفوذ موفق از سوی گروه دوم به رایانه‌های نیروهای مخالف و افراد متعلق به اقلیت قومی کرد، در کشورهای ایران، ایالات متحده آمریکا، بریتانیا، پاکستان، افغانستان، ترکیه و ازبکستان صورت گرفته است.

Read More

This section contains relevant reference points, placed in (Inner related node field)

گفته می‌شود که فعالیت گروه دوم به سال ۲۰۰۷ برمی‌‌گردد. در یکی از موارد این شرکت نرم‌افزار جاسوسی را در فایلی مربوط به وام‌های جانبازان جاسازی کرده‌است. شرکت چک پوینت گفته است که پس از باز شدن فایل، یک ابزار جاسوسی نصب شده و داده‌های حساس به سرقت رفته است.

گفته می‌شود که در دو سندی که به تازگی استفاده شده، عکس یک استاندار ایرانی همراه با مشخصات تماس ادعایی وجود دارد.

محققان می‌گویند که توانایی‌های  گروه دوم، Infy، به مراتب بیش از سایر کارزارهای شناخته شده ایرانی است. این گروه به دلیل توانایی‌هایش به سراغ اهداف بسیار مهم می‌رود و شناسایی آن دشوار است.

یانیو بالماس، رئیس تحقیقات سایبری چک پوینت گفت: «روشن است که دولت ایران در حال سرمایه‌گذاری قابل توجهی در عملیات سایبری است.»

اقدامات هر دوی این گروه‌ها قبلا شناسایی و افشا شده و حتی متوقف شده‌اند اما این مخالفت‌ها تاثیری بر فعالیت آنها نداشته است. شرکت چک پوینت می‌گوید که آنها به سادگی کارشان را از سرمی‌گیرند.