کارزار جاسوسی‌ سایبری ایران علیه مخالفان

یک شرکت‌ پیشروی جهان در حوزه امنیت سایبری طی تحقیقی که به تازگی نتایجش را منتشر کرده نشان می‌دهد کارزارهای عملیات جاسوسی سایبری مرتبط با ایران که یکی از آن‌ها هزار و ۲۰۰ مخالف حکومت را هدف قرار داده، با گسترش قابلیت‌ها حملات جدیدی را تدارک دیده است.

شرکت آمریکایی-اسرائیلی «چک‌پوینت» جزییات این تحقیق را روز دوشنبه ۲۰ بهمن‌ماه در وبسایتش با عنوان «غرش آسمان بعد از رعد و برق می‌آید» منتشر کرده است.

این گزارش اشاره می‌کند تلاش‌های این کارزارهای عملیات سایبری که قبلا قربانیانی از ایران داشته با قابلیت‌های بیشتر و در موج جدیدتر قربانیانی از ۱۲ کشور از جمله آمریکا، بریتانیا،‌ کانادا،‌ عراق، ترکیه،‌ روسیه و هلند هم دارد. 

چک‌پوینت در زمینه سابقه این حملات به اولین اقدامات سایبری با نام «اینفی» مشهور به «شاهزاده پارسی» که به معرض عموم آورده شده اشاره کرده که به سال ۲۰۰۷ میلادی باز می‌گردد. این شرکت اشاره می‌کند که احتمالا این عملیات توسط حکومت ایران حمایت می‌شد.

این عملیات سایبری از مراحل نخستش بسیار فعال بود و شواهدش نشان می‌داد که قربانیان اصلی‌اش در ایران و سراسر اروپا بوده‌اند. همچنین به شرکت‌های آمریکایی و اسرائیلی نیز حمله کرده بود.

کارزارهای نفوذ سایبری بررسی‌شده که به دستگاه‌‌های کامپیوتر و همراه کاربران قربانی حمله می‌کند برای سرقت فایل‌های صوتی تماس‌ها و مدیا به کار گرفته شد.

در پی بررسی سال ۲۰۱۶ میلادی، ارتباطات این کارزارها با ایران مشخص شد که بعد‌ها وقتی عملیات حذف علیه آن‌ها صورت گرفت،‌ محققان توانستند ارتباط آن با ایران را مجددا تایید کنند. 

واکنش ایران به بررسی‌ها 

گوارنیری و اندرسون در تحقیقی در همین زمینه مشاهده کردند که پس از عملیات حذف علیه این کارزارها، شرکت مخابرات ایران هرگونه ترافیکی را که از ایران منشا می‌گرفت، مسدود و هدایت کرد.

 چک‌پوینت نوشته این احتمالا تلاش عمدی بازیگران برای کاهش مشاهده خود و بازیابی مجدد کنترل قربانیان بوده است.پس از این وقایع، این عملیات تا ماه اوت سال ۲۰۱۷ میلادی، زمانی که فعالیت «اینفی» دوباره و این‌بار با استفاده از بدافزار جدیدی موسوم به «فودره» مشاهده شد،‌ متوقف بود. فودره واژه‌ای فرانسوی به معنای رعد و برق است. 

حمله به قربانیان و سرقت فایل‌ها

 در نیمه اول سال ۲۰۲۰ میلادی، نسخه‌های جدید فودره با اسناد جدیدی مشاهده شد که برای جلب قربانیان طراحی شده‌اند. این موارد کمی متفاوت از قبل عمل می‌کنند؛ به جای این که قربانی روی آنچه که به نظر یک لینک ویدیو می‌آید کلیک کند، بدافزار به محض اینکه کاربر یک سند را می‌بندد به اجرا در می‌آید.

در یکی از این اسناد نام مجتبی بیرانوند،‌ فرماندار درود لرستان، با اطلاعاتی فارسی از دفتر و شماره تلفنش، که البته در واقع متعلق به یک وکیل است، مشاهده می‌شود.

 در سند دیگری هم که به فارسی است نامه‌ای با لوگوی بنیاد شهید و امور ایثارگران که وام‌هایی برای مجروحان و خانواده‌های کشته‌شدگان جنگ مهیا می‌کند دیده می‌شود.قربانی با باز کردن این اسناد و سپس بستن آن به اجرا شدن فایلی در دستگاهش کمک می‌کند که نفوذ را انجام می‌دهد.