قسمت دوم: وکیل!
برای قسمت دوم از مجموعه داستانهای حملههای سایبری هکرهای حکومتی ایران به فعالین مدنی، روزنامهنگارها، مدافعان حقوق بشر و در مجموع قربانیان نقض حقوق بشر در ایران، تصمیم گرفتم تا به یک نمونه واقعی از گزارشی که چندی پیش سازمان میان گروه منتشر کرد را نقل کنم. این گزارش مفصلی است که ممکن است در آینده بخشهای دیگری از آن را هم در چارچوب همین روایتها منتشر کنم.
این قسمت یک ویژگی خاص هم دارد و آن اینکه افراد میتوانند با فرایند شناسایی قربانی نیز آشنا شوند، علاوه بر اینکه از نظر ساختاری مقداری متفاوت خواهد بود. دوباره باید تاکید بکنم که برای حفظ حریم خصوصی قربانیان، اسامی اصلی آنها و در مجموع هر چیزی که به نقض حریم خصوصی قربانیان منجر شود، از انتشار آنها خودداری خواهم کرد. اسناد این حملهها و اطلاعات به سرقت رفته، به طور خصوصی در اختیار قربانیان قرار گرفته است.
لازم به توضیح است که تمام موراد زیر فقط و فقط شامل حملهای میشود که توسط بدافزار با مشخصات فنی زیر صورت گرفته است:
قسمت دوم: وکیل!
بهمن ماه ۱۳۹۶ بود که از یک حمله سایبری علیه دراویش گنابادی مطلع شدم و این شروع یک مجموعه از تحقیقات مفصلی شد که نزدیک به چهار سال طول کشید و در طی آن بیش از ۱۰۰ قربانی شناسایی شدند. دامنه این حملهها به صورت کاملا هدفمند متمرکز بر “اقلیت”های قومی و یا مذهبی و زبانی به صورت ویژه بر روی فعالین ترک با گرایشهای بسیار متفاوت سیاسی متمرکز بود.
هر کسی که در حوزه امنیت اطلاعات یا به قول خودمان Information security کار میکند و یک نمونه از یک فایل مشکوک به دستش میرسد، در اولین قدم بعد از تایید بدافزار بودن آن، تلاش میکند تا مرکز فرمان را پیدا کند. چیزی که در گزارش گروه میان از آن با عنوان Command and Control نام برده شده است. جادی در مورد C&C توی یکی از قسمتهای پادکستش، اینجا، که قصه هکری است که دنیا را نجات داد توضیح مفصلی داده است.
با بررسی این بدافزار و تحت نظر قرار دادن مرکز فرمان و کنترل، اطلاعات به سرقت رفته پیدا شد. برای هر قربانی یک پرونده(Folder) ایجاد شده بود و اطلاعات به سرقت رفته را در آن نگهداری میکردند. در طول زمان نسخههای جدیدتری هم به وجود آمد که اطلاعات به سرقت رفته را رمزگذاری میکرد.
روزی فایلی مشاهده کردم که درون آن فهرست کامل فایلهای موجود در کامپیوتر قربانی به همراه مسیر و حجم آنها را فهرست کرده بود. همچنین تعدادی عکس که از Desktop کامپیوتر قربانی گرفته شده بود. روی هیچ کدام اسم مشخصی نبود که بتوانم قربانی را پیدا بکنم و یا اگر در عکسهای Desktop چیزی بود اینقدر کوچک بود که با بزرگ کردن کیفت خودش را از دست میداد و در نتیجه به سر نخ مشخصی برای پیدا کردن نام قربانی نمیرسید.
لازم به ذکر است که از اینجا به بعد داستان با کسب اجازه از قربانی و به شرط ناشناسی او نوشته شده است.
با بررسی دقیقتر موفق شدم از بین فایلها اسم یک سازمان حقوق بشری را شناسایی بکنم. با آنها تماس گرفتم و موضوع را مطرح کردم. تصور اولیه این بود که شاید این سازمان هک شده است، اما اطمینان نداشتم. با مدیر سازمان صحبت کردم و بدون اینکه چیزی برای او ارسال کنم شواهدی را در اختیارش گذاشتم. من هیچ اطلاعاتی را به او ندادم چون هنوز اطمینان نداشتم که آن سازمان قربانی است و احتمال داشت که حریم خصوصی قربانی را در خطر قرار بدهم. برای همین شرح شواهد خیلی سخت بود و حدود یک ساعت مکالمه ما طول کشید.
البته این هم بود که تصویر کنید شما یک روز یک تلفن دریافت میکنید و کسی در آن سوی خط به شما میگوید شواهدی دارد که شما هک شدید، باورش سخت است و نیاز است تا بین دو طرف اطمینان به وجود آید، که در این مورد وجود داشت.
با شرح شواهد به روشی که حریم خصوصی قربانی نقض نشود، موفق شدم نام و شماره تلفن قربانی را پیدا کنم. از این نقطه به بعد تمام تماسهای من با قربانی به دلیل نگرانی از فعال بودن بدافزار و جاسوسی از گفتگوهای ما، تحت شرایط خاصی انجام شد. او وکیلی حقوق بشری و ترک بود که در خارج از ایران زندگی میکند. از مدیر این سازمان خواستم تا اول او با این وکیل تماس بگیرد، و من را معرفی کند. پس از آن خودم با او تماس گرفتم.
برای اطمینان پیدا کردن از اینکه قربانی خود او است، باز هم بدون ارسال مدارک، شواهد را برای او توضیح دادم. دوباره باید تاکید بکنم که مدارکی در ابتدا ارسال نکردم چون اطمینان نداشتم که فرد پشت خط تلفن خود قربانی است و من همچنان خودم را به حفظ حریم خصوصی قربانی متعهد میدانستم.
پس از حدود یک ساعت مکالمه تلفنی و سوال جواب کردن، برای من ثابت شد که او همان قربانی است. اسناد و مدارک را برای او ارسال کردم و از او خواستم آنها را تایید کند. این مدارک شامل تعدادی عکس از گفتگوی اسکایپی او با …، فهرست فایلهای موجود در کامپیوتر به همراه مسیر آنها و حجم آنها بود.
مدارک دیگری هم موجود بود که به دلیل آنکه برای درک آنها نیاز به دانش فنی بود، از ارسال آنها خودداری کردم. به عنوان نمونه، هکر فهرست کاملی از Process و Thread را هم نگهداری میکرد و چیزهای دیگر. اگر شما کاربر فنی نیستید، همینقدر بگویم که هکر قادر بود تا بفهمد چه برنامههای که در کامپیوتر در حال اجرا هستند که به صورتی که چه کاربر آنها را ببینید و چه نتواند آنها را ببینید را نیز به دست بیاورد.
در هر حال بعد از اطمینان از یافتن قربانی، مجموعهای از راهنماییها را به او دادم و تلاش کردم طی روزهای بعد با او همراه باشم تا اطمینان حاصل کنم که او امن است و از آن مهمتر احساس امنیت میکند. بعد از آن تلاش کردم تا اطمینان حاصل کنم سازمانها و افرادی که با او کار کردند امن هستند و اطلاعات فنی لازم را در اختیار مدیران شبکه آنها قرار دهم تا بتوانند به صورت مستقل همه چیز را بررسی کنند.
تمام این مراحل، از مشاهده اولین نمونههای سرنخ تا پیدا کردن قربانی و بعد از آن بررسی شبکه متصل به قربانی چیزی در حدود سه ماه وقت گرفت اما در نهایت او و سایر قربانیان امن شدند و امیدوارم دیگر گرفتار این موراد نشوند.
در پایان اگر لینک یا ایمیل مشکوکی دیدید که نیاز به بررسی داشت میتوانید از طریق ایمیل برای من ارسال کنید. سعی میکنم در اولین فرصت یک لینک Secure Drop هم درست بکنم که امنیت و حریم خصوصی افزایش پیدا کند.