سی اس اس برای شما

به گزارش کارگروه بین‌الملل سی اس اس؛ یکی از شرکت‌هایی که بعد از خروج آمریکا از برجام، اقدام به انتشار اتهامات تازه علیه جمهوری اسلامی ایران کرد، شرکت Recorded Future بود. نگارندگان این گزارش، با نام بردن از برخی دانشگاه‌های ایرانی، از آن‌ها به‌عنوان حامیان عملیات سایبری برون‌مرزی ایران یاد کردند. غربی‌ها معتقدند ایران، بعد از توافق هسته‌ای، اقدام به انجام حملات سایبری گسترده علیه زیرساخت‌های آمریکا و هم‌پیمانانش خواهد کرد. همچنین شرکت‌های امنیتی مدعی شدند طی چند روز بعد از خروج آمریکا، با افزایش بار ترافیکی اینترنت ایران مواجه شده‌اند که این، می‌تواند دلیلی بر رشد فعالیت‌های سایبری ایران در چند روز گذشته باشد. در بخش‌هایی از این گزارش آمده است:

«جمهوری اسلامی ایران از سال ۲۰۰۹ همواره سعی دارد که از طریق ایجاد کمپین‌های خصمانه سایبری به تحریم‌های وضع‌شده علیه خود پاسخ دهد. تاریخ نشان می‌دهد که ایران همواره علاقه‌مند به استفاده از سازمان‌های نیابتی هم در جنگ فیزیکی (حزب ا… علیه اسرائیل و شورشیان یمن علیه عربستان سعودی) و هم در حملات سایبری به‌منظور دستیابی به اهداف سیاسی خود بوده است.

در حال حاضر ایران با تأثیرات منفی حاصل از بازگشت دوباره تحریم‌ها مواجه شده است. در ۸ می ۲۰۱۸، رئیس‌جمهور ترامپ اعلام کرد که آمریکا از توافق هسته‌ای خارج خواهد شد و همچنین مجازات اقتصادی بیشتری علیه ایران اعمال خواهد کرد. طبق ارزیابی‌های ما و بر اساس واکنش‌های ایران نسبت به فشارهای اقتصادی در سال‌های اخیر، ایران احتمالاً طی چند ماه آینده از طریق انجام حملات سایبری علیه شرکت‌های مالی، فراهم‌کنندگان زیرساخت‌های حیاتی، بخش‌های دولتی، بانک‌ها و یا بخش‌های نفت و گاز، به آن پاسخ خواهد داد.

Insikt Group با تحلیل و آنالیز ترافیک اینترنت مؤسسات گوناگون متعلق به اکوسیستم سایبری ایران از تاریخ ۱ مارس ۲۰۱۸ (۱۰ اسفند ۹۶) تا ۳۰ آوریل ۲۰۱۸ (۱۰ اردیبهشت ۹۷)، عنوان کرد: ما نمی‌توانیم تعیین کنیم که آیا این فعالیت‌های مشکوک که تحلیل کرده‌ایم در جهت آماده‌سازی برای انجام واکنش در برابر اعلامیه ایالت متحده (خروج از برجام) بوده است یا خیر.

حملات سایبری ایرانی‌ها در سال‌های ۲۰۱۲ و ۲۰۱۴ در تضاد با رویکرد آرام و روشمند در APT 33، APT 34 و APT 35 است که در آن‌ها به توسعه بدافزارهای شخصی‌سازی‌شده به‌منظور استخراج داده‌ها از مراکز اطلاعاتی استراتژیک (مثل پیمانکاران نظامی آمریکایی)، شرکت‌های حوزه انرژی در خاورمیانه و شبکه‌های تحقیقاتی دانشگاه‌ها، پرداخته است.

ظهور ارتش سایبری ایران (ICA) به‌عنوان یک بخش اضافه‌شده به سپاه پاسداران، جزئی از کوشش‌های جمهوری اسلامی برای هدایت عملیات متمرکز بین‌المللی بود. در سال ۲۰۱۱، ارتش سایبری ایران مرکز خیبر را شکل داد. طبق اطلاعات به‌دست‌آمده از یک فرمانده سابق سایبری سپاه پاسداران، مرکز خیبر در سال ۲۰۱۱ تأسیس شد و با تعدادی از حملات سایبری علیه ایالات‌متحده، عربستان سعودی و ترکیه مرتبط است.

حتی امروز ایجاد تعادل بین ایدئولوژی و مهارت‌های سایبری مشکل‌ساز است. یک مثال از وجود ناسازگاری و تضاد میان ایدئولوژی و مهارت‌های سایبری فردی به نام محمدحسین تاجیک است. تاجیک یک فرمانده سابق سایبری سپاه پاسداران بود. طبق اطلاعات به‌دست‌آمده از منبع Insikt Group، پدر تاجیک فردی با پیشینه مذهبی قوی و یکی از اعضای قدیمی وزارت اطلاعات بود. محمدحسین تاجیک کشته شد زیرا حکومت ایران می‌ترسید که تاجیک ازنظر ایدئولوژیک با حکومت همسو نیست و امکان خیانت و فرار وی وجود دارد.

بر اساس منابع موجود که از ارتباط مداوم Insikt Group با برخی از هکرهای ایرانی به‌دست‌آمده است، تخمین زده می‌شود که بیش از ۵۰ سازمان، برای انجام پروژه‌های تهاجمی سایبری حکومت ایران با یکدیگر در حال رقابت هستند و تنها تیم‌هایی که موفق به انجام این پروژه‌ها می‌شوند امکان دریافت پول و ادامه‌ی فعالیت‌هایشان را دارند. حکومت ایران به بهترین شکل ممکن این تقسیم‌بندی‌ها را انجام می‌دهد، بدین نحو که در زمان طراحی بسته‌های نرم‌افزاری RCE  توسط یکی از تیم‌های پیمانکاری، تیم دیگری مشغول استفاده از آن (برنامه‌ی RCE) می‌باشد. معمولاً دو یا چند تیم پیمانکاری برای انجام پروژه‌های دولتی موردنیاز می‌باشند. همچنین برخی مؤسسات علمی نظیر دانشگاه شهید بهشتی (SBU) و دانشگاه امام حسین (IHU) نقش پیمانکاران سایبری را برای حکومت ایفا می‌کنند. این مراکز با بهره‌گیری از دپارتمان‌های پیشرفته‌ی علم و فناوری، بسیاری از استعدادهای سایبری موجود در کشور را به خود جذب می‌کنند.

اتهامات وارده به مؤسسه‌ی مبنا از سوی FBI نشان می‌دهد که با وجود رفع تحریم‌ها و میل این کشور به حضور مجدد در مجامع جهانی، ایران همچنان به دنبال راه‌اندازی کمپین عملیات سایبری خصمانه و مخرب جهانی می‌باشد. این کمپین درحال‌گسترش که سرقت اطلاعات علمی از دانشگاه‌ها و مراکز فناوری را مورد هدف قرار داده است، نشان‌دهنده عدم اعتماد این کشور به معاهدات جهانی نظیر برجام (JCPOA) می‌باشد.

ارتباط میان حکومت، پیمانکاران و انجمن‌های امنیتی ایران
شرکت‌های امنیت سایبری Clearsky (متعلق به کنسرسیوم سایبری اسرائیل )، FireEye (آمریکایی)، Symantec (آمریکایی) و PhishLabs (آمریکایی) تحقیقات گسترده‌ای بر روی کمپین‌های سایبری متعلق به حکومت ایران انجام دادند که حاوی درک عمیقی از قابلیت‌های فنی و روابط مابین حکومت ایران و پیمانکارانش می‌باشد. پژوهش‌های صورت گرفته توسط شرکت‌های مذکور و اتهامات اخیر وزارت دادگستری آمریکا (US DOJ )، شواهد محکمی از اجرای کمپین‌های تهاجمی سایبری وابسته به حکومت، توسط پیمانکاران را ارائه می‌دهد.

شرکت فایرآی پیش‌تر از نقش مؤسسه‌ی نصر به‌عنوان پیمانکار گروه هکری “APT 33” در یک عملیات سایبری متشکل از درب‌های پشتی (Backdoor) و تروجان های (RAT) عمومی، پرده‌برداری نمود. محور این عملیات، هکری به نام “xman_1365_x” (در انجمن‌های امنیتی خود را به‌عنوان مهدی هنرور معرفی کرده است) بود که توسط متخصصین فایرآی در “اطلاعات عمومی بدافزار ” شناسایی شد و منجر به پیدا کردن سرنخ‌های مرتبط به مؤسسه‌ی نصر گردید.

ؤسسه‌ی نصر پیش‌ازاین در عملیات سایبری ابابیل که منجر به اجرای حملات اختلال سرویس توزیع‌شده (DDoS) علیه بانک‌های آمریکایی شد، شرکت نموده است. بعدها دیگر پیمانکاران شناخته‌شده‌ی ایرانی شامل شرکت مرصاد و تیم آی تی سک ITSecTeam به‌عنوان دیگر شرکت‌کنندگان در عملیات سایبری ابابیل معرفی شدند. بر اساس اتهامات وزارت دادگستری آمریکا، مؤسسه‌ی نصر از طرف حکومت ایران به‌منظور تأمین زیرساخت‌های حملات سایبری به‌کارگیری شده است.

سرنخ‌های جمع‌آوری‌شده از پروفایل “xman_1365_x”، پژوهشگران را به شرکت امنیتی به نام کاوش رساند که توسط شیوه‌های تحقیقات از منابع عمومی  آژانس اخبار سایبری ایران  به‌دست‌آمده است. پژوهشگران کسپرسکی از حضور این فرد (xman_1365_x) در عملیات سایبری صورت گرفته علیه کشور عربستان سعودی و بخش‌هایی از اروپا، خبر دادند. در این عملیات مخرب که از خانواده‌ی بدافزارهای NewsBeef و StoneDrill استفاده شد، حملات پاک‌سازی کامل اطلاعات  از روی هارددیسک‌ها صورت گرفت.

طبق یافته‌های محققین کسپرسکی، دامنه‌های سرور کنترل و فرمان (C2) استفاده‌شده توسط بدافزارهای NewsBeef و StoneDrill، گواهی‌نامه‌ی SSL را به اشتراک می‌گذاشتند که شامل سه دامنه‌ی اضافه در تحقیقات صورت گرفته به‌وسیله‌ی آژانس اخبار سایبری ایران بود. اطلاعات به‌دست‌آمده از سرویس WHOIS نشان می‌دهد که این دامنه‌ها به منابع باز دانشگاه امام حسین متصل می‌شوند.

ارتباطات مابین حکومت ایران و پیمانکارانش به‌خوبی مستند شده است، هرچند که شناسایی دقیق افراد و گروه‌های مسئول عملیات سایبری سپاه پاسداران و حکومت ایران و همچنین ارتباطات بین پیمانکاران و انجمن‌های امنیت سایبری هنوز مبهم می‌باشد. تحلیل و پژوهش‌های صورت گرفته توسط ما (گروه اینسیکت) نشان می‌دهد که انجمن‌های امنیت سایبری ایران ممکن است نقش استخدام نیرو و تبادل دانش برای پیمانکاران ایرانی ایفا کنند. طبق گزارش منابع گروه اینسکت، ابتدا شرکت فایرآی فایل شِل  عمومی بکار گرفته شده در کمپین ایمیل‌های جعلی توسط گروه هکری APT 33 را اطلاع می‌دهد. این فایل در وب‌سایت‌های مختلفی شامل سی اس اس و انجمن تیم کد نویسان دارک ایرانی  موردبحث قرار گرفته است.

س‌ازآن “xman_1365_x” در تاریخ ۸ آگوست ۲۰۱۰ (۱۷ مرداد ۱۳۸۹) یک پروفایل در وب‌سایت سی اس اس می‌سازد که بعد از دیدار بهروز کمالیان (مدیر وب‌سایت سی اس اس) با آیت ا… مکارم شیرازی طولی نمی‌کشد این وب‌سایت به انجمن اصلی امنیتی ایران تبدیل می‌شود؛ و نهایتاً دریافتیم مدیر انجمن امنیتی سیمرغ، یک هکر ایرانی به نام حسین عسگری است که با پدر پاسدارش همکاری می‌کند و تیم پیمانکاری ITSEC به‌طور ویژه‌ای به دنبال استخدام هکرها از انجمن‌های امنیتی سیمرغ و دلتا است.

مؤسسه تحقیقات سایبری ایران

مؤسسه تحقیقات سایبری ایران (CSRI )، مرکزی تحقیقاتی وابسته به دانشگاه معتبر شهید بهشتی است. بر اساس اطلاعات مرکز ثبت اینترنتی RIPE NCC، این مؤسسه بخش قابل‌توجهی از IP های اختصاص‌یافته به دانشگاه شهید بهشتی را مدیریت می‌کند.

از ۴ تا ۹ آوریل ۲۰۱۸، بیش از ۴۰۰ جلسه  SSH گزارش‌نشده شناسایی کردیم، جلسه‌هایی که بین IP های فوق با شبکه‌های دانشگاهی و دولتی اسپانیا برقرار شده بود. این تبادلات دیتا در حجم عظیمی صورت گرفته است. شبکه‌های اسپانیایی دخیل در این تبادلات مربوط به دانشگاه‌های میان‌رشته‌ای و مراکز دولتی اسپانیا بودند. مراکز مذکور مسئول دیجیتالی کردن و هوشمند سازی خدمات عمومی دولت اسپانیا هستند. ارتباط مستقیم بین دانشگاه‌های ایران و اسپانیا، یا از رابطه عمیق علمی دو کشور حکایت می‌کند و یا نشان از غیرمجاز بودن انتقال حجم زیاد دیتا از مؤسسه‌های اسپانیایی دارد. بسیار بعید به نظر می‌رسد که مؤسسه تحقیقات سایبری ایران منافع کسب‌وکار منطقی‌ای در ارتباط گرفتن با دپارتمان‌های دولتی اسپانیا داشته باشد؛ بنابراین حجم بالای انتقال دیتا بین دو شبکه در این بازه زمانی اندک علامت روشنی برای احتمال مخرب بودن این فعالیت‌ها است.

در ماه آوریل و درست در همین زمان، فعالیت‌های سایبری مؤسسه تحقیقات سایبری ایران نشان از افزایش بسیار زیاد رابطه با وزارت علوم و فناوری فیلیپین داشت. همانند شبکه‌های اسپانیایی، حجم بالایی از اطلاعات بین شبکه‌های مؤسسه ایرانی و وزارتخانه فیلیپینی جابه‌جاشده بود.

پس از انعقاد برجام در سال ۲۰۱۵ و آب شدن یخ ارتباطات بین ایران و کشورهای غربی، انتظار این سطح از ارتباطات و تعاملات علمی‌-دانشگاهی طبیعی بود. سال‌های ۲۰۱۵ و ۲۰۱۷ دانشگاه‌های فیلیپین و اسپانیا بر سر توسعه همکاری‌های علمی با مؤسسه‌های ایرانی توافق کردند. بااین‌وجود، نگاهی به سابقه مؤسسه تحقیقات سایبری ایران در سرقت اطلاعات علمی از طریق عملیات سایبری و شواهدمان از کمپین‌های سرقت اطلاعات علمی از دانشگاه‌های سراسر دنیا، از ارزیابی ما مبنی بر احتمال مخرب بودن فعالیت‌های مابین مؤسسه ایرانی و دانشگاه‌های اسپانیایی و فیلیپینی حکایت دارد.

در بازه‌های زمانی مختلف، مؤسسه تحقیقات سایبری ایران از بات “پارسی‌جو” (Parsijoo) برای جستجوی سایت‌های هدف خود استفاده کرده است. به اساس وب‌گاه ویکی‌پدیا، پس از گوگل، پارسی‌جو دومین موتور جستجوی محبوب در ایران است. در جریان تحقیقاتمان متوجه خزش (crawling) وب‌گاهی شدیم که در زمینه مهاجرت ایرانی‌ها به کانادایی‌ها تخصص دارد و آدرس آن www.itc-canada.com است. این خزش‌ها با استفاده از بات پارسی‌جو و از IP های مؤسسه تحقیقات سایبری ایران انجام می‌شد. تحقیقات دوماهه ما (۱۰ فروردین تا ۱۰ اردیبهشت) از علاقه بسیار زیاد خزش گر پارسی جو به این وب‌گاه خبر می‌دهد.

نهایتاً، ما متوجه شدیم که مؤسسه تحقیقات سایبری ایران از IP هایی که به نام شرکت فناوری سایبری رِوند  ثبت شده‌اند استفاده می‌کند. این شرکت در زمینه خدمات میزبانی رایانش ابری فعالیت می‌کند و آدرس آن www.ravand.com است. این شرکت روابط قوی با حکومت (regime) ایران دارد و سابقه میزبانی (hosting) وب‌گاه خبری فارس را دارد. فارس وابسته به مراکز نظامی ایران است. IPهای این شرکت در حوزه مدیریتی AS12212 قرار دارد، با محدوده‌های زیر:

•    ۱۹۸٫۵۵٫۴۸٫۰ – ۱۹۸٫۵۵٫۶۱٫۲۵۵
•    ۱۹۸٫۵۵٫۶۳٫۰ – ۱۹۸٫۵۵٫۶۳٫۲۵۵
•    ۲۰۷٫۱۷۶٫۲۱۶٫۰ – ۲۰۷٫۱۷۶٫۲۱۹٫۲۵۵

روند سابقه میزبانی تعدادی دامنه (وب‌گاه) مرتبط با مأمور وزارت اطلاعات ایران، مسعود خدابنده را دارد. خدابنده از این دامنه‌ها برای یک کمپین دروغ‌پراکنی در رسانه‌های غربی استفاده کرده بود. این کمپین برای بی‌اعتبار کردن و شیطانی نشان دادن اصلی‌ترین حزب مخالف ایرانی یعنی سازمان مجاهدین خلق در رسانه‌ها راه‌اندازی شد. بر اساس گزارش بنگاه خبری The Hill این وب‌گاه‌ها به دستور حکومت ایران راه‌اندازی شده و توسط پنتاگون شناسایی شدند. روند توسط حکومت ایران مدیریت می‌شد و هدف آن راه‌اندازی وب‌گاه‌هایی برای انتشار پروپاگاندا علیه لابی‌های ایرانی-آمریکایی بود.

بر اساس ارزیابی ما در جریان انجام تحقیقات، احتمال می‌رود مؤسسه تحقیقات سایبری ایران به روند برای انجام فعالیت‌های دروغ‌پراکنی مخر بانه‌اش کمک می‌کرده است.

دانشگاه امام حسین

دانشگاه جامع امام حسین دانشگاهی ایرانی مستقر در تهران و وابسته به سپاه، وزارت علوم، تحقیقات و فناوری، وزارت دفاع و پشتیبانی نیروهای مسلح است.

در جریان تحقیقاتمان، متوجه علاقه زیاد دانشگاه امام حسین به مراکز آموزش عالی و دپارتمان‌های دولتی اسپانیا شدیم. شبکه‌های دو تا از مراکز دانشگاهی اسپانیا (که با مؤسسه تحقیقات سایبری ایران ارتباط داشتند) حجم بالایی از داده را با IP های دانشگاه امام حسین تبادل کرده بودند.

نظارت بر IP های دانشگاه امام حسین نشان‌ می‌دهد،‌ این دانشگاه وب‌گاه شرکت نرم‌افزاری-مهندسی و چندملیتی Gamma Technologies را مرتب مرور (browse) می‌کرد. فعالیت‌های این IP ها در وب‌گاه Gamma بر روی محصول نرم‌افزاری این شرکت به نام GT-SUITE متمرکز بود.

مؤسسه مبنا 

همان‌طور که گفتیم، مؤسسه مبنا به خاطر همکاری در حملات جاوسوسی-سایبری حکومت ایران، توسط FBI متهم شناخته شد. تحقیقات از منابع عمومی، ما را به دامنه mabna-ins.ir رساند، دامنه‌ای که احتمالاً مرتبط با همین گروه است. این دامنه درگذشته بر روی IP ایرانی ۵٫۱۴۴٫۱۳۰٫۲۳ قرار داشت و بعد از ۲۲ آوریل ۲۰۱۷، به یک VPS آلمانی با آدرس ۱۴۴٫۷۶٫۸۷٫۸۶ منتقل شد. این VPS آلمانی بیش از ۲۰۰۰ دامنه دیگر را میزبانی می‌کند که اغلب آن‌ها پسوند.ir دارند.

نیت و سناریوها برای انتقام‌جویی و توصیه‌های ما

بر اساس شروط برجام، ایران در ازای کاهش تحریم‌ها محدود شدن برنامه هسته‌ای خود را پذیرفت. بااین‌وجود، برخی از شروط مختلف این عهدنامه در طول ۲۵ سال آینده و در سال‌های مختلف یکی‌یکی منقضی می‌شوند و عمر برخی از این شروط تا سال ۲۰۲۵ است.

۸ می ۲۰۱۸ (۱۸ اردیبهشت) رئیس‌جمهور ترامپ، علاوه بر تصمیم برای عدم تمدید تعلیق برخی از تحریم‌های آمریکایی، عملاً از برجام خارج شد. درنتیجه ارزیابی ما این است که به‌احتمال‌زیاد، ایران در پاسخی سریع به این اقدام ترامپ، حملات مخربی علیه مراکز کسب‌وکار آمریکا، اروپا و رقبای خود مانند عربستان و اسراییل راه‌اندازی خواهد کرد.

همچنین ممکن است ایران از طریق هم‌پیمانان سایبری خود (به‌صورت نیابتی) کمپین‌های سایبری دقیق (روشمند) و پایدار برای انتقام‌جویی تدارک ببیند. این کمپین‌ها ممکن است به همراه حملات مخرب ترکیب و به کار گرفته شوند. با توجه به ازسرگیری و توسعه تحریم‌های اقتصادی، به‌احتمال فراوان، مراکز کسب‌وکار آمریکا، اروپا و رقبای ایران هدف حملات مخرب پایدار بیشتری از سوی این کشور قرار بگیرند.

مستندات ارائه‌شده در این گزارش، نشان می‌دهد، هنگامی‌که ایران به دنبال انجام عملیات سایبری سریع باشد وابستگی سیاسی و دینی نیروها را با استعدادهای تهاجمی-سایبری آن‌ها می‌سنجد. بهترین نیروها همواره معتقدترین‌ها و وفادارترین‌ها به رژیم نیستند و ارزیابی ما نشان می‌دهد که در این موارد (مواردی که نیاز به یک عملیات سریع باشد)، سپاه خیلی در انتخاب پیمان‌کارهایش دقت (و وسواس) به خرج نمی‌دهد و تمرکزش را بر انجام یک حمله مخرب در مدت‌زمان کوتاه قرار می‌دهد.

علاوه بر این، تحقیقات ما نشان می‌دهد، نیاز به یک حمله سریع، جمهوری اسلامی را وادار می‌کند تا پیمان‌کارهایی را مورداستفاده قرار دهد که از لحاظ سیاسی و ایدئولوژیک وابستگی کمتری [به حکومت] دارند و کنترلشان سخت‌تر است. همین موضوع توانایی حکومت برای کنترل مقیاس و وسعت حملات مخرب را کاهش می‌دهد.

مراکز کسب‌وکار غربی باید به‌دقت حوادث ژئوپلیتیک رخ‌داده از سوی آمریکا و اروپا که بر ایران تأثیر دارد و مرتبط با ایران است را زیر نظر بگیرند. همان‌طور که در این گزارش به‌صورت مستند بیان شد، مراکز کسب‌وکار غربی، اهداف منطقی‌ای برای انتقام‌جویی‌های ایرانی‌ها به شمار می‌روند. این مراکز مورد تهدید، بیشتر در بخش‌های مالی، سازمان‌های دولتی، زیرساخت‌های حیاتی و بخش‌های نفت‌گر قرار دارند.»

*گزارش فوق، به‌صورت خلاصه منتشرشده است و گزارش کلی نیست.