قسمت اول: دکتر ژیلا معصومی
تصمیم گرفتم از امروز هر چند وقت یک بار در مورد یکی از حملههایی که توسط هکرهای حکومتی ایران به فعالین مدنی شده است، با حد مشخصی از جزییات بنویسم. این مطالب دارای ساختاری یکسان خواهند بود و تلاش میکنم تا وارد مباحث پیچیده فنی نشوم. هدف من از نوشتن این مطالب بالابردن سطح هوشیاری کسانی است که پتانسیل قربانی شدن توسط یکی از این حملهها را دارند.
این سلسه مطالب دارای سه بخش هستند. بخش اول که داستان حمله است که از قول قربانی نقل خواهد شد. برای حفظ حریم خصوصی قربانیان، نامهای افراد، مکانها و تمام مواردی که میتواند به شناسایی هویت قربانیان کمک کند تغییر داده شدند و فقط ساختار اصلی رخداد را حفظ کردم. در بخش دوم تلاش میکنم تا بدون وارد شدن به تحلیل فنی ماجرا، توضیح دهم که چه اتفاقی رخ داده است. و در بخش سوم، توصیههایی را برای حفظ امنیت ارایه میدهم.
نام این اولین قسمت را دکتر معصومی گذاشتم.
داستان
در روز ۱۳ آبان پیامی از فردی به نام دکتر ژیلا معصومی ساکن پاریس دریافت کردم. با وجود اینکه این خانم دکتر را نمیشناختم اما متن پیام فرستاده شده برایم جالب بود:
“سلام عزیزم. یکی از دوستان شماره تو رو بهم داد و گفت که در رابطهات با همسرت دچار مشکل هستی. من تو این فایل برات یک سری از سرفصلهای ارتباط بهتر زناشویی رو نوشتم. بازش بکن و مطالعه بکن. مطمئن هستم که همه چیز خوب خواهد شد.”
برای یک دقیقه همین که چطور میتونم رابطه بهتری با همسرم داشته باشم اینقدر برام هیجان انگیز بود که بدون هیچ فکری فایل رو دانلود و باز کردم. فایل اما باز نشد. برای خانم دکتر نوشتم:
“سلام، خیلی ممنونم از توجه شما. فکر کنم فایل خراب باشد چون باز نمیشود.”
و خانم دکتر در جواب برام نوشت:
“حتمن مشکل از ویندوز است. سعی بکن روی یک مک بازش بکنی.”
من فایل رو بردم روی کامپیوتر همسرم که مک بود. ازش خواستم که فایل رو باز بکند تا با هم بخوانیمش اما همسرم قبول نکرد.
برای خانم دکتر نوشتم، که سرش خیلی شلوغ است و وقت نمیکند، اگر ممکن است به شکل ورد یا پیدیاف ارسال کنند. خانم دکتر هم گفت چون الان دفتر نیست چنین امکانی ندارد و بهم پیشنهاد کرد زمانی که همسرم پای کامپیوتر نیست بازش بکنم. گفت: بالاخره حمام یا دستشویی میرود، همان موقع بازش کن و بخوان.
پشت صحنه
تقریبا هم زمان با همین حمله، با همین بدافزار به پنج خبرنگار ایرانی در خارج از کشور، یک وکیل و سه فعال مدنی داخل ایران حمله شده بود. تمرکز همه حملهها هم به کاربرانی بود که داری سیستم عامل مک بودند. این حمله در سال ۱۳۹۶ رخ داد و گزارشی از آن در همان زمان در وبسایت کمپین حقوق بشر ایران منتشر شد. در پی همین حمله تعداد از قربانیان در ایران بازداشت شدند.
اما دکتر معصومی چه کسی است؟ درواقع کسی به اسم دکتر ژیلا معصومی ساکن پاریس وجود ندارد. هکرهای حکومتی با سواستفاده از تصویر پزشک دیگری در ایران، حسابی در تلگرام ساختند تا راحتتر بتوانند قربانی را فریب دهند.
اگر قربانی فایلهایی که “دکتر معصومی“ برای او فرستاده بود را باز میکرد، با دادن دسترسی به هکر امکان به سرقت بردن فایلهای موجود در کامپیوترش را به وجود میآورد. این بدافزار قدرت این را داشت تا با دانلود فایلهای دیگری از سرور خود، امکان دسترسی از راه دور به کامپیوتر قربانی را فراهم سازد.
بررسیهای من از دامنه مورد استفاده حمله کننده/ها نشان میدهد که دامنه youtubee-videos[dot]com (این دامنه امروز وجود ندارد.) بر روی ایمیل nami.rosoki[at]gmail[dot]com ثبت شده بود. اثر این ایمیل را در تحقیقات ClearSky Cyber Security بر روی حملههای هکرهای ایرانی معروف به «بچه گربههای ایرانی» منتشر شده است.
![دامنههای دیگری که با ایمیل nami.rosoki[at]gmail[dot]com ثبت شده بود و برای حمله فیشینگ استفاده شدند.](https://www.rashidi.io/wp-content/uploads/2020/08/Screen-Shot-2020-08-11-at-6.30.04-AM-1024x209.png)
توصیهها
۱. پاسخ آدمهای ناشناس را ندهید. اگر کسی از زندگی خصوصی شما مطلع است، باید شک کنید که از کجا این اطلاعات را به دست آورده.
۲. به یاد داشته باشید زمانی که بحث حملههای هدفمند با بدافزارهای حکومتی مطرح میشود، داشتن یک برنامه ضدویروس به شما کمک نخواهد کرد. برنامه های ضد ویروس ابتدا باید یک نمونه را دریافت کنند، آن را در آزمایشگاه مورد بررسی و تحلیل قرار دهند و سپس برای برنامه خود یک نسخه به روز رسانی منتشر کنند و شما نیز باید نسخی بروز رسانی شده را دریافت کنید. تمام این فرایند حداقل شش ماه زمان لازم دارد.
۳. همیشه بر روی کامپیوتر خود یک برنامه دیواره آتش نصب داشته باشید. این برنامهها به شما کمک میکنند تا مدیریت ترافیک ورودی و خروجی کامپیوتر را کنترل کنید. با فرض اینکه شما آلوده شدید، با بررسی ترافیک برنامه جدید میتوانید آن را مسدود کنید تا حداقل مانع از به سرقت رفتن اطلاعات خود شوید.
۴. یکی از چیزهای که میتواند به عنوان یک خط قرمز برای قربانی باشد، اصرار زیاد این خانم دکتر برای باز کردن فایل است. خانم دکتر توصیههای میکند که معنای اجرای آنها نقض حریم خصوص کس دیگری است. در چنین مواردی باید از هویت کسی که با شما صحبت میکند -حتی اگر یک دوست است-، اطمینان پیدا کنید.
