گزارش کسپرسکی از جاسوسافزاری که در سه سال گذشته پیشرفت چشمگیری داشته است
ZooPark در تلگرام از ایرانی ها جاسوسی می کند
شرکت کسپرسکی در گزارشی از یک عملیات جاسوسی سایبری به نام ZooPark علیه کاربران دستگاه های اندروییدی ساکن خاورمیانه از جمله ایران پرده برداشت.
فناوران- کسپرسکی در گزارشی به نام «در باغ وحش کی به کیه؟ عملیات جاسوسی سایبری که کاربران اندرویید را در خاورمیانه هدف قرار داده است» درباره یک جاسوس افزار که در سه سال گذشته فعال بوده، هشدار داد.
براساس گزارش کسپرسکی، ZooPark یک عملیات جاسوسی است که از ژوئن 2015 بر روی کاربران اندرویید در خاورمیانه متمرکز شده است. این عملیات چهار مرحله داشته است و در طول سه سال گذشته همواره از راه های پیچیده تری برای جاسوسی از کاربران استفاده کرده است. براساس این گزارش در طول یک سال گذشته بشترین تمرکز این عملیات علیه کاربرانی در ایران، مصر، لبنان، اردن و مراکش بوده است.
در این عملیات از شیوه های مختلفی برای آلوده ساختن کاربران استفاده شده است که پیشرفته ترین و موفق ترین آن حملات گودال آب (Waterhole attacks) بوده است. در این نوع حمله، سایت های خبری پرمخاطب شناسایی و هک شده و بازدیدکنندگان این سایت ها به سمت یک سایت دانلود هدایت می شدند و از آنها خواسته می شد یک نرم افزار اندروییدی (apk) دانلود کنند. مواردی چون رفراندوم کردستان و گروه های تلگرامی نیز از جمله زمینه های پرطرفدار مورد استفاده در این عملیات جاسوسی بوده است.
ZooPark از چه چیزی جاسوسی می کرد
کسپرسکی این عملیات را به چهار سطح تقسیم کرده است. در سطح اول که در سال 2015 روی داد، مدل اولیه تنها به جاسوسی از شماره تلفن های مخالط و اکانت های قربانی می پرداخت.
در نسخه دوم در سال 2016 مواردی چون اطلاعات تماس ها، پیامک ها، اطلاعات دستگاه و موقعیت مکانی نیز دزدیده می شد. در گام سوم نیز که در همین سال روی داد، ضبط مکالمات، جزییات برنامه های نصب شده، اطلاعات مرورگر و عکس های ذخیره شده در مموری کارت، به قابلیت های این جاسوس افزار افزوده شد.
در آخرین ورژن آن مربوط به سال 2017 نیز امکانات گسترده ای چون دسترسی به اطلاعات انواع اپلیکیشن ها مانند IMO، تلگرام، کروم و واتس اپ، عکس برداری، فیلم برداری، اسکرین شات و... افزوده شد.
نحوه عمل ورژن های مختلف جاسوس افزار
ورژن نخست این عملیات در سال 2015 تنها به دزدیدن شماره تماس ها از اطلاعات مخاطبات و اکانت های رجیستر شده روی گوشی می پرداخت. این جاسوس افزار شبیه تلگرام با نام TelegramGroup بود و پس از آن که قربانی به صورت دستی آن را باز می کرد، در صورتی که فرد به اینترنت وصل نبود به دو زبان فارسی و انگلیسی از او می خواست که «لطفا به اینترنت متصل شده و یک بار دیگر برنامه را اجرا کنید».
پس از اتصال به برنامه، اطلاعات به سایتی به نشانی rhubarb2.com ارسال می شود. خود برنامه نیز کاملا فارسی بوده و انواع کانال های تلگرامی در آن معرفی می شود.
در ورژن دوم علاوه بر افزوده شدن امکانات جاسوسی بیشتر، از نرم افزارهای بیشتری برای به دام انداختن کاربران استفاده می شد که از جمله آن برنامه all–in–one messenger بوده است.
در ورژن سوم هکرها از جاسوس افزاری مشابه محصول Spymaster Pro که به فروش می رسد استفاده کرده اند. هرچند بررسی کدهای این جاسوس افزار نشان می دهد هکرها به خوبی کدهای Spymaster Pro را درک نکرده اند.
ورژن چهارم، پیشرفته ترین عملکرد را داشته و امکان جاسوسی کامل از دستگاه های قربانیان را برای هکرها فراهم می کرده است.
نکته جالب در این گزارش این است که سایت ها و سرورهای مورد استفاده در این عملیات جاسوسی، به نظر می رسد که ماهیتی ایرانی دارند. برای مثال براساس ادعای این گزارش سرور androidupdaters.comبه نام parspack در whois ثبت شده و نشانی آن در تهران است. یا rhubarb2.com در سنندج به نام محسن ملکیان و dlgmail.com در تهران به نام محمد حسین اثنی عشر ثبت شده است.
نحوه توزیع جاسوس افزار
کسپرسکی دو شیوه نصب نرم افزار در کانال های تلگرامی و گودال آب را به عنوان دو شیوه اصلی توزیع جاسوس افزار شناسایی کرده است.
برای نمونه در شیوه نخست، اپلیکیشنی به نام انتخابات دهم به هدف آلوده ساختن کاربران ایرانی در کردستان نوشته شده بود. در این مورد، کانالی به نام انتخاب دهم روی تلگرام ایجاد شده بود و از علاقه مندان به برگزاری انتخابات در کردستان می خواست برای شرکت در نظرسنجی درباره کاندیداهای استان کردستان (انتخابات مجلس دهم) اپلیکیشن انتخاب 10 را دانلود کنند.
در روش دوم که به نظر می رسد بیشتر کاربران کشورهای عربی را مورد هدف قرار می داد، این جاسوس افزار روی سایت های خبری پرطرفدار قرار می گرفت و در صورتی که کاربر وارد صفحه مورد نظر می شد، بدوت اطلاع وی شروع به دانلود می کرد. البته مرورگرهای مدرن مانند کروم، به کاربر پیش از آغاز دانلود، اطلاع می داد و از او برای دانلود فایل اجازه می گرفت.
قربانیان چه کسانی هستند؟
کسپرسکی اظهار نظر دقیقی درباره قربانیان نکرده است اما به عقیده این شرکت امنیتی، اهداف مهاجمان نشان می دهد طرفداران رفراندوم استقلال کردستان از جمله قربانیان اصلی این جاسوس افزار بوده اند. همچنین سازمان های همکار سازمان ملل درخصوص پناه جوهای سوری که در اردن فعال هستند نیز مورد حمله هدفمند این جاسوس افزار قرار گرفته اند.
نتیجه نهایی
براساس گزارش کسپرسکی از نقطه نظر فنی، ZooPark تحول چشم گیری در چهار مرحله داشته و از حالت بسیار ساده نخست، به یک جاسوس افزار پیچیده تبدیل شده است.
البته به نظر می رسد جاسوس افزار پیشرفته فعلی، از بازار سیاه ابزارهای جاسوسی خریداری شده است که این روزها در حال توسعه بوده و برخی دولت ها در خاورمیانه مشتری آن هستند.