عملیات نفوذ سایبری

آیا ادمین قالیباف و مجتبی یکی بوده؟

متادیتای فایل‌های مجتبی خامنه‌ای نشان می‌دهد ادمین‌های حساب او در چند هفته پیش از مک به ویندوز مهاجرت کرده‌اند اما از زمان رهبر شدن او تا این تغییر، انطباق معنی‌داری با متادیتای فایل‌های حساب قالیباف داشته‌است.

تحریریه رازنتتولید، ویرایش و انتشار گزارش‌ها، تحلیل‌ها و محتوای آموزشی درباره حقوق دیجیتال، سانسور، نظارت و امنیت کاربران

۲ تیر ۱۴۰۵

8 دقیقه مطالعه

متادیتای چند فایل PDF منتشرشده از سوی دفتر محمدباقر قالیباف و حساب منتسب به دفتر نشر آثار علی خامنه‌ای، پرسشی ساده اما مهم را مطرح کرده است: آیا این دو مجموعه رسانه‌ای از یک ادمین، یک طراح یا یک زنجیره تولید مشترک استفاده می‌کنند؟

پاسخ کوتاه این است: هنوز نمی‌توان چنین ادعایی را ثابت کرد. اما ردپای فنی دیده‌شده در فایل‌ها آن‌قدر قابل توجه است که نمی‌توان آن را هم نادیده گرفت. آنچه فعلاً از تصاویر منتشرشده برمی‌آید، نه اثبات «یکی بودن ادمین‌ها»، بلکه نشانه‌ای از شباهت در محیط تولید فایل، احتمال استفاده از قالب مشترک، فایل مادر مشترک، پیمانکار مشترک یا دست‌کم یک مسیر تولید محتوای نزدیک در تولید PDFهاست.

متادیتای پرسونای «مجتبی» چه می‌گوید؟

ماجرا از بررسی متادیتای چند فایل PDF شروع شد. متادیتا اطلاعاتی است که درون فایل باقی می‌ماند و می‌تواند چیزهایی درباره نرم‌افزار سازنده، نسخه نرم‌افزار، سیستم‌عامل، زمان ایجاد، زمان ویرایش، زبان سند، کتابخانه خروجی PDF و شناسه‌های داخلی سند نشان دهد. این اطلاعات برای خواننده عادی معمولاً دیده نمی‌شود، اما در بررسی‌های فنی می‌تواند ردپای زنجیره تولید یک سند را آشکار کند.

در نمونه‌های منتشرشده، دو فایل مرتبط با دفتر قالیباف در روزهای ۷ و ۲۰ مه ۲۰۲۶ با نسخه ۲۱ ادوبی ایندیزاین روی سیستم‌عامل مکینتاش تولید شده‌اند.

در نمونه دیگری از حساب مجتبی خامنه‌ای، در ۲۹ مه ۲۰۲۶ نیز همین امضا دیده می‌شود. اما در فایل دیگری از همین حساب، مربوط به ۴ ژوئن ۲۰۲۶، محیط تولید تغییر کرده و فایل با Adobe InDesign 21.3 روی Windows ساخته شده است.

آیا «مجتبی» مک‌بوک را پس‌داده؟

این تغییر، از نظر فنی، معنادار است. معنای آن لزوماً این نیست که «ادمین دفتر خامنه‌ای (دوم) کامپیوترش را از ویندوز به مک عوض کرده»؛ این فقط یکی از احتمالات است. احتمال‌های دیگری هم وجود دارد: ممکن است فایل دوم را فرد یا واحد دیگری ساخته باشد؛ ممکن است فایل اولیه در یک محیط تولید شده و خروجی نهایی در محیط دیگری گرفته شده باشد؛ ممکن است نسخه نرم‌افزار به‌روزرسانی شده باشد؛ یا ممکن است مرحله خروجی گرفتن PDF از زنجیره تولید اصلی جدا شده باشد. بنابراین، مشاهده تغییر از مکینتاش به ویندوز یک نشانه واقعی است، اما به‌تنهایی برای نتیجه‌گیری سازمانی کافی نیست.

نکته مهم‌تر، شباهت در «امضای ابزار» یا Tool Signature است. در نمونه‌های منتشرشده، ترکیبی مشابه از Adobe InDesign 21.0، Adobe PDF Library 18.0، Adobe XMP Core 10.0، PDF version 1.4 و زبان ar-SA دیده می‌شود. اگر چند فایل ظاهراً مستقل، در فاصله زمانی نزدیک، با چنین ترکیبی ساخته شده باشند، احتمال استفاده از محیط کاری مشابه یا قالب مشترک تقویت می‌شود.

ایا ادمین «مجتبی» و قالیباف یکی است؟

با این حال، باید میان «شباهت نرم‌افزاری» و «اثبات منبع مشترک» فرق گذاشت. ایندیزاین نرم‌افزار رایجی در طراحی صفحه، پوستر، بروشور و خروجی‌های رسمی PDF است. بنابراین اینکه دو مجموعه هر دو از ایندیزاین استفاده کنند، عجیب نیست. حتی یکسان بودن نسخه نرم‌افزار هم به‌تنهایی اثر انگشت قطعی محسوب نمی‌شود، به‌خصوص اینکه نسخه‌های کرک‌شده در ایران معمولا منبع واحدی دارند. اما وقتی نسخه نرم‌افزار، سیستم‌عامل، کتابخانه PDF، XMP Toolkit، زبان سند و احتمالاً شناسه داخلی سند به‌طور هم‌زمان مشابه می‌شوند، موضوع از یک شباهت ساده فراتر می‌رود.

یکی از جزئیات جالب در این نمونه‌ها، ثبت زبان ar-SA است؛ یعنی Arabic, Saudi Arabia. این نکته برای اسناد فارسی رسمی غیرمنتظره است، اما نباید بیش از حد تفسیر شود. ar-SA الزاماً نشانه ارتباط خارجی، استفاده از سیستم سعودی یا هیچ فرضیه سیاسی خاصی نیست. در محیط ادوبی، به دلیل خدماتی که این شرکت به مشتریان عربی می‌دهد، نسخه های ar-SA برای کاربران فارسی‌زبان، مساله فونت و راست‌به‌چپ تویسی را حل می‌کنند. همچنین زبان سند می‌تواند از تنظیمات قالب، paragraph style، proofing language، presetهای قبلی یا تنظیمات منطقه‌ای پروژه آمده باشد. اما اگر همین مقدار در فایل‌های دو منبع مختلف تکرار شود، می‌تواند نشانه‌ای از استفاده از template یا محیط طراحی مشترک باشد.

بخش مهم‌تر ادعا به OriginalDocumentID مربوط است. اگر در فایل‌های اصلی تأیید شود که چند فایل منتشرشده از سوی این دو منبع، OriginalDocumentID مشترک دارند، وزن فنی این کشف بیشتر می‌شود. در اکوسیستم Adobe و XMP، OriginalDocumentID معمولاً برای ردیابی تبار سند استفاده می‌شود. تکرار آن می‌تواند نشان دهد فایل‌ها از یک سند مادر، یک template یا یک پروژه اولیه مشترک منشأ گرفته‌اند. این البته باز هم ثابت نمی‌کند که همان شخص فایل‌ها را ساخته است، اما احتمال اشتراک در زنجیره تولید را جدی‌تر می‌کند.

بنابراین، پاسخ دقیق به سوال این مقاله این است: «نه، هنوز ثابت نشده که ادمین قالیباف و مجتبی خامنه‌ای یکی است؛ اما ردپای فنی موجود، احتمال اشتراک در بخشی از زنجیره تولید محتوا را مطرح می‌کند.»

این تفاوت مهم است. «ادمین» معمولاً به کسی گفته می‌شود که یک کانال یا حساب را مدیریت و محتوا را منتشر می‌کند. اما تولید یک فایل PDF می‌تواند چند مرحله داشته باشد: نگارش متن، طراحی گرافیک، صفحه‌آرایی، ساخت فایل ایندیزاین، خروجی گرفتن PDF، ارسال به تیم انتشار و نهایتاً بارگذاری در تلگرام یا شبکه‌های اجتماعی. اشتراک در متادیتا الزاماً به معنای اشتراک در همه این مراحل نیست. ممکن است فقط طراح مشترک باشد. ممکن است فقط قالب مشترک باشد. ممکن است یک پیمانکار بیرونی برای چند دفتر کار کرده باشد. ممکن است یک فایل مادر در میان چند تیم جابه‌جا شده باشد. یا ممکن است یک واحد رسانه‌ای بالادستی، خروجی‌های چند مجموعه را آماده کرده باشد.

اهمیت سیاسی و رسانه‌ای متادیتا

این مثال نشان می‌دهد متادیتای فنی می‌تواند لایه‌هایی از تولید پیام رسمی در ساختار قدرت جمهوری اسلامی را نشان دهد؛ لایه‌هایی که معمولاً در متن پیام، لوگو، پوستر یا کپشن دیده نمی‌شوند. اگر فایل‌های دفتر قالیباف و دفتر نشر آثار خامنه‌ای واقعاً از قالب، سند مادر یا workflow مشترک آمده باشند، این می‌تواند نشانه‌ای از نزدیکی عملیاتی در تولید محتوا، استفاده از پیمانکاران مشترک یا هماهنگی رسانه‌ای در سطحی فراتر از ظاهر رسمی حساب‌ها باشد.

باید توجه کرد که تحلیل براساس متادیتا به احتیاط بیشتری هم نیاز دارد. متادیتا قابل دستکاری است. فایل‌ها ممکن است چند بار export شده باشند. ممکن است یک فایل PDF پس از تولید اولیه در نرم‌افزار دیگری باز و دوباره ذخیره شده باشد. ممکن است داده‌های XMP از یک تمپلیت قدیمی به فایل‌های جدید منتقل شده باشد. ممکن است ابزار استخراج متادیتا بخشی از اطلاعات را ساده‌سازی کرده باشد. بنابراین، برای تبدیل این کشف به یک نتیجه تحقیقی محکم‌تر، باید فایل‌های اصلی PDF دانلود و مستقل بررسی شوند.

راستی‌آزمایی دقیق‌تر نیازمند چند مرحله است: استخراج متادیتا با ابزارهایی مانند ExifTool، pdfinfo یا Adobe Acrobat Preflight؛ مقایسه DocumentID و OriginalDocumentID در فایل‌های خام؛ بررسی زنجیره زمانی فایل‌ها پیش و پس از ۴ ژوئن؛ مقایسه نمونه‌های بیشتر از هر دو منبع؛ و حذف احتمال‌هایی مثل استفاده از template عمومی، preset مشترک ادوبی یا شرکت پیمانکار گرافیکی مشترک.

جمع‌بندی

بر اساس شواهد فعلی، می‌توان سه سطح احتمال را از هم جدا کرد. سطح حداقلی این است که هر دو مجموعه از نسخه مشابه ادوبی ایندیزاین و تنظیمات مشابه استفاده کرده‌اند. سطح میانی این است که فایل‌ها از یک template، فایل مادر، طراح یا پیمانکار مشترک ساخته شده‌اند. سطح قوی‌تر، اما هنوز اثبات‌نشده، این است که بخشی از تولید یا آماده‌سازی فایل‌های PDF در یک واحد رسانه‌ای مشترک یا هماهنگ‌شده انجام شده است.

هیچ‌کدام از این سه سطح، به‌تنهایی، ثابت نمی‌کند که ادمین‌ها یکی هستند. اما سطح دوم و سوم می‌تواند برای تحقیقات بعدی مهم باشد، چون نشان می‌دهد ردپای فنی فایل‌ها ممکن است چیزی درباره پشت‌صحنه تولید پیام رسمی در جمهوری اسلامی بگوید؛ پشت‌صحنه‌ای که گاهی از خود متن پیام مهم‌تر است.

اشتراک‌گذاری: