نرم‌افزارهای قانونی، اهداف غیرقانونی

امنیت سایبری
نرم‌افزارهای قانونی، اهداف غیرقانونی
چگونه جمهوری اسلامی با تروجان EyeSpy شهروندان را زیر نظر می‌گیرد

مرز میان نرم‌افزارهای نظارتی قانونی و بدافزارهای مخرب به شکل فزاینده‌ای در حال محو شدن است. در این میان، جمهوری اسلامی در سال‌های اخیر، به‌طور فزاینده‌ای در حال استفاده از فناوری‌های تجسسی است که تحت پوشش نرم‌افزارهای به ظاهر قانونی (تحت قانون اپ‌استورها) عمل می‌کنند.

یکی از نمونه‌های آشکار این نوع تهدید، بدافزاری به نام EyeSpy بود که در سال‌های پیش در گزارش Blackpoint Cyber با عنوان «چشم جاسوس: خطرات بدافزارهای قانونی» تحلیل شد. EyeSpy که در ایران توسعه یافته، از طریق نسخه‌های تروجان‌شده نرم‌افزارهای رایجی مانند وی‌پی‌ان‌های محبوب، در سیستم کاربران نصب شده و فعالیت آن‌ها را به‌صورت گسترده رصد می‌کند.

این بدافزار، نخستین‌بار در نسخه آلوده‌ای از وی‌پی‌ان «20Speed» کشف شد که به‌طور گسترده در ایران استفاده می‌شود (گزارش Bitdefender). تحلیل فنی نشان می‌دهد که این نرم‌افزار جاسوسی نه‌تنها موقعیت مکانی، فایل‌ها و داده‌های حساس کاربران را جمع‌آوری می‌کرد، بلکه از قابلیت keylogging برای ثبت تمام فعالیت‌های کیبورد نیز بهره می‌برد. این بدان معناست که اطلاعات ورود به حساب‌ها، مکاتبات خصوصی، رمزهای کیف‌پول رمزارز و حتی جستجوهای ساده در مرورگر، همگی قابل شنود بودند.

Bitdefender-PR-Whitepaper-EyeSpyVPN-creat625-en-EN.pdf

EyeSpy؛ چشم دوم یا جاسوس دیجیتال

تحلیل فنی بلک‌پوینت روی یک ابزار جاسوسی به نام «SecondEye» بود که هکرهای وابسته به جمهوری اسلامی ایران، از آن برای سرقت اطلاعات و به‌ویژه گذرواژه‌های ذخیره‌شده در مرورگرها استفاده می‌کردند. این ابزار که در ظاهر به عنوان یک نرم‌افزار کنترل والدین یا نظارت بر کارمندان به بازار عرضه می‌شد. این نرم‌افزار را ایرانی به نام «UltimateSoft Co» ساخته و هر چند دامنه اصلی آن مسدود شده اما وب‌سایت آن همچنان از طریق یک سرور در آلمان قابل دسترس است.

مهاجمان با بهره‌گیری از زیرساخت این نرم‌افزار، از جمله سرورهایی در ایران و آلمان، حملات خود را سازمان‌دهی می‌کردند. فرآیند حمله با اجرای یک فایل اولیه با نام‌های sysBus32.exe یا winBus32.exe آغاز می‌شود. این فایل حاوی نام کاربری و رمز عبور سرور FTP (پروتکل انتقال فایل) به صورت رمزنگاری‌نشده است و از آن برای دانلود مراحل بعدی بدافزار استفاده می‌کند.

یکی از فایل‌های کلیدی در این حمله، اسکریپتی به نام sysUp32.bat است که وظیفه آن استخراج و سرقت اطلاعات حساس از مرورگرهای فایرفاکس و کروم است. این اسکریپت پس از جمع‌آوری گذرواژه‌ها و دیگر اطلاعات کاربری، آن‌ها را در یک فایل فشرده قرار داده و به سرور مهاجمان ارسال می‌کند. تحلیلگران همچنین فایلی به نام sysList.php را روی سرور کشف کردند که حاوی فهرستی از دستگاه‌ها و کاربران قربانی بود و نکته قابل توجه این است که تمامی این قربانیان ایرانی بودند.

EyeSpy؛ جاسوس دیجیتالی بومی‌سازی‌شده

بر اساس یافته‌های تحلیلگران، EyeSpy مبتنی بر یک پروژه متن‌باز به نام «RevengeRAT» ساخته شده که از پیش در جوامع سایبری شناخته‌شده بود. توسعه‌دهندگان این تروجان، با ایجاد نسخه‌ای بومی، قابلیت‌های آن را با نیازهای نظارتی در ایران سازگار کرده‌اند. از جمله امکانات خاص EyeSpy می‌توان به موارد زیر اشاره کرد:

  • ضبط مکالمات صوتی از طریق میکروفن
  • گرفتن اسکرین‌شات از صفحه‌نمایش در بازه‌های زمانی منظم
  • جمع‌آوری فایل‌های خاص از مسیرهای حساس (مانند پوشه Documents یا Desktop)
  • دسترسی به حافظه مرورگر و استخراج کوکی‌ها و session tokens
  • قابلیت کنترل از راه دور کامل سیستم قربانی

این قابلیت‌ها، EyeSpy را به ابزاری تمام‌عیار برای جاسوسی بر شهروندان، فعالان، روزنامه‌نگاران و کاربران حساس در ایران بدل کرده است. نکته مهم این است که EyeSpy نه از آسیب‌پذیری امنیتی، بلکه از اعتماد کاربران سوءاستفاده می‌کرد؛ شکلی از حمله که در ادبیات امنیت سایبری به آن «سوءاستفاده از مهندسی اجتماعی و نرم‌افزارهای قانونی» گفته می‌شود.

کمپین EyeSpy گرچه مستقیماً از طرف یک نهاد دولتی اعلام نشده، اما به‌دلیل گستردگی، پیچیدگی، و هدف‌گیری دقیق آن، نمی‌تواند بدون اطلاع یا حمایت بخش‌هایی از ساختار امنیتی جمهوری اسلامی اجرا شده باشد. تحلیلگران معتقدند که این عملیات یا توسط یک پیمانکار امنیتی مستقل، یا با هدایت غیررسمی از نهادهایی مانند سپاه یا وزارت اطلاعات انجام شده است.

همچنین، این بدافزار از سرورهایی استفاده می‌کرده که در داخل ایران میزبانی می‌شده‌اند و به‌سادگی توسط فایروال‌های ملی قابل رهگیری نبوده‌اند. این نشان‌دهنده نوعی حمایت یا دست‌کم چشم‌پوشی نهادی از گسترش این ابزار در فضای سایبری داخلی است.

در غیاب نهادهای حافظ حقوق کاربران یا قانون‌گذاری مستقل برای حفاظت از داده‌ها، قربانیان EyeSpy هیچ امکان پیگیری یا شکایتی ندارند. این وضعیت، خطر عادی‌سازی «تجسس دولتی بدون پاسخگویی» را افزایش می‌دهد و فضایی ایجاد می‌کند که هر کلیک، هر نصب، و هر جستجو می‌تواند تحت شنود باشد.

نتیجه‌گیری: امنیتی‌سازی نرم‌افزارهای روزمره

توسعه بدافزار EyeSpy نمونه‌ای از چرخش خطرناک در راهبردهای سایبری جمهوری اسلامی ایران است؛ عبور از فیلترینگ صرف، و حرکت به‌سوی کنترل عمیق و نفوذ مستقیم به زندگی دیجیتال شهروندان. استفاده از نرم‌افزارهایی با ظاهر قانونی، که خود در پاسخ به محدودیت‌های حکومتی به‌وجود آمده‌اند، به شکلی مضاعف کاربران را قربانی می‌کند: اول با سانسور، سپس با نفوذ.

در چنین شرایطی، امنیت دیجیتال در ایران نیازمند سطحی از آگاهی، احتیاط، و حمایت بین‌المللی است که بتواند از کاربران در برابر این موج جدید از حملات حکومتی دفاع کند. بدافزار EyeSpy زنگ خطری است برای همه ما: اینکه دیگر هیچ برنامه‌ای، حتی فیلترشکن‌ها، بدون اعتبارسنجی و تحلیل دقیق، نباید مورد اعتماد قرار گیرد.