عملیات نفوذ سایبری

فیلترشکن رایگان یا ابزار جاسوسی؟ دام تازه جاسوسی از کاربران ایرانی

گروه تهدید تگ-۱۸۲ (TAG-182) با انتشار فیلترشکن‌ها و ابزارهای جعلی استارلینک، کاربران داخل ایران و مخالفان جمهوری اسلامی در خارج از کشور را به نصب بدافزار نظارتی مارکی‌رت (MarkiRAT) ترغیب می‌کند.

تحریریه رازنت
تحریریه رازنتتولید، ویرایش و انتشار گزارش‌ها، تحلیل‌ها و محتوای آموزشی درباره حقوق دیجیتال، سانسور، نظارت و امنیت کاربران
۲۴ تیر ۱۴۰۵
6 دقیقه مطالعه
فیلترشکن رایگان یا ابزار جاسوسی؟ دام تازه جاسوسی از کاربران ایرانی

گروهی سایبری که پژوهشگران شرکت رکوردد فیوچر (Recorded Future) آن را با نام تگ-۱۸۲ دنبال می‌کنند، در ماه‌های ابتدایی سال ۲۰۲۶ با انتشار فیلترشکن‌ها و نرم‌افزارهای جعلی، کاربران فارسی‌زبان داخل ایران و فعالان ایرانی ساکن اروپا و آمریکای شمالی را هدف قرار داده است. فایل‌هایی که با نام‌هایی مانند «پی‌اس‌تو‌ری وی‌پی‌ان» (Pis2ray VPN)، «یشیکا» (YESHICA) و «وای‌ای‌ام پلیر» (YEMPlayer) منتشر شده‌اند، در واقع برای نصب بدافزار جاسوسی مارکی‌رت روی رایانه قربانی طراحی شده‌اند.

این کارزار از نیاز واقعی شهروندان ایرانی به ابزارهای عبور از فیلترینگ و دسترسی به اینترنت آزاد سوءاستفاده می‌کند. مهاجمان ابزارهای آلوده را به‌عنوان فیلترشکن رایگان، پخش‌کننده ویدئو یا نرم‌افزاری مرتبط با استارلینک معرفی می‌کنند؛ محصولاتی که به‌ویژه هنگام اختلال یا قطع اینترنت می‌توانند برای کاربران داخل کشور جذاب باشند.

طعمه‌ای متناسب با شرایط ایران

یکی از مهم‌ترین ویژگی‌های این عملیات، فارسی‌بودن تبلیغات و شناخت دقیق مهاجمان از فضای سیاسی و اجتماعی ایران است. رکوردد فیوچر پست‌هایی را شناسایی کرده که در آن‌ها نرم‌افزار پی‌اس‌تو‌ری کمی پس از قطع دسترسی به «اینترنت بین‌الملل» تبلیغ شده بود. منتشرکنندگان ادعا می‌کردند برای کمک به کاربران داخل کشور، دسترسی ویژه و رایگان فراهم کرده‌اند.

برخی از این تبلیغات در اینستاگرام منتشر و بعداً حذف شده‌اند. حساب‌های منتشرکننده نیز تلاش می‌کردند خود را حامی اعتراضات، اینترنت آزاد یا مخالف جمهوری اسلامی نشان دهند. به این ترتیب، قربانی ممکن است لینک آلوده را نه از یک حساب آشکارا مشکوک، بلکه از صفحه‌ای دریافت کند که ظاهراً محتوای سیاسی یا ضدسانسور منتشر می‌کند.

در این نوع عملیات، دیدگاه سیاسی و نیاز امنیتی کاربر به بخشی از مهندسی اجتماعی تبدیل می‌شود. مهاجم به‌جای شکستن مستقیم قفل دستگاه، کاربر را قانع می‌کند که فایل را با دست خودش دانلود و اجرا کند.

از فیلترشکن جعلی تا استارلینک تقلبی

پی‌اس‌تو‌ری یکی از مهم‌ترین نام‌های استفاده‌شده در این کارزار است؛ ابزاری که برخلاف ظاهرش، نرم‌افزار رسمی شناخته‌شده‌ای در فروشگاه‌های معتبر نیست. مهاجمان همچنین از نام‌هایی مانند یشیکا، «یشیکا وای‌ای پلیر» (YESHICA YEPlayer) و وای‌ای‌ام پلیر برای معرفی پخش‌کننده‌های ویدئویی جعلی استفاده کرده‌اند.

در نمونه‌ای دیگر، یک وب‌سایت نرم‌افزاری را با نام «استار وی‌پی‌ان» (Star VPN) و به‌عنوان ابزاری مرتبط با استارلینک تبلیغ می‌کرد. هیچ نشانه‌ای وجود ندارد که این برنامه ارتباطی با شرکت اسپیس‌ایکس (SpaceX) یا سرویس رسمی استارلینک داشته باشد.

بیشتر نمونه‌های فنی بررسی‌شده در این گزارش، فایل‌های مربوط به ویندوز هستند؛ از جمله نصب‌کننده‌هایی با پسوندهای .msi و .exe و فایل‌های فشرده‌شده در قالب .zip و .rar. بنابراین شواهد منتشرشده، به‌طور مشخص خطر آلودگی رایانه‌های ویندوزی را نشان می‌دهد.

بدافزار چگونه وارد دستگاه می‌شود؟

زنجیره حمله با یک پست شبکه اجتماعی یا وب‌سایت جعلی آغاز می‌شود. کاربر فایل فیلترشکن یا پخش‌کننده ویدئو را دانلود می‌کند و پس از اجرای آن، بدافزار مارکی‌رت روی سیستم فعال می‌شود. سپس بدافزار با سرورهای تحت کنترل مهاجمان ارتباط برقرار می‌کند.

برخی از سرورهای این عملیات حتی زمانی که در مرورگر پیام خطا نمایش می‌دهند، همچنان فایل آلوده را تحویل می‌دهند. به زبان ساده، دیدن صفحه «پیدا نشد» یا «خطای سرور» الزاماً به این معنی نیست که هیچ فایلی دانلود نشده است.

مارکی‌رت برای انتقال اطلاعات از ابزار قانونی «سرویس انتقال هوشمند پس‌زمینه» (Background Intelligent Transfer Service یا BITS) در ویندوز استفاده می‌کند. این سرویس معمولاً برای دریافت به‌روزرسانی‌ها و انتقال فایل در پس‌زمینه به کار می‌رود، اما مهاجمان می‌توانند از آن برای پنهان‌کردن ارتباط بدافزار با سرور فرماندهی استفاده کنند.

مارکی‌رت چه اطلاعاتی را جمع‌آوری می‌کند؟

نسخه‌های پیشین مارکی‌رت توانایی ثبت کلیدهای فشرده‌شده، سرقت محتوای حافظه موقت، گرفتن تصویر از صفحه، جابه‌جایی فایل و اجرای فرمان از راه دور را داشته‌اند. این بدافزار همچنین می‌توانسته اسناد، تصاویر، کلیدهای رمزنگاری و فایل‌های مربوط به مدیریت رمزعبور را جست‌وجو کند.

پوشه‌های تلگرام، اسکایپ و وایبر نیز از جمله مسیرهایی بوده‌اند که نمونه‌های قدیمی برای یافتن اطلاعات بررسی می‌کردند. در یک روش قابل‌توجه، بدافزار برنامه مدیریت رمزعبور کی‌پس (KeePass) را می‌بست تا کاربر مجبور شود رمز اصلی خود را دوباره وارد کند. سپس بدافزار می‌توانست این رمز را با ثبت کلیدهای صفحه‌کلید سرقت کند.

این قابلیت‌ها به نسخه‌های تاریخی خانواده مارکی‌رت مربوط هستند و لزوماً همه آن‌ها در نمونه‌های تازه تأیید نشده‌اند؛ بااین‌حال سابقه این بدافزار نشان می‌دهد آلودگی به آن می‌تواند پیامدهای جدی داشته باشد.

ارتباط احتمالی با گروهی قدیمی‌تر

مارکی‌رت پیش‌تر به گروه «فروشیوس کیتن» (Ferocious Kitten) نسبت داده شده بود؛ گروهی که دست‌کم از سال ۲۰۱۵ کاربران فارسی‌زبان، فعالان سیاسی و مدافعان حقوق بشر را هدف قرار داده است.

رکوردد فیوچر میان نمونه‌های جدید و عملیات‌های تاریخی این گروه شباهت‌هایی پیدا کرده، اما شواهد فعلی برای اثبات اینکه تگ-۱۸۲ و فروشیوس کیتن دقیقاً یک گروه هستند کافی نیست. این شرکت همچنین نتوانسته تگ-۱۸۲ را مستقیماً به سپاه، وزارت اطلاعات یا نهاد امنیتی مشخص دیگری منتسب کند.

ارزیابی پژوهشگران این است که این گروه به احتمال زیاد بخشی از اکوسیستم عملیات‌های سایبری حامی جمهوری اسلامی است؛ اکوسیستمی که شهروندان ایرانی و شبکه‌های مخالف حکومت را در داخل و خارج از کشور هدف قرار می‌دهد.

وقتی ابزار دورزدن فیلترینگ به ابزار نظارت تبدیل می‌شود

خطر اصلی این کارزار در سوءاستفاده از اعتماد کاربران نهفته است. عبارت‌هایی مانند «وی‌پی‌ان رایگان برای مردم ایران»، «نسخه ویژه زمان قطعی اینترنت» یا «دسترسی اضطراری به استارلینک» می‌توانند بخشی از یک عملیات جاسوسی باشند.

کاربرانی که فایل‌هایی با نام پی‌اس‌تو‌ری، یشیکا، وای‌ای پلیر، وای‌ای‌ام پلیر یا استار وی‌پی‌ان نصب کرده‌اند، باید احتمال آلودگی را جدی بگیرند. قطع دستگاه از اینترنت، تغییر رمزهای مهم از یک دستگاه سالم، خروج از نشست‌های فعال ایمیل و پیام‌رسان‌ها و بررسی تخصصی ویندوز از اقدامات ضروری است.

گزارش تگ-۱۸۲ بار دیگر نشان می‌دهد که برای کاربران ایرانی، پرسش اصلی پیش از نصب یک فیلترشکن ناشناس فقط این نیست که «آیا کار می‌کند؟»؛ بلکه باید پرسید چه کسی آن را ساخته، از کجا منتشر شده و در برابر دسترسی به اینترنت، چه اطلاعاتی از کاربر دریافت می‌کند.

اشتراک‌گذاری: