هکرهای ایرانی به دنبالِ اطلاعات کاربران تلگرام و اینستاگرام
گروه امنیتی تالوس (Talos) وابسته به سیسکو (Cisco) در گزارش اخیر خود به ۳ حملهی مختلف علیه کاربران تلگرام و اینستاگرام پرداخته است. به گفتهی تالوس نشانهی قویای از ارتباط این حملهها به همدیگر موجود نیست. این سه حمله شاملِ توزیع اپلیکیشنهای دستکاری شده برای افزایش مخاطب در تلگرام و اینستاگرام، فیشینگ برای دزدی اکانتهای تلگرام و سرویسهای دیگر و همچنین دزدی ترافیکِ تلگرام با استفاده از پروتکل BGP است.
گروه امنیتی تالوس (Talos) وابسته به سیسکو (Cisco) در گزارش اخیر خود به ۳ حملهی مختلف علیه کاربران تلگرام و اینستاگرام پرداخته است. به گفتهی تالوس نشانهی قویای از ارتباط این حملهها به همدیگر موجود نیست. این سه حمله شاملِ توزیع اپلیکیشنهای دستکاری شده برای افزایش مخاطب در تلگرام و اینستاگرام، فیشینگ برای دزدی اکانتهای تلگرام و سرویسهای دیگر و همچنین دزدی ترافیکِ تلگرام با استفاده از پروتکل BGP است.
اپلیکیشنهای ناخواسته
از اولین نمونهی حمله علیه کاربران میتوان به اپلیکیشنهای متعددی برای گوشیهای اندرویدی و آیفون اشاره کرد که کارکرد اصلیشان افزایش مخاطب، افزایش لایک و مانند آن است اما بررسیها نشان میدهد که سازندگان اپلیکیشنها همزمان اطلاعات مهم کاربران را جمعآوری میکنند. اطلاعات جمعآوری شده شامل رمز عبور نمیشود اما همچنان میتوانند امکان کنترلِ حساب کاربری را به سازندگان اپلیکیشن بدهند. علاوه بر این، نام کاربری و اطلاعات گوشی افراد هم به سِرورهای مرکزی ارسال میشود.
گزارش تالوس نشان میدهد که اپلیکیشنهای متعددی مانند «فالوئر بگیر اینستاگرام» و «عضو بگیر» که همگی محصول گروه ایرانی اندرومدا (Andromedaa) است، در کنار کارایی ادعایی خود، اطلاعات کاربران را سرقت میکنند. با توجه به شرایط این اپلیکیشنها، تالوس آنها را بدافزار ندانسته و در دستهی «اپلیکیشنهای ناخواسته» قرار داده است.
قابل ذکر است که دسترسی گروهِ اندرومدا به حسابِ کاربران، میتواند خطر زیادی را برای کاربران به همراه داشته باشد. مراجع قانونی ایران نمیتوانند به راحتی به اطلاعات کاربران ایرانی تلگرام و اینستاگرام دست پیدا کنند، اما در صورتی که این اطلاعات در اختیار یک شرکت ایرانی باشد، دسترسی به آنها بر اساس قوانین داخلی ایران راحتتر خواهد بود.
صفحههای فیشینگ
این بخش از گزارش تالوس دربارهی صفحههای تقلبی ورود به سرویسهای مختلف از حملهی تلگرام است که برای دزدی از نام کاربری و رمز عبورِ کاربران ایرانی تهیه شدهاند. بر اساس شواهد موجود در گزارش، این حملهها مرتبط با فعالیتهای هکرهای طرفدار حکومت ایران، معروف به چارمینگ کیتن (Charming Kitten)، است. گزارشهای دیگری هم از فعالیتِ این گروه هکری در سالهای اخیر منتشر شده است. زیرساخت استفاده شده برای ساخت و توزیع این سایتهای تقلبی، نشان از فعالیت گسترده و هدفدار این گروه برای دسترسی ب حسابهای تلگرام و سایر سرویسها مانند Hangouts گوگل دارد.
دزدی ترافیک تلگرام
این نمونه حملهها که ما نیز پیش از این در نوشتهی دیگری به تفصیل دربارهی آنها نوشتهایم، با سو استفاده از پروتکل کنترلِ مسیریابی بهینهی ترافیک اینترنت بین سیستمهای خودمختار (Autonomous Systems - AS)، صورت میگیرد و بنا به گفتهی تالوس، نیازمند نوعی از همکاری شرکتهای سرویسدهندهی اینترنت (ISP) است. گزارشها نشان میدهد که حداقل در دو تاریخ، ۳۰ ژوئن و ۳۰ ژوئیه، مسیریابی اشتباهی در ایران اعلام شده و اصلاح آن بیش از دو ساعت زمان برده است. در رفتار غیرطبیعی اول، ترافیک آدرسهایی در لهستان به سمت آدرسهای شرکت مخابرات ایران منحرف شد.
در رفتار غیرطبیعی دیگر که مهمتر از اولی بود، از همان منبع پیشین آدرسهای اشتباهی به کاربران اعلام شد. در طی این دزدی ترافیک، برخی IPهای سرویس تلگرام به جای سِرورهای تلگرام به سمت زیرساختهایی در ایران مسیردهی شد. به گفتهی تالوس، هرچند که غیرممکن است تا هدف واقعی این دزدی ترافیک را اعلام کرد اما ارسال ۴ پیام تبلیغ آدرسِ اشتباه به صورت همزمان که همگی متعلق به تلگرام بودهاند، غیرطبیعی است.
مجموعه حملات مستقل و یا وابسته به حکومت، نشان از اهمیت سرویسهایی مانند تلگرام و اینستاگرام در ایران دارد. هرچند کاربران نمیتوانند از حملات دزدی ترافیک پیشگیری کنند اما نصب اپلیکیشنها از منابع معتبر، عدم نصب اپلیکیشنهای غیرضروری و یا دستکاری شده و غیررسمی، و دقت به آدرس وبسایتهایی که بازدید میکنند پیش از وارد کردن نام کاربری و رمز عبور، میتواند به شکل قابل ملاحظهای خطرات گفته شده در این گزارش را کاهش دهند.
منبع خبر: https://blog.talosintelligence.com/2018/11/persian-stalker.html
❤️ تیم پسکوچه