گزارشی از نحوه فعالیت “ارتش سایبری”در هک کردن سایت ها

فرورتیش رضوانیه: در چند ماه اخیر فعالیت‌های “ارتش سایبری ایران” مورد توجه رسانه‌های ایرانی و حتی بین‌المللی قرار گرفته است. نظریه وابسته بودن این گروه هکری به دولت ایران زمانی تقویت شد که آن‌ها پس از هک کردن چند وب‌سایت، در صدد دادن هشدار به جنبش سبز برآمدند. وسعت اقدامات صورت گرفته از سوی ارتش سایبری، این نظریه که گروهی از شیفتگان احمدی‌نژاد به صورت خودجوش اقدام به چنین کاری کرده باشند را رد می‌کند. آنچه از پیام‌ها و انتخاب سایت‌های مورد حمله قرار گرفته برمی‌آید، نشان از وجود دست‌هایی پنهان برای حمایت از ارتش سایبری دارد.

بررسی پیام‌های سیاسی منتشر شده از این گروه در ماه‌های اخیر و اظهارات رسمی یک مدیر دولتی صنعت هوایی ایران در دفاع از ارتش سایبری، از دلایلی بود که انگیزه تحقیق دقیق‌تر درباره «ارتش سایبری ایران» را فراهم کرد؛ پرس‌وجو درباره گروهی که تاکنون گفته می‌شد از هکرهای روسی تشکیل شده و پایگاه آن‌ها جایی خارج از ایران است. اما “ارتش سایبری ایران” چیست و خاستگاه آن کجاست. پیش از پرداختن به این جزئیات، مرور چند رخداد ضروری به نظر می‌رسد.

حمله به توییتر

صبح روز جمعه، ۲۷ آذر ۱۳۸۸ امکان دسترسی به وب‌سایت توییتر (Twitter) در برخی از نقاط دنیا قطع شد و کاربران به جای سایت اصلی به پیامی انگلیسی تغییر مسیر داده شدند که ترجمه آن چنین بود:

“آمریکا فکر می‎کند که دارد اینترنت را با دسترسی‎اش کنترل و مدیریت می‎کند، اما این طور نیست؛ این ما هستیم که اینترنت را با قدرت‌مان کنترل و مدیریت می‎کنیم. بنابراین، سعی نکنید مردم ایران را تحریک کنید که… حالا کدام کشور است که در فهرست تحریم است؟ ایران؟ آمریکا؟ ما آن‎ها را می‌چپانیم توی لیست. مراقب باشید!”

حمله به بایدو

صبح روز سه‏‎شنبه، ۲۲ دی ۱۳۸۸ وب‌سایت بایدو (Baidu)، بزرگ‌ترین موتور جستجوگر چینی هک شد. در پیام آن نوشته شده بود:

“ارتش سایبری ایران در اعتراض به دخالت‌های سایت‌های بیگانه و صهیونیستی در امور داخلی کشورمان و پخش اخبار دروغ و تفرقه‎بر‌انگیز راه‌اندازی شده‌است.”

این اقدام به یک جنگ سایبری میان ایران و چین انجامید و گروهی از هکرهای چینی به نام “اتحادیه هانکر”، پایگاه‌های اینترنتی رسمی حکومت ایران از جمله وب‌سایت رسمی ریاست جمهوری و رهبری را هک کردند.

حمله به رادیو زمانه

روز ۱۰ بهمن ۱۳۸۸ ارتش سایبری ایران وب‌سایت رادیو زمانه را هک کرد، صفحه نخست آن را با تصویری منقش به پرچم جمهوری اسلامی ایران و عبارت‌های «یاحسین (ع)» و «خلیج فارس» جایگزین کرد و در پیامی نوشت:

“ارتش سایبری ایران به تمام مزدوران وطن‌فروش هشدار می‌دهد که در دامان اربابان خود نیز آن‌ها را راحت نمی‌گذارد.”

حمله به خبرنامه امیرکبیر

شامگاه ۱۷ بهمن ۱۳۸۸ سایت “خبرنامه امیرکبیر” هک شد. در صفحه نخست آن، این‌بار تصویری منقش به پرچم “یاحسین (ع)” و “فإن حزب‌الله هم الغالبون” جای گرفت. در بخش انتهایی این تصویر، شعری با مضمون ذیل درج شده بود:

“اگر فرمان دهد رهبر، بتازیم

اگر او خواهد از ما، سر ببازیم

اگر صبر و قرار از ما بخواهد

بشینیم و بسوزیم و بسازیم”

حمله به سایت جنبش راه سبز

در ۲۳ بهمن ۱۳۸۸ کاربران سایت جرس‌نیوز که اخبار جنبش سبز را منتشر می‌کند، در صفحه اصلی با این پیام ارتش سایبری ایران مواجه شدند:

“به احترام رفراندومی که در ۲۲ بهمن برگزار شد و مردمی که رأی دادند و به احترام ملتی بزرگ و وطنی به نام ایران… بیشتر از این مهره افرادی که خود در آمریکا در امن و امان به سر می‌برند و از شما به عنوان مهره استفاده می‌کنند، نباشید.”

شوخی با ارتش سایبری ایران

روز ۱۶ بهمن ۸۸، وب‌سایت “خودنویس” که توسط نیک‌آهنگ کوثر اداره می‌شود، در ستون “فالس نیوز” در خبری طنز آمیزنوشت: “ارتش سایبری ایران در اقدامی عجیب و بی‌سابقه، پورتال فرودگاه مهرآباد را هک کرد، به طوری که کاربران این سایت که از کارکنان فرودگاه هستند، با تایپ آدرس آن به سایت شرکت قطارهای رجا هدایت می‌شدند.گفته می‌شود حمله در ساعات ابتدای شب رخ داده و در صورت ادامه یافتن آن تا روز شنبه، فرودگاه مهرآباد با بحران جدی مواجه می‌شد. رخ دادن ناگهانی ده‌ها سانحه هوایی در آسمان تهران به علت از کار افتادن سیستم‌های ارتباطی برج مراقب پرواز مهرآباد، به عنوان مهم‌ترین خطری برشمرده می‌شود که به دنبال این حمله، پایتخت ایران را مورد تهدید قرار داده است.هر چند کارشناسان معتقدند این حمله به اشتباه رخ داده و یک ساعت بعد مشکلات فنی رفع شده، اما «ارتش سایبری ایران» پس از هک پورتال مهرآباد، تصویری منقش به پرچم جمهوری اسلامی ایران با رنگ آبی را جایگزین صفحه نخست آن کرده و در پیامی آورده است: ارتش سایبری ایران به تمام مزدوران وطن‌فروش هشدار می‌دهد که در آسمان نیز آن‌ها را راحت نمی‌‌گذارد.”

این متن طنز که با تغییر بخشی از پیام واقعی ارتش سایبری به هنگام هک کردن رادیو زمانه تنظیم شده بود، به سرعت در سایت‌های خبری ایرانی منعکس شد. چند ساعت بعد شایعه حمله اشتباهی ارتش سایبری ایران به یک سایت دولتی، به سوژه‌ای برای تمسخر این گروه تبدیل شد. با آنکه چند ساعت بعد سایت‌های مختلف اقدام به حذف آن خبر کردند، اما شایعه همچنان در حال گسترش بود تا جایی که برخی شرکت‌های بزرگ از ترس هک شدن، بلافاصله برای تقویت دیواره امنیت وب‌سایت‌های خود در جهت عقد قراردادهای چند ساله با گروه‌های امنیت شبکه اقدام کردند.

واکنش یک مدیر دولتی

روز ۱۸ بهمن ۸۸ و تنها دو روز بعد از انتشار شایعه، مرتضی دهقان، مدیرعامل فرودگاه مهرآباد تهران در گفت‌وگو با باشگاه خبرنگاران، ضمن تکذیب حمله به سایت این فرودگاه، آن را یک شانتاژ خبری نامید و گفت:”پس از آنکه عوامل بیگانه در حوادث پس از انتخابات برای رسیدن اهداف پلید خود ناکام ماندند سعی کردند با طراحی یک توطئه مبنی بر حمله به سایت فرودگاه بین‌المللی تهران، فضای امنیتی کشور را متشنج کنند، در حالی که هیچ‌گونه حمله‌ای به سایت فرودگاه پورتال مهرآباد صورت نگرفته و این خبر از اساس کذب محض است. مشخص است که رسانه‌های ضدانقلابی به توانایی ارتش سایبری ایران پی برده و به دلیل هراس از توانایی آن‌ها به دنبال اتهام‌زنی هستند تا با استفاده از این شیوه اذهان عمومی را منحرف کنند.”

نیک‌آهنگ کوثر که پیشتر نیز در سایت خودنویس شایعه بودن آن خبر را گوشزد کرده بود، این‌بار پس از انتشار مصاحبه مدیرعامل مهرآباد، در بخشی از یادداشت خود درباره این رخداد نوشت: “… وقتی مدیرعامل فرودگاه مهرآباد خبر حمله به سایت فرودگاه مهرآباد را تکذیب، اما از عملکرد ارتش سایبری دفاع کرد، فهمیدیم که خبر جعلی ما کار خودش را کرده است. یک مقام رسمی جمهوری اسلامی از ارتش سایبری طوری دفاع کرده که این مجموعه گویی توسط نظام هدایت می‌شود.”

درباره گروه‌های هکری ایرانی

در هشت سال اخیر گروه‌های هکری بسیاری در ایران تشکیل شدند که “آشیانه”، “شبگرد” و “سیمرغ” از معروف‌ترین آن‌ها بوده‌اند. این گروه‌ها با سوءاستفاده از عدم اجرای قوانین جرایم رایانه‌ای در ایران، برای کسب شهرت و همچنین رقابت با سایرین، آزادانه به وب‌سایت‌های مختلف حمله می‌کردند.

به دنبال افزایش گزارش‌های نفوذ کاربران غیرمجاز به وب‌سایت‌های دولت ایرانی و انتشار گسترده اخبار مربوط به آن، دستگاه‌های اطلاعاتی به قدرت ابزار هک علاقه‌مند شدند و تلاش گسترده‌ای را برای کنترل و هدفمند کردن این نوع حملات آغاز کردند.

سازمان‌های امنیتی و اطلاعاتی با دعوت به همکاری از گروه‌های نفوذگر، آن‌ها را در جهت شناسایی و برخورد متقابل با مخالفان در اینترنت و ایجاد گروه‌های اطلاعاتی برای کنترل جریان اطلاعات آن‌لاین به کار گماردند. مدتی بعد، این افراد آموزش هک به تکنسین‌های نظامی را نیز بر عهده گرفتند.

تشکیل ارتش سایبری ایران

گروه “آشیانه” از نخستین گروه‌هایی است که به جرگه نفوذگران حکومتی پیوست و با به کارگیری بهترین هکرها به خرابکاری در وب‌سایت‌های مخالف سیاست‌های جمهوری اسلامی پرداخت. اخبار فعالیت‌های این گروه که در رسانه‌های دولتی همچون صداوسیما، روزنامه کیهان و خبرگزاری ایرنا منتشر می‌شد، خیلی زود مورد توجه قرار گرفت.

آموزش هک به نظامیان

همزمان با فعالیت گروه‌های هکری، شرکت‌هایی به ظاهر خصوصی نیز تشکیل شدند که وظیفه اصلی آن‌ها جذب نیروهای نفوذگر، آموزش نظامیان برای حمله‌های سایبری و فراهم کردن امکانات لازم برای این‌گونه حملات است. این شرکت ها تربیت نفوذگران و انجام پروژه‌های هک ارتش سایبری ایران را بر عهده دارند. در کنار این فعالیت‌ها، شرکت های مزبور به واردات تکنولوژی‌های مورد نیاز نیروهای نظامی ایران از دوبی نیز می‌پردازند. در میان مدیران این شرکت ها فرزند یکی از مسؤولین ارشد امنیتی هم هست که با استفاده از روابط پدر خود از سال‌ها قبل به همکاری با نیروهای نظامی و امنیتی مشغول است. او پس از تشکیل شرکتی با بودجه نظامی، به جذب نفوذگران متبحر ایرانی پرداخت و با تشکیل یک گروه حرفه‌ای و منسجم پذیرش پروژه‌های کنترل اطلاعات سایبری در ایران و نفوذگری برای حکومت را آغاز کرد.

نحوه انتخاب اعضای گروه

طرح تشکیل ارتش سایبری ایران از سال ۸۴ در سپاه پاسداران مطرح شده بود، امابا افزایش تبلیغات علیه دولت نهم در اجرای آن تسریع به عمل آمد. مدتی بعد گروهی بسیار وسیع تشکیل شد که تعداد اعضای آن از چند نام بسیار فراتر می‌رود. واحد جذب نیروی انسانی ارتش سایبری به این ترتیب عمل می‌کند که تیم‌های ویژه‌ای پس از شناسایی هکرهای حرفه‌ای، با آن‌ها تماس گرفته و تهدید می‌کنند در صورتی که همکاری نکنند، روانه زندان خواهند شد.

سطح ارتباط و اطلاعات افراد تا حدی کنترل شده است که حتی بیشتر اعضای گروه هنوز از همکاری خود با ارتش سایبری اطلاعی ندارند. با توجه به استفاده از نخبه‌ها، سطح علمی ارتش سایبری با توجه به سابقه فعالیت بالای نفوذگران در ایران بسیار بالاست و قدرت این ارتش با توجه به هدف آن، قابل مقایسه با گروه‌های مشابهی است که در سازمان‌های اطلاعاتی آمریکا و اسرائیل فعالیت می‌کنند. گفتنی است “مرکز مبارزه با جرائم سازمان یافته سایبری” (پدافند سایبری سپاه) از همین افراد تشکیل شده است.

در اردیبهشت ۸۸ نیز خبرگزاری فارس گزارش داد مؤسسه «Defense Tech» که از مؤسسات نظامی و امنیتی ایالات متحده آمریکا است، با استناد به آمار دریافتی از سازمان اطلاعات آمریکا، ایران را جزء پنج کشور دارای قوی‌ترین نیروی سایبری معرفی کرده است. این مؤسسه با تاکید بر اینکه ارتش سایبری ایران زیرمجموعه تیم رصد سایبری سپاه است، بودجه آن را ۷۶ میلیون دلار اعلام کرده بود.

زمان اندک برای اجرای دستورات

ارتش سایبری ایران تا به حال به سرور وب‌سایت‌های مورد نظر خود نفوذ نکرده و تنها به ربودن دامنه‌های آن‌ها بسنده کرده که این روش، نشان‌دهنده محدودیت زمانی گروه برای اجرای عملیات نفوذ است. آن‌ها در چند ماه اخیر با روش‌هایی که نیاز به زمان کمتری دارند، دستورات سفارش شده از سوی کارفرما را عملی کرده‌اند. آن‌ها در حمله به توییتر، کامپیوتر یکی از اعضای این شرکت را با تروجان هک کرده و با استفاده از ایمیل او توانستند Control Panel دامین را Reset کنند. مشابه این حمله در سال ۸۳ از طریق یکی از گروه‌های هکری ایرانی، روی یکی از وب‌سایت‌های سازمان فضایی ناسا آزمایش شده بود. ارتش سایبری هنگام حمله به جرس و سایر وب‌سایت‌ها نیز از تکنیک DNS Cache Spoofing استفاده کرده و مقصد دامین را تغییر دادند.

نقل از سایت روزآنلاین