هشدار کسپرسکی: «بچه گربه وحشی» همچنان کاربران مخالف حکومت ایران را شکار می‌کند

سال‌هاست که «بچه گربه وحشی» در حال جمع‌آوری اطلاعات از کاربران ایرانی در فضای اینترنت است در حالیکه از سوی شرکت‌های امنیتی سایبری شناسایی نشده است.

این بدافزار طعمه‌ای است که به نظر می‌رسد برای منتقدان جمهوری اسلامی در نظر گرفته شده است.

مثلا شاید منتقدی با این پیام در ایمیل‌هایش روبرو شده باشد: «نام من حسین جعفری است. بین سال‌های ۱۳۶۴ و ۱۳۶۵ زندانی بوده‌ام.» با این حال فردی به اسم حسین جعفری با این سابقه هرگز وجود نداشته است و این تنها یک ترفند است تا نظر مخاطب پیغام جلب شود و روی فایل ضمیمه کلیک کند که حاوی نرم‌افزار نظارتی مخرب است.

این حیله فقط یکی از روش‌های مختلف فریب است که گروه جاسوسی سایبری که پیش از این ناشناخته بودند برای به دام انداختن کاربران ایرانی استفاده می‌کنند. فعالیت‌های مخفیانه این گروه از سوی شرکت امنیت سایبری کسپرسکی در گزارشی که روز چهارشنبه منتشر شد، فاش شد. این گزارش را شبکه فرانس ۲۴ دریافت و مشاهده کرده است.

این گروه از سوی کسپرسکی، «بچه گربه وحشی» لقب گرفته است و دست کم از سال ۲۰۱۵ در حال فعالیت است و شمار زیادی از روش‌ها را برای انتقال بدافزار خود در دستگاه‌های تلفن همراه و کامپیوترهای شخصی به کار گرفته است.

ترفندها شامل ارسال تصاویری از تجمعات ضد حکومتی است که پس از باز کردن آن‌ها به بدافزار اجازه می‌دهد تا مخفیانه وارد دستگاه قربانیان شود. «بچه گربه وحشی» همچنین یک کپی از وبسایت‌های معروف مانند آپارات را طراحی کرده است و از آن‌ها به عنوان وسیله‌ای برای ایجاد آلودگی دستگاه هدف استفاده می‌کند. حتی این گروه نسخه‌های اصلاح شده و آلوده نرافزاری را که معمولا از سوی ایرانیان برای دور زدن سانسورهای اینترنتی استفاده می‌شود به گردش درآورده است.

پس از نصب، بدافزار مارکی رت (MarkiRAT) این گروه دسترسی گسترده‌ای را به اطلاعات شخصی قربانیان به دست می‌آورد.

پل راسکاینیر، محقق در حوزه تهدید در کسپرسکی در گفت‌وگو با فرانس ۲۴ گفت: «این یک ابزار دستیابی از راه دور وطنی [داخلی] است که قبلا با آن روبرو نشده بودیم.»

این بدافزار (MarkiRAT) پس از نصب به‌طور خودکار در اسناد آفیس مانند ورد، پاورپوینت، اوت لوک و ... ، تصاویر و دیگر پرونده‌ها [فولدرز] شامل پسورد جست‌وجو می‌کند. این بدافزار می‌تواند به هر آنچه کاربر تایپ می‌کند دسترسی و حتی به حساب تلگرام وی نفوذ پیدا کند.

گروه «گربه کوچک وحشی» همچنین گونه‌ای از نرم افزارهای جاسوسی خود را به ویژه برای گوشی‌های هوشمند اندرویدی طراحی کرده است چراکه این گوشی‌ها محبوبیت بیشتری نسبت به گوشی‌های آیفون در ایران دارد.

«بچه گربه وحشی» در جاسوسی از ایرانی‌ها تنها نیست. گروه‌های دیگر از جمله «شاهزاده پارسی»، «بچه گربه خانگی» و «بچه گربه جذاب» برای شنود شناخته شده‌اند.

راسکاینیر می‌گوید: «در واقع برخی از روش‌های مورد استفاده از سوی بچه گربه وحشی با گروه‌های دیگر مشترک است، مثلا استفاده از نسخه‌های کپی شده از وبسایت‌های معروف ایرانی و نمایش آن به زندانیان سابق سیاسی.»

با این حال وقتی نوبت به پنهان کاری می‌رسد، به نظر می‌آید که «بچه گربه وحشی» از همتایان خود قوی‌تر است.

گروه‌های دیگر که مظنون به جاسوسی از سوی مقامات ایرانی هستند چندین سال است که از سوی شرکت‌های امنیتی سایبری شناخته شده‌اند. برخی از آن‌ها مانند «شاهزاده پارسی» پس از شناسایی مجبور شد تا برای مدتی فعالیت خود را تعطیل کند. این گروه به ویژه فعالیت‌های جاسوسی خود را در ایالات متحده آمریکا و اسرائیل گسترش داده بود.

علاوه بر کنترل مخالفان داخلی، گروه‌هایی مانند «بچه گربه جذاب» سعی در جاسوسی از اطرافیان دونالد ترامپ، رئیس جمهور سابق آمریکا را داشتند. همچنین این گروه سعی در نفوذ به سرورهای غول‌های دارویی آمریکا را داشت. این موضوع باعث شد تا توجه مقام‌های آمریکایی جلب شود و در نهایت در سال ۲۰۱۹ برای چهار تبعه ایران به اتهام جاسوسی سایبری کیفرخواست منتشر شد.

در مقابل گروه «بچه گربه وحشی» به یک برنامه محدودتر پایبند است که همین موضوع می‌تواند موفقیت آن را توضیح دهد. راسکاینیر می‌گوید: «برخی از شواهد نشان دهند رویکرد هدفمندتر نظارت است.»

این گروه همچنین بدافزار خود را برنامه‌ریزی کرده است تا اطمینان حاصل کند که «تنها پس از بررسی فارسی بودن صفحه کلید فعال شود.»

گرچه تمرکز داخلی گروه «بچه گربه وحشی» ممکن است باعث کمرنگ شدن تحقیقات بین‌المللی از آن شده باشد اما آخرین گزارش کسپرسکی نشان می‌دهد که نظارت سایبری روی مردم ایران گسترده‌تر از آنچه تصور می‌شد است.