گرچه تمرکز داخلی گروه «بچه گربه وحشی» ممکن است باعث کمرنگ شدن تحقیقات بینالمللی از آن شده باشد اما آخرین گزارش کسپرسکی نشان میدهد که نظارت سایبری روی مردم ایران گستردهتر از آنچه تصور میشد است.
آگهیسالهاست که «بچه گربه وحشی» در حال جمعآوری اطلاعات از کاربران ایرانی در فضای اینترنت است در حالیکه از سوی شرکتهای امنیتی سایبری شناسایی نشده است.
این بدافزار طعمهای است که به نظر میرسد برای منتقدان جمهوری اسلامی در نظر گرفته شده است.
مثلا شاید منتقدی با این پیام در ایمیلهایش روبرو شده باشد: «نام من حسین جعفری است. بین سالهای ۱۳۶۴ و ۱۳۶۵ زندانی بودهام.» با این حال فردی به اسم حسین جعفری با این سابقه هرگز وجود نداشته است و این تنها یک ترفند است تا نظر مخاطب پیغام جلب شود و روی فایل ضمیمه کلیک کند که حاوی نرمافزار نظارتی مخرب است.
این حیله فقط یکی از روشهای مختلف فریب است که گروه جاسوسی سایبری که پیش از این ناشناخته بودند برای به دام انداختن کاربران ایرانی استفاده میکنند. فعالیتهای مخفیانه این گروه از سوی شرکت امنیت سایبری کسپرسکی در گزارشی که روز چهارشنبه منتشر شد، فاش شد. این گزارش را شبکه فرانس ۲۴ دریافت و مشاهده کرده است.
این گروه از سوی کسپرسکی، «بچه گربه وحشی» لقب گرفته است و دست کم از سال ۲۰۱۵ در حال فعالیت است و شمار زیادی از روشها را برای انتقال بدافزار خود در دستگاههای تلفن همراه و کامپیوترهای شخصی به کار گرفته است.
ترفندها شامل ارسال تصاویری از تجمعات ضد حکومتی است که پس از باز کردن آنها به بدافزار اجازه میدهد تا مخفیانه وارد دستگاه قربانیان شود. «بچه گربه وحشی» همچنین یک کپی از وبسایتهای معروف مانند آپارات را طراحی کرده است و از آنها به عنوان وسیلهای برای ایجاد آلودگی دستگاه هدف استفاده میکند. حتی این گروه نسخههای اصلاح شده و آلوده نرافزاری را که معمولا از سوی ایرانیان برای دور زدن سانسورهای اینترنتی استفاده میشود به گردش درآورده است.
پس از نصب، بدافزار مارکی رت (MarkiRAT) این گروه دسترسی گستردهای را به اطلاعات شخصی قربانیان به دست میآورد.
پل راسکاینیر، محقق در حوزه تهدید در کسپرسکی در گفتوگو با فرانس ۲۴ گفت: «این یک ابزار دستیابی از راه دور وطنی [داخلی] است که قبلا با آن روبرو نشده بودیم.»
این بدافزار (MarkiRAT) پس از نصب بهطور خودکار در اسناد آفیس مانند ورد، پاورپوینت، اوت لوک و ... ، تصاویر و دیگر پروندهها [فولدرز] شامل پسورد جستوجو میکند. این بدافزار میتواند به هر آنچه کاربر تایپ میکند دسترسی و حتی به حساب تلگرام وی نفوذ پیدا کند.
گروه «گربه کوچک وحشی» همچنین گونهای از نرم افزارهای جاسوسی خود را به ویژه برای گوشیهای هوشمند اندرویدی طراحی کرده است چراکه این گوشیها محبوبیت بیشتری نسبت به گوشیهای آیفون در ایران دارد.
«بچه گربه وحشی» در جاسوسی از ایرانیها تنها نیست. گروههای دیگر از جمله «شاهزاده پارسی»، «بچه گربه خانگی» و «بچه گربه جذاب» برای شنود شناخته شدهاند.
راسکاینیر میگوید: «در واقع برخی از روشهای مورد استفاده از سوی بچه گربه وحشی با گروههای دیگر مشترک است، مثلا استفاده از نسخههای کپی شده از وبسایتهای معروف ایرانی و نمایش آن به زندانیان سابق سیاسی.»
با این حال وقتی نوبت به پنهان کاری میرسد، به نظر میآید که «بچه گربه وحشی» از همتایان خود قویتر است.
گروههای دیگر که مظنون به جاسوسی از سوی مقامات ایرانی هستند چندین سال است که از سوی شرکتهای امنیتی سایبری شناخته شدهاند. برخی از آنها مانند «شاهزاده پارسی» پس از شناسایی مجبور شد تا برای مدتی فعالیت خود را تعطیل کند. این گروه به ویژه فعالیتهای جاسوسی خود را در ایالات متحده آمریکا و اسرائیل گسترش داده بود.
علاوه بر کنترل مخالفان داخلی، گروههایی مانند «بچه گربه جذاب» سعی در جاسوسی از اطرافیان دونالد ترامپ، رئیس جمهور سابق آمریکا را داشتند. همچنین این گروه سعی در نفوذ به سرورهای غولهای دارویی آمریکا را داشت. این موضوع باعث شد تا توجه مقامهای آمریکایی جلب شود و در نهایت در سال ۲۰۱۹ برای چهار تبعه ایران به اتهام جاسوسی سایبری کیفرخواست منتشر شد.
در مقابل گروه «بچه گربه وحشی» به یک برنامه محدودتر پایبند است که همین موضوع میتواند موفقیت آن را توضیح دهد. راسکاینیر میگوید: «برخی از شواهد نشان دهند رویکرد هدفمندتر نظارت است.»
این گروه همچنین بدافزار خود را برنامهریزی کرده است تا اطمینان حاصل کند که «تنها پس از بررسی فارسی بودن صفحه کلید فعال شود.»
گرچه تمرکز داخلی گروه «بچه گربه وحشی» ممکن است باعث کمرنگ شدن تحقیقات بینالمللی از آن شده باشد اما آخرین گزارش کسپرسکی نشان میدهد که نظارت سایبری روی مردم ایران گستردهتر از آنچه تصور میشد است.