هشدار اف‌بی‌آی در مورد استفاده هکرهای جمهوری اسلامی از تلگرام

اف‌بی‌آی هشدار داد عوامل سایبری وابسته به وزارت اطلاعات جمهوری اسلامی از تلگرام برای فرماندهی و کنترل حملات بدافزاری علیه مخالفان، روزنامه‌نگاران و گروه‌های اپوزیسیون استفاده می‌کنند. هدف این حملات جمع‌آوری و افشای داده‌ها و آسیب به اعتبار افراد است.

در گزارش اف‌بی‌آی که ۲۰ مارس (۲۹ اسفند) منتشر شد آمده، به‌طور مشخص، این عوامل سایبری از تلگرام به‌عنوان زیرساخت فرماندهی و کنترل (C2) استفاده می‌کنند تا بدافزارهایی را برای مخالفان ایرانی، روزنامه‌نگاران منتقد ایران و سایر گروه‌های مخالف در سراسر جهان ارسال کنند.

طبق اعلام اف‌بی‌آی این بدافزارها منجر به جمع‌آوری اطلاعات، نشت داده‌ها و آسیب به اعتبار افراد هدف شده‌اند. این اطلاعات را برای افزایش آگاهی درباره فعالیت‌های مخرب سایبری ایران و ارائه راهکارهای کاهش خطر نفوذ منتشر کرده است.

ارزیابی اف‌بی‌آی نشان می‌دهد که این عوامل از تلگرام برای هدایت حملات بدافزاری علیه مخالفان ایرانی در سراسر جهان استفاده می‌کنند. این هشدار همچنین مدافعان شبکه و عموم مردم را از ادامه این فعالیت‌ها آگاه کرده و تاکتیک‌ها، تکنیک‌ها و روش‌های مورد استفاده (TTPs) را توضیح می‌دهد.

بر اساس ارزیابی اف‌بی‌آی، عوامل سایبری MOIS از پاییز ۲۰۲۳ نسخه‌های مختلفی از بدافزار را برای آلوده‌سازی سیستم‌های ویندوزی منتشر کرده‌اند.

قربانیان شامل مخالفان ایرانی جمهوری اسلامی، روزنامه‌نگاران منتقد، اعضای سازمان‌هایی با دیدگاه‌های مخالف حکومت ایران و سایر افرادی که ایران آن‌ها را تهدید تلقی می‌کند بوده‌اند. با این حال، این بدافزار می‌تواند هر فرد مورد نظر ایران را هدف قرار دهد.

این بدافزار دارای ساختار چندمرحله‌ای است که امکان دسترسی از راه دور به دستگاه آلوده را فراهم می‌کند. مهاجمان با استفاده از مهندسی اجتماعی، مرحله اول بدافزار را به‌گونه‌ای طراحی می‌کنند که شبیه برنامه‌های رایج ویندوز به نظر برسد.

در مرحله دوم، دستگاه آلوده به ربات‌های تلگرامی متصل می‌شود که امکان کنترل از راه دور و استخراج اطلاعات مانند اسکرین‌شات و فایل‌ها را فراهم می‌کند.

گروهی با نام «Handala Hack» در ژوئیه ۲۰۲۵، مسئولیت حملات هک و افشای اطلاعات علیه افرادی که دیدگاه‌هایی مخالف با روایت رسمی دولت ایران داشتند را بر عهده گرفت. FBI معتقد است بخشی از اطلاعات منتشرشده توسط این گروه از طریق همین بدافزارها به دست آمده است.

این گروه به فعالیت‌هایی مانند: فیشینگ، سرقت داده، اخاذی و حملات تخریبی با بدافزارهای پاک‌کننده (Wiper) شناخته می‌شود. همچنین FBI معتقد است این گروه با گروه «Homeland Justice» که آن هم توسط عوامل MOIS اداره می‌شود مرتبط است.

عوامل سایبری MOIS معمولاً از تهدیدات پیشرفته پایدار (APT) و گروه‌های نیابتی برای انجام حملات سبک هکتیویستی استفاده می‌کنند. این حملات شامل سرقت داده، دستکاری آن و انتشار هدفمند برای ایجاد آسیب سیاسی یا اعتباری است.

اف‌بی‌آی نمونه‌هایی از این بدافزار را بررسی کرده و آن‌ها را به سه دسته تقسیم کرده است:

-بدافزار پوششی (مرحله اول)
-بدافزار پایدار (مرحله دوم)
-بدافزارهای مرتبط با قابلیت‌های اضافی

مرحله اول معمولاً خود را به‌عنوان برنامه‌هایی مانند Pictory، KeePass یا Telegram جا می‌زند و فایل‌های لازم برای مرحله بعد را در خود دارد.

پس از اجرای این مرحله و تعامل کاربر، بدافزار مرحله دوم فعال می‌شود. در این مرحله، یک ربات تلگرامی برای ارتباط دوطرفه بین دستگاه آلوده و سرور api.telegram.org تنظیم می‌شود.

در برخی موارد، بدافزارهای اضافی نیز روی سیستم نصب می‌شوند. برای مثال، فایل MicDriver.zip قابلیت ضبط صفحه و صدا هنگام استفاده از Zoom را دارد.

مهاجمان از مهندسی اجتماعی برای آلوده‌سازی قربانیان استفاده می‌کنند. آن‌ها از طریق پیام‌رسان‌ها با قربانی تماس گرفته و خود را به‌عنوان فردی آشنا یا پشتیبانی فنی معرفی می‌کنند.

سپس قربانی را متقاعد می‌کنند فایلی را دانلود کند که در واقع همان بدافزار مرحله اول است. پس از باز کردن فایل، سیستم آلوده شده و بدافزار مرحله دوم اجرا می‌شود.

این بدافزارها معمولاً متناسب با رفتار و عادات قربانی طراحی شده‌اند که نشان می‌دهد مهاجمان قبل از حمله، شناسایی هدف انجام داده‌اند.

پس از نفوذ اولیه، بدافزارهای بیشتری دانلود می‌شوند. برخی از فایل‌های مرحله اول شامل موارد زیر هستند:

Telegram_authenticator.exe
WhatssApp.exe
KeePass.exe
Pictory_premium_ver9.0.4.exe
ماندگاری (Persistence)

بدافزار با دور زدن سیستم‌های دفاعی، برخی مسیرها را مستثنی کرده و اجازه اجرای PowerShell بدون هشدار را می‌دهد. همچنین با افزودن خود به رجیستری ویندوز، اجرای خودکار را تضمین می‌کند.

این کمپین از چندین بدافزار برای سرقت داده استفاده می‌کند، از جمله:

MicDriver.exe / MicDriver.dll
Winappx.exe
MsCache.exe
RuntimeSSH.exe
smqdservice.exe

قابلیت‌های این بدافزارها شامل:

ضبط صفحه و صدا
ذخیره داده‌های کش
فشرده‌سازی فایل‌ها با رمز عبور
حذف فایل‌ها
ارسال فایل‌ها به سرورهای تلگرام

توصیه‌های کاهش ریسک:

اف‌بی‌آی توصیه می‌کند در دریافت ایمیل‌ها یا سایر ارتباطات آنلاین از افراد ناشناس یا ارتباطاتی با ماهیت غیرمعمول از افراد شناخته‌شده، احتیاط کنید.

اطمینان حاصل کنید که دستگاه‌های شما با آخرین نسخه سیستم‌عامل به‌روز شده‌اند و به‌طور منظم به‌روزرسانی‌های نرم‌افزاری را نصب کنید.

تنها نرم‌افزارها را از منابع معتبر مانند فروشگاه‌های رسمی اپلیکیشن یا وب‌سایت‌های رسمی فروشنده دانلود کنید.

نرم‌افزارهای ضدویروس یا ضدبدافزار را روی دستگاه خود فعال کرده و به‌طور منظم اجرا کنید.

از رمزهای عبور قوی و منحصر به فرد استفاده کنید و احراز هویت چند مرحله‌ای را فعال نمایید.

ایمیل‌ها یا پیام‌های مشکوک را به سرویس ایمیل خود گزارش دهید. اگر به ارتکاب جرم مشکوک هستید، لطفاً به دفتر محلی اف‌بی‌آی مراجعه کنید.