در آن مرحله، “کالین اندرسون” و “کلودیو گوئارنیری”، دو محقق مستقل امنیت، که از پیش هکرهای ایرانی را به مدت ۳ سال تحت نظر داشتند، فرصتی را پیش روی خود یافتند. از این‌رو یک سری دامنه‌های متصل شده به زیرساخت هکرها را ثبت کرده و منتظر شدند.

ظرف شش ماه بعد، زمان هک هر یک از فعالین حقوق بشر ایرانی، بدافزار، اطلاعات وی را همزمان برای هکرها و محققان ارسال می‌کرد.

گوئارنیری، تکنولوژیست سازمان “عفو بین الملل” و عضو “آزمایشگاه سیتیزن” می‌گوید: “آن‌ها هیچ‌وقت متوجه نشدند که ما همه چیز را به‌ طور کامل و به مدت چندین ماه است که تحت نظر داریم”.

نه تنها این دو محقق موفق به جمع آوری اطلاعات قربانیان شدند، بلکه یک بار، وقتی هکرها در حال تست گونه‌ی جدیدی از بدافزار بودند، اطلاعات خود را هم به سرورهای کنترل و فرمان و به تبع آن، برای سرورهای اندرسون و گوئارنیری فرستادند.

به این شکل، دو محقق توانستند با نگاه داشتن نشانه بر خود هکرها، حساب‌های آن‌ها، آی‌پی آدرس‌ها و شناسه‌های منحصر به فرد کامپیوتر و “همه‌ی این‌طور موارد” را به دست آورند. این دو محقق این موضوع را با خنده‌های خجالتی در طول مصاحبه در لاس‌وگاس به من می‌گفتند.

هفته‌ی گذشته، اندرسون و گوئارنیری، تحقیقی ۵۰ صفحه‌ای منتشر کردند که رد ۳۰۰ حمله‌ی سایبری فردی به فعالین را در کمپین‌های هک ایرانی در مدت این سه سال، دنبال کرده است.

این محققین می‌گویند تحقیق آن‌ها نشان می‌دهد علی‌رغم تمرکز مستمر رسانه‌ها بر هک دولت‌های خارجی، شرکت‌ها و زیرساخت‌های حیاتی توسط هکرهای ایرانی، این هکران بیش‌تر در تلاش برای جاسوسی از شهروندان ایرانی در درون کشور و خارج از آن هستند.

Hack1گوئارنیری با اشاره به این‌که تکنیک‌های هکرها دقیقاً پیشرفته نیست، اما موثر است، در ادامه می‌گوید “آن‌ها چیزهای زیادی به دست می‌آورند؛ با سرعت در حال پیشروی هستند که نشانه‌ای است از احتمال بدتر شدن اوضاع در آینده‌ای نزدیک”.

به عنوان مثال، این دو محقق یک دام “فیشینگ” قدیمی فرستاده شده برای یکی از فعالین را نشان می‌دهند. ایمل به نوعی شلخته بود که به راحتی توجه هرکسی با اندک دانشی در مورد بدافزارها را به خود جلب می‌کند. مثلاً این ایمیل توسط “برنامه‌ی امن سازمان سیا(CIA)!” فرستاده شده و از دریافت کننده‌ی ایمیل می‌خواهد با نصب یک فایل “اگزِ” گزارشات بی‌نام به آژانس جاسوسی بفرستد.

سه سال بعد، دیگر این حملاتِ فیشینگ، مدعی ارسال از سازمان سیا نبودند، بلکه به اصطلاح از سوی مسئولین “اداره‌ی مهاجرت” بودند. این ایمیل‌های جدید می‌کوشیدند با برجسته کردن تعداد ایرانیان خارج از کشور با ویزا، به خواننده القا کنند که این افراد بایستی نگران کارهای اداری مهاجرت باشند. ظاهر این ایمیل‌ها حرفه‌ای‌تر و قابل باورتر هم شده بود.

در این تحقیق که خود قسمتی از یک پروژه‌ی تحقیقی عظیم‌تر بوده و سال جاری توسط اتاق فکر “بنیاد کارنگی برای صلح بین‌المللی(Carnegie Endowment for International Peace)” در واشنگتن منتشر خواهد شد، اندرسون و گوئارنیری فعالیت‌های چهار گروه مختلف هکری ایرانی به نام‌های “ملقب اطلاعات”، “ساطور یا قمبر”، “بچه‌گربه‌ی موشکی” و “سیما” را تشریح می‌کنند.

Hack2کار [تحقیق] آن‌ها تنها یک نگاه عمیق بر فعالیت هکران ایرانی علیه جامعه‎ی مدنی نیست که برپایه‌ی تحقیق قبلی انجام شده و آن ‌را پوشش می‌دهد؛ بلکه هم‌چنین شهادتی است بر این‌که نیاز نیست حتماً یک شرکت آنتی‌ویروس داشته باشید تا بتوانید از طریق دسترسی به هزاران کامپیوتر در سرتاسر جهان به بدافزارها دست یابید.

روشی که اندرسون و گوئانیری انجام دادند این بود که روابطی با جوامع مورد حمله‌ی هکرها تشکیل دادند.

گوئانیری می‌گوید: “ما دیتا-ست‌هایی برپا نمی‌کنیم، ما به اطلاعات ابری و هرچیز دیگری دسترسی نداریم. اما به منبعی دسترسی داریم که احتمالاً هیچ شرکت امنیتی دسترسی ندارد که آن شبکه‌ای متشکل از مردم است”.

این دو محقق، این شبکه را با ارتباط و کار مستقیم با مخالفان [ایرانی] و رسیدن به گروه‌ها و جوامع آن‌ها تشکیل دادند. به عنوان مثال اندرسون کارشناس مورد انتخاب برای مسائل اینترنت ایرانیان بود. این محقق ساکن در واشنگتن دی‌سی با تکرار افکار گوئارنیری می‌گوید: “داشتن چنین روابط قابل اعتمادی با آن جوامع به ما اجازه داد تا گونه‌ای از نسخه‌ی ساخت خودمان بر آن سیستم‌های نظارت خلق کنیم”.

در طول این سال‌ها، این دو مسئول در ارتباط با ایرانیانی بودند که ایمیل‌های مشکوک دریافت کرده بودند؛ کار چنان ساده‌ای هم نیست که این اعتماد سازی انجام شود. اندرسون یادش می‌آید که یک‌بار دوستِ یکی از دوستانش، او را به شخصی وصل کرد که ایمیلی مشکوک به خطر دریافت کرده بود. در ابتدا، آن شخص حرفش را باور نمی‌کرد. اندرسون می‌گوید: “به او گفتم ببین مرا نمی‌شناسی اما تو به خطر افتاده‌ای”. اندرسون ادامه می‌دهد: “بعضی وقت‌ها مرا باور نمی‌کردند و من در چند مورد مجبور بودم بگویم: خوب، این هم چندتا فایل از کامپیوترت”.

پس از سه سال از جمع آوری موشکافانه و پشت صحنه‌ی بدافزارها، بعد از آن‌که در اوایل ماه می میلادی شرکت امنیتی پالو آلتو(Palo Alto)، گروه مورد نفوذ محققان را افشا کرد، دو محقق تصمیم گرفتند در این تابستان فعالیت‌شان را علنی کنند.

این شرکت امنیتی با هدایت ترافیک داده‌ای که به باتنت هکرها می‌رفت، به سرورهای تحل کنترل خود، عملیات هکرها را در تعطیلات آخر هفته‌ی ایرانی مختل کرده بود. بنا به گفته‌های اندرسون و گوئارنیری، وقتی روزهای آفلاین و عدم دسترسی به سرورهای هکرها تمام شد و آن‌ها بازگشتند، با ترس و دیوانه‌وار همه‌ی سرورها را چک می‌کردند تا بفهمند چه اتفاقی روی‌داده است.

در آن مرحله، دو محقق به این نتیجه رسیدند وقت عمومی کردن رسیده است. بر این باور بودند که افشای تاکتیک‌های آن‌ها، نه تنها کمک می‌کند قربانیان احتمالی بیش‌تر دقت کنند، بلکه مانع عملیات‌های آینده‌ی هکرها نیز هست.

گوئارنیری می‌گوید: “اگر اقدامی نکنیم، نمی‌توانیم آن‌ها را متوقف کنیم. البته انتشار [این تحقیق] نیز آن‌ها را متوقف نمی‌کند، اما نوعی تنش اقتصادی میان هزینه‌ی سرمایه‌گذاری شده برای تشکیل و نگهداری این کمپین‌ها و انتشار آن به وجود می‌آورد”.

با این وجود، علی‌رغم کشف حدود ۳۰۰ مورد از حملات، این دو محقق تاکید می‌کنند احتمالاً این تنها نوک کوه‌یخ است. آن‌ها از صنعت امنیت می‌خواهند پا پیش گذاشته، به جمع آوری موارد بیش‌تر کمک کند و نمونه‌های بدافزار را به اشتراک بگذارد.

گوئارنیری می‌گوید: “جوامعی [از فعالین ایرانی] که ما با آن‌ها در تماس هستیم، به طور کامل درمانده و بی‌کمک رها شده‌اند، آن‌ها مشتریان کسی نیستند، از نظر تکنیکی توسط کسی محافظت نمی‌شوند. واقعاً کار بسیار سختی است که خودمان تنها بخواهیم از عهده‌اش بربیاییم”.