هکر‌های وابسته به دستگاه‌های امنیتی-قضایی ایران با هک کردن حساب فیس‌بوک یک فعال حقوق زنان در تهران در تاریخ ۱۵ آبان‌ماه، اقدام به ارتباط گرفتن با خبرنگاران ایرانی ساکن آمریکا و اروپا از طریق این حساب هک‌شده کردند و تحت عنوان ارسال مقاله در مورد حقوق زنان، از آنها می‌خواستند تا فایل‌های فشرده‌ شده با فرمت ZIP را بازکنند که آلوده به بدافزار جاسوسی بوده است.

به گزارش تارنگار حقوق بشر در ایران به نقل از کمپین بین المللی، هکرها با آنها تماس گرفتند نشان می‌دهد که حداقل سه خبرنگار تلویزیون ایران اینترنشنال در اروپا، یک خبرنگار دیگر این تلویزیون در امریکا، یک فعال مدنی ساکن اروپا و وکیل ایرانی حقوق بشر ساکن امریکا با استفاده از این بدافزار مورد حمله هکرهای حکومتی ایران قرار گرفتند. آنها این فایل را برای یک خبرنگار دیگر که خواست نامش فاش نشود و یک پزشک نیز ارسال کرده‌اند.

از سویی دیگر از تاریخ ۹ آبان تا ۱۳ آبان حداقل ده نفر از فعالین سیاسی ساکن ایران با حمله‌های هکرها برای سرقت رمز ای‌میل مواجه بوده‌اند. روش به کار رفته در این حملات سرقت کد تایید هویت دو مرحله‌ای بوده است که توسط پیامک ارسال می‌شود.

روش ارسال بدافزار عمدتا برای حمله به کاربران ایرانی خارج از ایران که دسترسی مستقیم به آنها وجود ندارد استفاده می‌شود و برای کاربران داخل ایران عمدتا از روش به سرقت بردن کد تایید هویت دو مرحله‌ای که توسط پیامک ارسال می‌شود. با توجه به کنترل سیستم مخابراتی توسط دستگاه‌های امنیتی، کاربرانی که برای حفاظت از ای‌میل‌ خود از روش دریافت پیامک استفاده می‌کنند، همواره در معرض سوء استفاده این نهادها از کنترل خود بر سیستم‌ مخابرات ایران قرار دارند.

نیوشا صارمی خبرنگار ساکن آمریکا که یکی از افراد هدف قرار گرفته در این حمله سایبری بوده است گفت:‌ «چون قبلا هیچ مکالمه‌ای با فرستنده این فایل نداشتم یک کم بودار بود و این که فایل [فرستاده شده] زیپ بود نه فایل ورد. بعد هم که گفتم متن را کپی کن، غیب شد و جوابی نداد. » صارمی اضافه کرد: «چون اخیرا خیلی هدف فیشینگ بودم، اساسا خیلی روی باز کردن فایل ها حساس بودم که خب بیجا هم نبود.»

با اجرای این فایل زیپ ارسال شده توسط هکرها، کنترل کامپیوتر قربانی در اختیار هکر‌ها قرار می‌گرفت. این بدافزار که در طراحی از پیچیدگی کمی نسبت به بدافزارهای متداول در دنیا برخوردار است، تلاش می‌کند که با اجرای فایل اصلی در شاخه‌ی Library کامپیوتر قربانی یک فولدر با نام content ایجاد کند و سپس دو فایل .sh و یک فایل ورد را از سروری عمومی بر روی دستگاه قربانی و فولدر content کپی کند.

هدف از این کار نصب کردن یک LaunchAgents در سیستم عامل مک است. LaunchAgents برنامه‌هایی هستند که در زمان وارد شدن به کامپیوتر با سیستم عامل مک، به صورت خودکار اجرا خواهند شد.

بخش اصلی اسکریپتی که هکر برای دانلود و نصب بدافزار استفاده کرده است
بخش اصلی اسکریپتی که هکر برای دانلود و نصب بدافزار استفاده کرده است
در صورتی که حمله کننده بتواند این برنامه‌ها را با با موفقیت دانلود و روی کامپیوتر قربانی نصب کند، کامپیوتر قربانی عملا به یک دستگاه جاسوسی تبدیل خواهد شد. هکر همچنین قادر خواهد بود تا از راه دور تمام محتوای کامپیوتر قربانی را کنترل کند و همه ارتباطات قربانی را کنترل و حتی با آن کار کند. حمله کننده قادر خواهد بود تا با استفاده از یک VNC Server که مخصوصا ارتباط از راه دور است، دسترسی کاملی به کامپیوتر قربانی داشته باشد. VNC ابزاری است که با استفاده از آن می‌شود از راه دور به یک کامپیوتر دسترسی داشت که معمولا توسط شرکت‌ها و یا افراد فعال در زمینه تعمیر کامپیوتر از راه دور استفاده می‌شود.

یک کارشناس امنیت اینترنت گفت :«به دلیل آنکه حمله‌هایی که توسط هکر‌های ایران صورت می‌گیرد معمولا از تکنیک‌های پیشرفته‌ای استفاده نمی‌کنند نیاز به دخالت انسانی دارد. بنابراین بهترین راه حفظ امنیت همیشه مشکوک بودن است مخصوصا اگر حمله کننده به شما اصرار دارد که شما کاری را مطابق میل او انجام دهید.» این کارشناس امنیت اینترنت اضافه کرد: «در صورتی که آشنایی کامل با ارسال کننده ندارید، یا در انتظار دریافت فایلی از کسی نیستید، این فایل‌ها را قبل از بررسی توسط یک کارشناس امنیت اینترنت باز نکنید و یا تلاش کنید از طرق دیگری با فرستنده و یا افراد نزدیک به او تماس بگیرید و مطمئن شوید ارسال کننده فایل شخصی است که ادعا می‌شود.»

حمله با استفاده از فریب کاربران برای اجرای بدافزار‌های ساخته شده توسط هکرهای حکومتی ایران پیش از این نیز سابقه داشته است. پیش از این بدافزار‌هایی برای سیستم‌عامل اندروید، مک و ویندوز مورد استفاده هکر‌های حکومتی قرار گرفته بود. این روش عموما برای حلمه به اهدافی استفاده می‌شود که دسترسی مستقیم به قربانیان وجود ندارد.

استفاده سازمان‌های اطلاعاتی و امنیتی در ایران از حساب‌های کاربران فعال‌سیاسی و روزنامه‌نگاران و نقض حریم خصوصی‌آنها برای به دام انداختن افراد دیگر، یکی از موضوعاتی است که کرارا تکرار شده است و به دلیل نزدیکی این نهادها به قوه قضاییه، عملا امکان شکایت قضایی از چنین اقداماتی وجود ندارد.