گزارش تحقیقاتی گروه تالوس شرکت سیسکو در باره سرقت اطلاعات کاربران ایرانی تلگرام و اینستاگرام توسط حکومت ایران گروه تحقیقاتی تالوس (Talos) که برای شرکت سیسکو تحقیقات می کند، گزارش تحقیقاتی خود حول چگونگی سرقت اطلاعات کاربران ایرانی تلگرام و اینستاگرام توسط حکومت ایران را منتشر کرده است.
عوامل دولت ایران تکنیک‌های مختلفی را برای دسترسی از راه دور به شبکه‌های اجتماعی و برنامه‌های پیام‌رسان امن در اختیار دارند. از سال ۲۰۱۷ تا ۲۰۱۸، گروه تالوس سیسکو تکنیک‌های گوناگونی را برای حمله به کاربران و سرقت اطلاعات شخصی ‌آنها مشاهده کرده‌است. این تکنیک‌ها شامل صفحات جعلی ورود، بدافزارهایی که خود را جایگزین نسخه‌های اصلی جا می‌زنند و سرقت درگاه مرزی (بی جی پی BGP) که بطور خاص کاربران ایرانی را که از اپلیکیشن امن تلگرام و سایت اجتماعی اینستاگرام استفاده می‌کنند هدف قرار داده‌است.
از آنجا که برنامه تلگرام توسط ۴۰ میلیون کاربر ایرانی استفاده می‌شود، هدف خوبی برای خاکستری افزارها (نرم افزارهای شبه آلوده – greyware) بوده‌است. درحالیکه تلگرام بیشتر برای ارتباطات روزانه استفاده می‌شود، گرداندگان اعتراضات در گذشته و بطور خاص در دسامبر ۲۰۱۷ از آن برای سازماندهی تظاهرات بر علیه حکومت ایران استفاده کرده‌اند. در موارد مختلفی حکومت ایران از تلگرام خواستار بستن کانال‌های مشخصی شد که «ترویج خشونت» می‌کرده‌اند. تاکتیک‌هایی که در این گزارش آمده‌است، از سال ۲۰۱۷ برای جمع‌آوری اطلاعات کاربران تلگرام و اینستاگرام استفاده‌ شده‌است.
برخی از این نسخه‌های شبیه‌سازی شده تلگرام، پس از نصب به کلیه کانتکت‌های روی گوشی موبایل و پیام‌ها دسترسی پیدا می‌کنند حتی اگر کاربران از نسخه تلگرام اصلی نیز استفاده کنند. در مورد اپلیکیشن تقلبی اینستاگرام، بدافزار تمام اطلاعات جلسه (سشن) را به سرورهای خود ارسال می‌کند. تالوس با اطمینان بالا اعلام می‌کند که این برنامه‌ها باید بعنوان «خاکستری افزار» (greyware) دسته بندی شوند. آنها به اندازه کافی آلوده نیستند که بعنوان بدافزار دسته بندی شوند ولی آنقدر مشکوک هستند که بتوان آنها را بعنوان برنامه‌های نامطلوب درنظر گرفت.این نوع برنامه‌ها را بسختی می‌توان شناسایی کرد چرا که عملکردی که کاربر انتظار دارد (بطور مثال ارسال پیام) را انجام می‌دهد. تنها زمانی این برنامه ها توسط محققین امنیت شناسایی می‌شوند که تاثیر آنها را در جای دیگر ببینند. تالوس چند نرم افزار را شناسایی کرده‌است که توانایی بکارگرفته شدن در کمپین‌های گسترده را دارند. این گروه معتقد است که این خاکستری افزارها پتانسیل نقض حریم خصوصی و امنیت کاربران تلفن همراه که از این برنامه‌ها استفاده می‌کنند را دارند. تحقیقات تالوس نشان می‌دهد که برخی از این برنامه‌ها اطلاعات را به سرور میزبان ارسال می‌کنند و یا از طریق آدرس‌های آی پی واقع در ایران کنترل می‌شوند، حتی اگر دستگاه‌های تلفن همراه خارج کشور باشند.
روش دیگری که تالوس در حملات ایران دیده‌است، ایجاد صفحات ورود جعلی بود. اگرچه این تکنیک پیشرفته نیست، برای کاربرانی که نسبت به امنیت سایبری آنطور که باید آگاهی ندارند، موثر واقع می‌شود. گروههای مخرب ایرانی مانند «بچه گربه جذاب» تا مدتی از این روش برای هدف قرار دادن پیام رسان‌های امن استفاده می‌کرد. عده‌ای نیز اقدام به ربودن پروتکل درگاه مرزی BGP دستگاه می‌کنند. این تکنیک ترافیک تمام روترها را به مسیرهای جدید منحرف می‌کند. برای ربودن BGP، نیاز به نوعی همکاری از طرف یک شرکت ارائه دهنده خدمات اینترنتی (ISP) وجود دارد و به راحتی قابل شناسایی است، بنابراین مسیرهای جدید نمی‌تواند برای مدت بسیار طولانی وجود داشته‌باشند.
تالوس ارتباط چندانی بین چند حمله‌ای که مشاهده شده را پیدا نکرده‌است، اما همه آنها کاربران ایرانی و برنامه تلگرام را مورد هدف قرار می‌دهند. اگرچه این گزارش روی ایران تمرکز دارد، ولی کاربران تلفن همراه در سراسر جهان باید نسبت به چنین تهدیداتی که می‌تواند توسط عواملی دولتی یا غیر دولتی در هر کشور انجام گیرد، اطلاع داشته باشند.
یک کاربر معمولی نمی‌تواند کاری برای پیشگیری یا مقابله با ربودن ترافیک BGP انجام دهد، اما استفاده از برنامه‌های قابل اعتماد از فروشگاههای نرم افزار رسمی ریسک را کاهش میدهد.این قاعده در مورد نسخه‌های شبیه‌سازی شده نیز صدق می‌کند. نصب برنامه ها از منابع غیر قابل اعتماد به میزانی کاربران را در معرض تهدید قرار می‌دهد که کاربران باید نسبت به آن آگاهی داشته باشند. در هر دو حالت، این خطر به طور قابل ملاحظه ای زمانیکه از برنامه‌ نسخه غیررسمی با «کارایی‌های پیشرفته» است، افزایش می یابد، حتی زمانی که آنها در فروشگاه گوگل پلی وجود داشته‌باشند.

17 آبان 97