شرکت امنیتی «بیتدیفندر» تولید کننده نرمافزار آنتی ویروس معروف (Bitdefender)، در گزارشی که بیست و یکم دی ماه ۱۴۰۱ در وبلاگ خود منتشر کرده، پرده از کمپین جاسوسی وی پی ان ایرانی(20Speed)، با استفاده از یک جاسوسافزار جانبی برداشته است.
این وی پی ان که امکان خرید خدمات خود را از طریق شبکه شتاب برای کاربران ایرانی فراهم کرده بود، از حدود خرداد ماه ۱۴۰۱، کمپین جاسوسی از متقاضیان خدمات خود را آغاز کرده، و حدود شهریورماه همین سال، با پیدا شدن چند قربانی در ایران، آلمان و آمریکا، در لیست سیاه نرمافزارهای جاسوسی قرار گرفت.
محققان بیتدیفندر در ابتدای تجزیه و تحلیلهای فنی، با فرایندهایی با الگوی یکسان مواجه شدند که با نامهایی نظیر (win)، (sys)، (lib) آغاز و به پسوند (32.exe) ختم میشد.
این فرایندها همچنین حاوی کلمههایی مانند (init)، (cache)، (temp)، (crt)، (bus) بودند که عملکردشان را توصیف میکردند. اما فایل متنی (bat) و پیلودهای همراه، درواقع مربوط به یک برنامه نظارتی بود بنام (SecondEye)، که پیشتر توسط مهندسان ایرانی توسعه یافته و به طور قانونی نیز از طریق وبسایت به فروش میرسد.
(SecondEye) که بارها از سوی مجرمان اینترنتی مورد بهرهبرداری قرار گرفته، درواقع مشابه نرمافزارهای نظارتی است که شرکتها و سازمانها، برای کنترل رایانه کارمندان دورکارشان در خارج از دفتر استفاده میکنند. توسعهدهندگان ایرانی (SecondEye)، این محصول را تحت عنوان نرم افزار نظارت کارکنان یا سیستم کنترل والدین، با قیمتی بین ۹۹ تا ۲۰۰ دلار به فروش میرساندند.
در روزهای ابتدایی سال ۲۰۲۲ میلادی، شرکت امنیتی «بلکپوینت» (Blackpoint)، به مدت دو ماه، دو تحرک مشکوک را رصد کرد که از طریق پروتکل (FTP)، فایلهایی را به یک سرور در ایران منتقل میکرد. این نقل و انتقالها به (SecondEye) تعلق داشت. تحقیقات تکمیلی مشخص کرد که یک سرور آلمانی نیز وجود دارد که از وبسایت (SecondEye) میزبانی میکند. بلکپوینت با بهرهگیری از هوش منبع باز (OSINT) و تجزیه و تحلیل، به این نتیجه رسید که (SecondEye) یک محصول دومنظوره ایرانی است.
شرکت امنیتی بیت دیفندر گفته، اگرچه کمپین جاسوسی وی پی ان (20Speed) از اجزای (SecondEye) استفاده میکند، اما این اجزاء توسط فایل نصبی این نرمافزار نظارتی به دستگاه قربانی منتقل نشده و نصابهای تروجانیزه شده موجود در وی پی ان، رایانه کاربر را آلوده میکند.
این آلودگی به شکل جدی، حریم خصوصی قربانی را تهدید کرده و امکان دسترسی عوامل پشت پرده این وی پی ان ایرانی به اطلاعات حساس، مانند اسناد، تصاویر، کیف پول اینترنتی، رمز عبور و غیره را فراهم میکند.
کاربران باید در نظر داشته باشند که هیچ چیز در این دنیای امروز مجانی نیست. اگر نرمافزاری به شکل مجانی ارائه میشود، بیشک نفعی از کاربر خواهد برد. مانند ورود نرمافزار به حریم خصوصی کاربر و یا به بردگی گرفتن توان دستگاه او به عنوان باتنت، فروش اطلاعات او به اشخاص ثالث، سرقت اطلاعات اعتباری، آلوده کردن دستگاه به بدافزار و قراردادن در معرض تهدیدهای آنلاین.
با توجه به سوابق حکومت ایران در عدم رعایت حریم خصوصی شهروندان و نقش فراقانونی نهادهای امنیتی در حوزههای مختلف، به هر نرمافزار و خدمات مجازی با منشاء ایران، باید به شکل یک تهدید، با پتانسیل جاسوسی نگریست.
راهی برای شناسایی صد در صد یک وی پی ان جعلی و یا حاوی بدافزار وجود ندارد، اما میتوان از نحوه رفتار و ارائه خدمات آن، به سلامت و یا آلودگی آن پی برد.
به عنوان نمونه، وی پی ان (20Speed) یکی از ابزارهایی بود که به عنوان فیلترشکن، به کاربران ایرانی خدمات ارائه میکرد. طبعا هرکاربری باید این سوال را از خود بپرسد، در کشوری که سانسور اینترنت با جدیت اعمال می شود، چطور یک شرکت ایرانی اجازه دارد که سرویس عبور از فیلترینگ را به شهروندان همان کشور ارائه کرده و هزینه آن را هم از طریق شتاب، سیستم رسمی تبادل مالی آن کشور دریافت کند؟ چه نفعی برای حکومت دارد که قوانین سرسختانه سانسور خود را نایده گرفته و به یک ابزار عبور از فلیترینگ اجازه فعالیت قانونی بدهد؟
در مورد وی پی ان های مجانی نیز، نمیتوان گفت که همه آنها جعلی و یا آلوده هستند. اما وی پی انهای مجانی معمولا برای کسب درآمد و تامین هزینهزیرساختها، ازتبلیغات بهره برده و عموما پهنای باند محدودی ارائه میکنند. بنابراین، وی پی انهایی که فاقد تبلیغات و یا محدودیت پهنای باند هستند، طبعا هدفی رابه دنبال ارائه خدمات خود پیگیری میکنند که در عموم موارد، به نفع کاربر نیست.
بررسی سابقه فرد، گروه و یا شرکت سازنده وی پی ان نیز کمک فراوانی به درک سلامت نرمافزار میکند. سازندگان و ارائهکنندگان شناخته شده معمولا کمتر تن به سوء استفاده از کاربر و اقدامات غیرقانونی میدهند.
داشتن سیاست حفظ حریم خصوصی و ارائه آن به کاربر، پیش از نصب وی پی ان، یکی از نشانههای سلامت نرمافزار است. باید توجه داشت که برخی مجرمان اینترنتی، با کپی کردن این سیاست از نرمافزارهای شناسنامهدار، وانمود به سلامت میکنند. باید با مرور متن سیاست حریم خصوصی، از مرتبط بودن و منطبق بودن آن با وی پی ان مورد نظر اطمینان حاصل کرد.
داشتن اطلاعات تماس با سازندگان و توسعهدهندگان وی پی ان، یک امر حرفهای و ضروری است. اگر چنین اطلاعاتی وجود نداشته و یا در صورت تماس، پاسخ خودکار دریافت شد، باید به وی پی ان مشکوک شد. حتی دریافت پاسخ غیرحرفهای از سازنده و یا حاوی فایل و پیوندهای مشکوک نیز میتواند دلیلی بر تلاش برای هک کردن کاربر باشد.
هدف از اتصال به وی پی ان، رمزنگاری اطلاعات و تغییر آی پی برای ناشناس ماندن در فضای مجازی است. وی پی انی که قادر به تغییر آی پی کاربر نباشد، طبعا نام وی پی ان را یدک کشیده و درواقع بدافزاری است که دستگاه کاربر را هدف قرار داده است.
بررسی میزان مصرف باطری دستگاه و پهنای باند اینترنت میتواند به درک از سلامت وی پی ان کمک کند. نرمافزاری که بیشتر از حد معمول از باطری و پهنای باند اینترنت استفاده میکند، درواقع درحال اقدامی پنهانی، و به غیراز وظیفهای است که برای آن خلق شده است.
آزمایش وی پی ان در یک فضای حفاظت شده، مانند ماشین مجازی میتوانند سلامت نرمافزار را تا حد زیادی روشن کند.