افشای جاسوسی وی‌پی‌ان ایرانی «20speed» از کاربران

شرکت امنیتی «بیت‌دیفندر» تولید کننده نرم‌افزار آنتی ویروس معروف (Bitdefender)، در گزارشی که بیست و یکم دی‌ ماه ۱۴۰۱ در وبلاگ خود منتشر کرده، پرده از کمپین جاسوسی وی پی ان ایرانی(20Speed)، با استفاده از یک جاسوس‌افزار جانبی برداشته است.

این وی پی ان که امکان خرید خدمات خود را از طریق شبکه شتاب برای کاربران ایرانی فراهم کرده بود، از حدود خرداد ماه ۱۴۰۱، کمپین جاسوسی از متقاضیان خدمات خود را آغاز کرده، و حدود شهریورماه همین سال، با پیدا شدن چند قربانی در ایران، آلمان و آمریکا، در لیست سیاه نرم‌افزارهای جاسوسی قرار گرفت.

محققان بیت‌دیفندر در ابتدای تجزیه و تحلیل‌های فنی، با فرایند‌هایی با الگوی یکسان مواجه شدند که با نام‌هایی نظیر (win)، (sys)، (lib) آغاز و به پسوند (32.exe) ختم می‌شد.

این فرایند‌ها همچنین حاوی کلمه‌هایی مانند (init)، (cache)، (temp)، (crt)، (bus) بودند که عملکردشان را توصیف می‌کردند. اما فایل‌ متنی (bat) و پی‌لودهای همراه‌، درواقع مربوط به یک برنامه نظارتی بود بنام (SecondEye)، که پیشتر توسط مهندسان ایرانی توسعه یافته و به طور قانونی نیز از طریق وبسایت به فروش می‌رسد.

(SecondEye) که بارها از سوی مجرمان اینترنتی مورد بهره‌برداری قرار گرفته، درواقع مشابه نرم‌افزارهای نظارتی است که شرکت‌ها و سازمان‌ها، برای کنترل رایانه کارمندان دورکارشان در خارج از دفتر استفاده می‌کنند. توسعه‌دهندگان ایرانی (SecondEye)، این محصول را تحت عنوان نرم افزار نظارت کارکنان یا سیستم کنترل والدین، با قیمتی بین ۹۹ تا ۲۰۰ دلار به فروش می‌رساندند.

در روزهای ابتدایی سال ۲۰۲۲ میلادی، شرکت امنیتی «بلک‌پوینت» (Blackpoint)، به مدت دو ماه، دو تحرک مشکوک را رصد کرد که از طریق پروتکل (FTP)، فایل‌هایی را به یک سرور در ایران منتقل می‌کرد. این نقل و انتقال‌ها به (SecondEye) تعلق داشت. تحقیقات تکمیلی مشخص کرد که یک سرور آلمانی نیز وجود دارد که از وبسایت (SecondEye) میزبانی می‌کند. بلک‌پوینت با بهره‌گیری از هوش منبع باز (OSINT) و تجزیه و تحلیل، به این نتیجه رسید که (SecondEye) یک محصول دومنظوره ایرانی است.

شرکت امنیتی بیت دیفندر گفته، اگرچه کمپین جاسوسی وی پی ان (20Speed) از اجزای (SecondEye) استفاده می‌کند، اما این اجزاء توسط فایل نصبی این نرم‌افزار نظارتی به دستگاه قربانی منتقل نشده و نصاب‌های تروجانیزه شده موجود در وی پی ان، رایانه کاربر را آلوده می‌کند.

این آلودگی به شکل جدی، حریم خصوصی قربانی را تهدید کرده و امکان دسترسی عوامل پشت پرده این وی پی ان ایرانی به اطلاعات حساس، مانند اسناد، تصاویر، کیف پول اینترنتی، رمز عبور و غیره را فراهم می‌کند.

کاربران باید در نظر داشته باشند که هیچ چیز در این دنیای امروز مجانی نیست. اگر نرم‌افزاری به شکل مجانی ارائه می‌شود، بی‌شک نفعی از کاربر خواهد برد. مانند ورود نرم‌افزار به حریم خصوصی کاربر و یا به بردگی گرفتن توان دستگاه او به عنوان بات‌نت، فروش اطلاعات او به اشخاص ثالث، سرقت اطلاعات اعتباری، آلوده کردن دستگاه به بدافزار و قراردادن در معرض تهدید‌های آنلاین.

با توجه به سوابق حکومت ایران در عدم رعایت حریم خصوصی شهروندان و نقش فراقانونی نهاد‌های امنیتی در حوزه‌های مختلف، به هر نرم‌افزار و خدمات مجازی با منشاء ایران، باید به شکل یک تهدید، با پتانسیل جاسوسی نگریست.

راهی برای شناسایی صد در صد یک وی پی ان جعلی و یا حاوی بدافزار وجود ندارد، اما می‌توان از نحوه رفتار و ارائه خدمات آن، به سلامت و یا آلودگی آن پی برد.

به عنوان نمونه، وی پی ان (20Speed) یکی از ابزارهایی بود که به عنوان فیلترشکن، به کاربران ایرانی خدمات ارائه می‌کرد. طبعا هرکاربری باید این سوال را از خود بپرسد، در کشوری که سانسور اینترنت با جدیت اعمال می شود، چطور یک شرکت ایرانی اجازه دارد که سرویس عبور از فیلترینگ را به شهروندان همان کشور ارائه کرده و هزینه آن را هم از طریق شتاب، سیستم رسمی تبادل مالی آن کشور دریافت کند؟ چه نفعی برای حکومت دارد که قوانین سرسختانه سانسور خود را نایده گرفته و به یک ابزار عبور از فلیترینگ اجازه فعالیت قانونی بدهد؟

در مورد وی پی ان های مجانی نیز، نمی‌توان گفت که همه آنها جعلی و یا آلوده هستند. اما وی پی ان‌های مجانی معمولا برای کسب درآمد و تامین هزینه‌زیرساخت‌ها، ازتبلیغات بهره برده و عموما پهنای باند محدودی ارائه می‌کنند. بنابراین، وی پی ان‌هایی که فاقد تبلیغات و یا محدودیت پهنای باند هستند، طبعا هدفی رابه دنبال ارائه خدمات خود پیگیری می‌کنند که در عموم موارد، به نفع کاربر نیست.

بررسی سابقه فرد، گروه و یا شرکت سازنده وی پی ان نیز کمک فراوانی به درک سلامت نرم‌افزار می‌کند. سازندگان و ارائه‌کنندگان شناخته شده معمولا کمتر تن به سوء استفاده از کاربر و اقدامات غیرقانونی می‌دهند.

داشتن سیاست حفظ حریم خصوصی و ارائه آن به کاربر، پیش از نصب وی پی ان، یکی از نشانه‌های سلامت نرم‌افزار است. باید توجه داشت که برخی مجرمان اینترنتی، با کپی کردن این سیاست از نرم‌افزارهای شناسنامه‌دار، وانمود به سلامت می‌کنند. باید با مرور متن سیاست حریم خصوصی، از مرتبط بودن و منطبق بودن آن با وی پی ان مورد نظر اطمینان حاصل کرد.

داشتن اطلاعات تماس با سازندگان و توسعه‌دهندگان وی پی ان، یک امر حرفه‌ای و ضروری است. اگر چنین اطلاعاتی وجود نداشته و یا در صورت تماس، پاسخ خودکار دریافت شد، باید به وی پی ان مشکوک شد. حتی دریافت پاسخ غیرحرفه‌ای از سازنده و یا حاوی فایل و پیوندهای مشکوک نیز می‌تواند دلیلی بر تلاش برای هک کردن کاربر باشد.

هدف از اتصال به وی پی ان، رمزنگاری اطلاعات و تغییر آی پی برای ناشناس ماندن در فضای مجازی است. وی پی انی که قادر به تغییر آی پی کاربر نباشد، طبعا نام وی پی ان را یدک کشیده و درواقع بدافزاری است که دستگاه کاربر را هدف قرار داده است.

بررسی میزان مصرف باطری دستگاه و پهنای باند اینترنت می‌تواند به درک از سلامت وی پی ان کمک کند. نرم‌افزاری که بیشتر از حد معمول از باطری و پهنای باند اینترنت استفاده می‌کند، درواقع درحال اقدامی پنهانی، و به غیراز وظیفه‌ای است که برای آن خلق شده است.

آزمایش وی پی ان در یک فضای حفاظت شده، مانند ماشین مجازی می‌توانند سلامت نرم‌افزار را تا حد زیادی روشن کند.