افشای صنعت سرّی هک در هند
سعید میرشاهی – یک اعتراف، صنعت مخفی هک در هند را افشا کرد. این کشور، یک تخصص پرسود را توسعه داده است: استخدام برای حملات سایبری! ماجرای این کسبوکار پررونق در هند یعنی استخدام هکر برای حملات سایبری که از سوی مجله نیویورکر به تفصیل بیان شده، جذاب و خواندنی است.
در تابستان سال 2020، یوناس ری، یک بازرس خصوصی ژنو، از یک مشتری ناراحت، تماسی دریافت کرد.
وی موکل شرکت حقوقی بریتانیایی برلینگتونز، متعلق به یک کارآفرین آمریکایی ایرانیالاصل به نام «فرهاد عظیمی» بود که معتقد بود شخصی اکانت ایمیل او را هک کرده است. عظیمی اخیرا در زمینه افشای تحریمهای ایران نقش داشته و بنابراین هکرهای ایرانی، یکی از مظنونان اصلی بودند.
- استخدام برای هک: هند علیه یک ایرانی-آمریکایی
در این زمینه، سیتیزنلب (Citizen Lab)، یک مرکز تحقیقاتی در دانشگاه تورنتو، به تازگی گزارشی را منتشر کرد و با اطمینان بالا به این نتیجه رسید که تعداد زیادی از حملات سایبری به روزنامهنگاران، فعالان محیطزیست و سرمایهداران، توسط BellTroX، یک شرکت مستقر در دهلینو، سازماندهی شده؛ یک شرکت بزرگ استخدام در حوزه هک.
این عملیات، تعداد زیادی آمریکایی را هدف قرار داده بود. شرکت برلینگتونز برای آغاز تحقیقات این پرسش را از یوناس ری (بازرس خصوصی سوییسی) پرسید که آیا میتواند دریابد عظیمی، قربانی دیگری از BellTroX بوده است؟
پاسخ، مثبت بود. محققان سیتیزنلب، با توجه به فعالیتهای BellTroX درباره یک شخص مطلع شده بودند که این شرکت، سعی کرده بود با «فیشینگ نیزه» (ارسال یک پیام جعلی برای فریبِ گیرنده به منظور دسترسی به دادههای شخصی)، او را فریب دهد.
بر این اساس، سیتیزنلب، سه سال به منظور تجزیه و تحلیل وبسایتهای مورد استفاده برای کوتاه و پنهان کردن پیوندهای فیشینگ، بررسی حسابهای رسانههای اجتماعی کارکنان BellTroX و تماس با قربانیان تحقیق کرد.
رویترز با هماهنگی سیتیزنلب، در همان روز با انتشار یک گزارش، دربارهBellTroX دست به افشاگری زد اما مالک این شرکت هندی، هرگونه تخلف را رد کرد. مقامات هندی نیز هرگز به طور علنی به این اتهامات پاسخ ندادند و این اتهامات، تاییدنشده باقی ماند.
تحقیقات یوناس ری، بازرس خصوصی در ژنو درباره آقای عظیمی، نه تنها روی شرکت هندی BellTroX، بلکه درباره چندین شرکت دیگر، ثابت کرد هند، خانه صنعت حملات سایبری گسترده، پررونق و اجارهای است.
سال گذشته، ری اولین اعتراف مفصل را از یک شرکتکننده در عملیات استخدام برای هک گرفت. در اسناد دادگاه، یک هکر هندی اعتراف کرد همانند کارمندان یک شرکت دیگر، به اکانت ایمیل آقای عظیمی نیز نفوذ کرده است. علاوه بر این، تعداد بیشماری هکر هندی دیگر برای استخدام وجود داشت که کار آنها اغلب با یکدیگر مرتبط بود.
جان اسکات ریلتون، محقق ارشد Citizen Lab که به رهبری تحقیقات درباره شرکت BellTroX کمک کرد، معتقد است اعترافاتی که با تلاش ری، بازرس خصوصی گرفته شده، «بزرگ» هستند و «گفتگو را پیش میبرد.»
او افزود: «میدانید چگونه در برخی صنایع، همه فردی را میشناسند که میتواند کار خاصی را انجام دهد؟ خوب، در زمینه استخدام برای هک، هند، عجیب و غریب است مانند یک الگو. آنها بسیار غنی هستند.»
- همه قابل هک هستند!
شرکت یوناس ری در ژنو،Athena Intelligence نام دارد. ری که موهای کوتاه مشکی و ریش مرتبی دارد، هنگام صرف یک قهوه دونفره به نیویورکر گفت که او یک برنامهنویس نیست اما وقتی شرکت برلینگتونز او را استخدام کرد تا ببیند آیا شرکت هندی، فرهاد عظیمی (مالک برلینگتونز) را هک کرده یا خیر، به یاد آورد حدود یک دهه قبل از آن، یک کارآفرین هندی به نام راجات خاره که شرکتی به نام Appin Security را اداره میکرد، با شرکتهای اطلاعاتی خصوصی در اروپا تماس گرفته بود.
ری گفت: «آنچه در این تحقیقات آموختم، این بود که او به همه ایمیل زد و آنچه را «هک اخلاقی» مینامید، مطرح کرده بود.»
در یکی از اسلایدهای شرکت Appin، که بعدا توسط رویترز منتشر شد، وعده داده شده این شرکت میتواند «اطلاعاتی را که شما تصور میکنید و تصور نمیکنید، به دست آورد.» به عنوان نمونه: «به ایمیل، رایانهها، وبسایتها، دستگاههایی که در دسترس نیستند، از راه دور دسترسی داشته باشید. اطلاعات/ شواهد محرمانه را گردآوری و رضایت واقعی مشتریان خود را جلب کنید.» این شرکت وعده داده بود: «همه قابل هک هستند.»
شرکت Appin، برای یک ماه کار توسط یک هکر، 2500 دلار دریافت کرد.
وی گفت که کمتر از دو هفته طول کشید تا Appin به ایمیلهای محرمانه و عکسهایی دست یابد که مشکوک بودن یک شوهر به خیانت همسرش را تایید کند؛ حتی اگر از آنتی ویروس نورتون360 بهروزشده استفاده کرده باشد!
موارد دیگر پیچیدهتر بودند: این شرکت اعلام کرد کشف شواهد پولشویی و تماسهای مجرمانه از حساب ایمیل یک مدیر اجرایی در روسیه، 47 روز طول کشیده است. اسلایدهای منتشرشده Appin نشان میدهد مشتریان، شامل ارتش و وزارت دفاع هند بودهاند. (یکی از وکلای راجات خاره گفت او این قسمت اسلایدها را به یاد نمیآورد و فعالیت او به «هک اخلاقی و آموزش رباتیک»، محدود است.)
- دوست جدید و سرنخ تازه
ری چند سال بعد، در حالی که در هند کار میکرد تا به یک شرکت بزرگ کمک کند امنیت اطلاعات خود را ارتقا دهد، دوباره با نام Appin برخورد کرد. در جریان این پروژه، او با یک مشاور امنیت سایبری هندی به نام آدیتیا جین دوست شد. یک روز جین گفت که در اوایل کارش برای Appin کار کرده است. آنها در تماس بودند و جین بعدا به ری کمک کرد تا امنیت دیجیتال مشتری دیگری را آزمایش کند.
وقتی برلینگتونز، ری را برای رسیدگی به پرونده عظیمی، مالک خود استخدام کرد، او با دوست قدیمیاش در نزدیکی دهلینو تماس گرفت. آیا جین، ایدهای درباره اینکه چه کسی ممکن است هک را انجام داده باشد، داشت؟
ظاهرا سراغ فرد مناسبی رفته بود. او واقعا ایدههایی داشت چون او خودش عظیمی را هک کرده بود!
عظیمی که 82 سال دارد و در کانزاسسیتی مستقر است، صاحب یک شرکت حملونقل هوایی است اما در انواع معاملات در سراسر خاورمیانه، از جمله قاچاق اسلحه برای سیا شرکت داشته و در طول این سالها، دشمنانی پیدا کرده است. زمانی که ری توسط برلینگتونز استخدام شد، عظیمی درگیر یک نبرد حقوقی طولانی با راسالخیمه (یکی از شهرهای امارات متحده عربی) بود.
در سال 2007، عظیمی با یک صندوق سرمایهگذاری راسالخیمه، برای راهاندازی یک مدرسه پرواز هوایی شریک شد و بعدا به صندوق کمک کرد تا یک هتل مجلل در تفلیس (گرجستان) را بفروشد. عظیمی در نهایت با امیر راسالخیمه، اختلاف پیدا کرد و در سال 2016 صندوق سرمایهگذاری در دادگاه لندن از عظیمی، شکایت و او را به کلاهبرداری و خودفروشی متهم کرد.
به طور اسرارآمیز، تعدادی از ایمیلهای خصوصی عظیمی، درست هنگام تشکیل پرونده در اینترنت ظاهر شد. این، یک چرخش کاملا مناسب برای راسالخیمه بود اما یک وکیل و بازرسان خصوصی مختلف که برای صندوق کار میکردند، شهادت دادند که نمیدانستند چه اتفاقی افتاده است: یک مشاور روابط عمومی به عنوان کارمند آنها به نحوی ایمیلها را «کشف» کرده بود.
دادگاه موافقت کرد این موضوع را به عنوان شواهد بپذیرد و در ماه مه 2020، زمانی که عظیمی را به پرداخت 4.2 میلیون دلار غرامت و میلیونها دلار، پرداخت هزینه حقوقی به راسالخیمه محکوم کرد، به دادههای درزکرده استناد کرد.
جین به ری گفت که او از داستان واقعی آن افشاگریها خبر دارد. (البته وی از اظهارنظر خودداری کرد اما نمایندگان او، طرح کلی وقایع را تایید کردند.)
- ماجرای منبع شماره 1: ورود امارات
جین مدتی به عنوان یک هکر کار کرده بود و تحت عنوان دفاع سایبری و آنالیتیکس، تجارت میکرد.
وی گفت در دسامبر 2015، یک محقق خصوصی در تیم راسالخیمه به او دستور داد تا به حسابهای آنلاین عظیمی دسترسی داشته باشد و تا آوریل 2016، با یک ایمیل فیشینگ، عظیمی را فریب داد تا رمز عبور iCloud خود را تحویل دهد.
جین حساب iCloud عظیمی را تا پایان جولای زیرنظر داشت، سپس دادههای موردنظر را به مشتری خود تحویل داد و حدود 22 هزار دلار به دست آورد. سپس جین به ری اطلاع داد که امارات شانس بیشتری برای ارتباط با یک شرکت استخدام برای هک در هند دارد: شرکت سایبر روت (CyberRoot) که توسط همکاران سابق Appin تاسیس شده بود، از عظیمی، مطالب بسیار بیشتری از جمله ایمیلها را ربوده و ترتیبی داده بود که همه را در اینترنت قرار دهد.
ری گفت یک هکر در CyberRoot تایید کرده این شرکت، فایلها را سرقت کرده است.
در مستندات دادگاه، کارمند CyberRoot از اعتراف به این موضوع، پرهیز و هرگونه تخلف را رد میکند. بازپرس خصوصی تیم راسالخیمه اذعان کرده او یک میلیون دلار به CyberRoot پرداخت کرده؛ مبلغی که در صنعت فناوری هند، هنگفت است.
با این حال، او و سایبر روت دست داشتن در هک را رد کرده و گفتهاند که این پول برای موضوعات فاشنشده و غیر مرتبط با جرایم سایبری بوده است.
اگرچه جین آزادانه درباره هک کردن عظیمی با ری صحبت میکرد و مایل بود درخواستی برای محاکمه مجدد ارایه دهد اما به خاطر افشای مشتریان سابق خود یا سایر هکرها ناراحت بود و در پروندههای دادگاه، تنها به عنوان یک افشاگر ناشناس معرفی شد. در 11 فوریه 2021، ری سوگندنامهای ارایه کرد که جین را به عنوان «منبع 1» معرفی میکرد. در این سند آمده است: «منبع 1 به من اطلاع داد که از طرف CyberRoot برای انجام هک استخدام شده است.»
ترس جین از واکنش متقابل کاملا موجه بود. او از طرف ری با یک همکار سابق دیگر در CyberRoot تماس گرفته بود. بنابراین ناشناس ماندن «منبع 1» چندان دوام نیاورد. جین گفت که بازپرس خصوصی تیم راسالخیمه، مکررا به وی پیامک فرستاد و به او پیشنهاد داد که برای ملاقات به دبی برود.
ری از این پیشنهاد نگران شد و به جین گفت: «این، یک تله است. آنها تو را قفل میکنند و کلید را دور میاندازند. (بازپرس خصوصی از اظهارنظر خودداری کرد.) در آگوست 2021، منبع CyberRoot با جین تماس گرفت و تهدید کرد: «اگر تو و ری عقبنشینی نکنید، کاملا عصبانی شده و تلافی میکنم.»
تقریبا همان زمان، جین اواخر شب، یک تماس از مردی دریافت کرد که ادعا میکرد افسر یک نیروی ویژه پلیس است. او به جین هشدار داد که قرار است به دلیل سرقت اطلاعات دستگیر شود. بنابراین جین با ملاقات روز بعد در لابی هتل تاج پالاس در دهلینو موافقت کرد؛ جایی که از یک وکیل خواسته بود از میز مجاور، استراق سمع کند. این پلیس فرضی گفت او استخدام شده بود تا جین را کتک بزند و ساکت نگه دارد اما اگر جین بتواند در ساعت 2 بامداد، در یک مکان متروکه پول بدهد، میتواند بدون آسیب فرار کند.
ری گفت که به جین هشدار داده: «هیچ پلیس واقعیای، تو را ساعت 2 صبح در ناکجاآباد ملاقات نمیکند.»
روز بعد، ری، جین و همسرش را مجبور کرد به مالدیو، یکی از معدود کشورهای خارجی که هندیها میتوانند بدون ویزا در آن فرود آیند، برود. ری گفت: «من اجازه نمیدهم یکی از منابعم سر به نیست شود.»
در همین حال، وکیل جین گزارش داد که هیچ اتهامی علیه او مطرح نشده و تایید میکند که «پلیسنما» یک قاتل اجیرشده بوده است. با منفجر شدن هویت واقعی جین، ری توانست دوستش را متقاعد کند که از یک منبع ناشناس که خطرات بیشتری دارد، اطلاعات را دریابد.
در چارچوب یک پرونده حقوقی، تحت فشار قرار دادن جین میتواند ارعاب شاهد باشد. جین موافقت کرد. در پاییز 2021، وکلای عظیمی در یک پرونده قضایی اعلام کردند جین به دستور یکی از بازرسان خصوصی امارات، به هک کردن دادههای عظیمی، مالک برلینگتونز اعتراف کرده است.
- اعترافات جدید: استخدام هکر توسط اسرائیل
استوارت پیج یکی دیگر از محققان خصوصی بود که وقوع هرگونه هک را رد کرده بود و با ورق زدن و تایید هسته داستان جین، اعتبار پرونده جدید را تقویت کرد.
پیج، افسر سابق اسکاتلندیارد، سوگندنامهای ارایه و در آن اذعان کرد که درباره هک دروغ گفته است. پیج گفت: «من به خاطر نقشی که در گمراه کردن دادگاه بازی کردم، بی هیچ قید و شرطی عذرخواهی میکنم.»
او اعتراف کرد با یک بازپرس خصوصی اسرائیلی و افسر اطلاعاتی سابق کار کرده که به نوبه خود «پیمانکاران فرعی واقع در خارج از اسرائیل» را استخدام کرده بود تا از «تکنیکهای هک» برای مشاهده «ایمیلهای الکترونیکی محرمانه و دسترسی غیرمجاز به سایر دادههای الکترونیک محرمانه» استفاده کنند.
پیج اعتراف کرد که هیچکس بهطور تصادفی ایمیلهای هکشده عظیمی را به صورت آنلاین کشف نکرده بود، بلکه بازپرس اسرائیلی که هکرها را استخدام کرده بود، پیوندی با حافظه پنهان برای او ارسال کرده بود. علاوه بر این، گزارشهای محقق، کاملا پر از دادههای هکشده بود. پیج نوشت: «برای من (و هرکس دیگری که گزارشها را میخواند) واضح بود که چنین اسنادی در نتیجه دسترسی غیرمجاز به رایانهها به دست آمده بودند. (بازرس خصوصی اسرائیلی، حساب پیج را مورد مناقشه قرار داده بود.)
پیج گفت که قبل از شهادت دروغین خود، در یک «محاکمه ساختگی» در سوئیس به همراه سایر اعضای تیم راسالخیمه شرکت کرده بود تا داستان ساختگی آنها را تکرار کند و «روایتی را که قرار بود به دادگاه انگلیس گفته شود، کامل کند.» او برای پنهان کردن مکان خود، تلفن همراهش را در خانهاش در انگلستان، رها کرده و مسیر قطار را از لندن به یک هتل مجلل در برن، طی کرده بود؛ جایی که از سرآشپز خصوصی هتل و نوشیدنی در زیرزمین هتل استفاده میکرد؛ چیزی که آن را «ترکیبی از خوردن، آشامیدن و حوزههایی از رفتارهای متقابل» توصیف کرد.
- بازی افشاگرانه: خبرنگاران به مثابه استخدامکننده هکر
سال گذشته، دادگاه لندن به عظیمی، فرصت محاکمه مجدد در بهار را داد. صندوق سرمایهگذاری راسالخیمه اعلام کرده «هیچگونه مجوزی برای هک کردن دادههای عظیمی را نداده است.»
در همین حال، گزارشی در ساندی تایمز لندن ادعا کرد که جین و ری بیش از آنچه که آنها تصدیق کردهاند، در زمینه تجارت استخدام برای هک در هند درگیر هستند. این روزنامه در همکاری با دفتر غیرانتفاعی روزنامهنگاری تحقیقی در نوامبر گذشته، مقالهای را منتشر کرد که در آن، تیمی متشکل از پنج خبرنگار فاش کردند در یک فعالیت فریبآمیز مفصل شرکت کردهاند.
آنها خود را به عنوان مشتریانی که به دنبال استخدام یک هکر هستند، نشان دادند. به گفته آنها، جین، با «تبادل طولانی پیامها» به پرسشهای مخفیانه آنها پاسخ داده بود و به سوءاستفادههای خود در زمینه هک افتخار میکرد.
این خبرنگاران همچنین نوشتند یک «پایگاه داده محرمانه» که جزییات فعالیتهای هکری جین را شرح میدهد، مشاهده کردند. این امر نشان داد که از ابتدای سال 2019 تا بهار 2022، یوناس ری، جین را استخدام کرد تا 42 نفر از جمله رئیسجمهور سوئیس را هدف قرار دهد.
با این حال، سازگاری این بازه زمانی با تصمیم جین برای صحبت به عنوان یک افشاگر در اوایل آن دوره، یا با تصمیم همزمان ری برای تشریح ارتباط خود با جین پیچیده است. این مقاله به اعتراف عمومی جین یا نقش ری اشاره نمیکند.
این خبرنگاران خاطرنشان میکنند که جین، انجام حملات ادعایی یا انجام هک برای ری را مدتها قبل از انتشار مقاله که از طریق پیامک دریافت کرد، به شدت تکذیب کرده است.
همچنین ری گفت که او هرگز دستور هک نداده است. وی ادعا میکند نام مشتریان در «پایگاه داده مخفی» جعلی بوده و خبرنگاران ساندی تایمز فریب خوردهاند و احتمالا از اینکه ری و جین، اسرار آنها را در دادگاه فاش کردهاند، خشمگین شدهاند.
به گفته ری، وقتی جین مقاله را خواند، هیچیک از متنهایی را که ظاهرا برای خبرنگاران مخفی ارسال کرده بود، تشخیص نداد. علاوه بر این، برای اولین بار، متن نهایی یک خبرنگار ساندی تایمز که او را با اتهامات هک مواجه میکرد، میشنید. ری و جین بر این باورند که یک فرد متقلب، آدرس ایمیلی را که زمانی جین از آن استفاده میکرد، تصاحب کرده و سپس مخفیانه به سراغ روزنامهنگاران مخفی رفتهاند. خبرنگاران از اظهارنظر درباره اینکه آیا با آن آدرس مکاتبه کردهاند، خودداری کردند.
- صنعت هک: 10 سال، 120 هزار قربانی!
ری گفت که با بررسی دادههایی که از جین و همکاران هکرش به دست آورده است، تجارت استخدام برای هک در هند بسیار بزرگتر از آن چیزی است که اکثر کارشناسان تصور میکنند. او خاطرنشان کرد: «علاوه بر شرکتهای BellTroX و CyberRoot، حدود 10 تا 15 شرکت هندی دیگر نیز این کار را انجام می دهند. طی 10 سال گذشته نزدیک به 120 هزار قربانی مشاهده کردهایم. بنابراین این، واقعا یک صنعت است.»
کسبوکار یا بیزینس استخدام برای هک در هند به همان دلایلی که برونسپاری در آیتی رخ داده، رونق یافته است. این امر به فراوانی نیروی کار ماهر ارزان قیمت در بازار آزاد که برای مشتریان غربی، قابل دسترس است، منجر میشود. هکرهای هندی نیز به طور غیرمعمول گستاخ هستند، زیرا شرکتهای رقیب علنا خدمات هک «اخلاقی» یا «کلاه سفید» را تبلیغ می کنند و هکرهای فردی در لینکدین، درباره فیشینگ نیزهای لاف میزنند.
مجرمان سایبری در دولتهایی مانند روسیه، ایران و کرهشمالی تبلیغات نمیکنند. با این حال، همانطور که هم ری و هم اسکات ریلتون از سیتیزنلب، تصریح میکنند، به نظر میرسد هکرهای هندی چیز مهمی را با همتایان خود در آن کشورها به اشتراک میگذارند: اتحاد ضمنی با دولت.
ری معتقد است با توجه به فهرستهای هدف و سایر اطلاعاتی که از هکرهای هندی به دست آورده، 10 شرکت برتر هندی استخدام برای هک، همیشه به داشتن مشخصات یکسان تمایل داشتهاند. آنها همواره مقداری کارهای دولتی و در کنار آن اقداماتی برای بخش خصوصی انجام میدهند.
اسکات ریلتون نیز بر این باور است محققان امنیت سایبری، هم در بخش دولتی و هم در بخش خصوصی، این الگو را مشاهده کردهاند.
- بیگناه یا گناهکار؟
در بین تیمهای ردیابیشده، برخی از گروههای استخدام برای هک، در جهت منافع دولت هند فعالیت میکنند. در این میان، رقابت شدید هند با چین و پاکستان به جنگ سایبری نیز کشیده شده است. نماینده سفارت هند در واشنگتن از اظهارنظر درباره هک خودداری و یک مقام وزارت دادگستری ایالات متحده نیز از اظهارنظر درباره هند در این زمینه پرهیز کرد اما این مقام، قسمتی از بررسی جامع سایبری این وزارتخانه را ایمیل کرد.
این گزارش با عنوان «دولتهای خارجی که پناهگاه امنی برای هکرها فراهم میکنند»، در سال گذشته منتشر شد و بر چالش پلیس برای مجرمان سایبری فراملی مانند هند تاکید کرد. این بررسی هشدار داد این بازیگران بدخواه اغلب در هکهایی برای سود شخصی در کنار هکهایی که برای پیشبرد منافع استراتژیک کشورهای خود طراحی شدهاند، درگیر میشوند.
در بهار امسال، دادستانهای فدرال در نیویورک که به دادههای ارایهشده توسط سیتیزنلب مجهز بودند، از یک بازپرس خصوصی اسرائیلی به نام آویرام آذری که گفته بود هکرهای هندی را برای حمله به فعالان آبوهوا، سرمایهگذاران و بسیاری دیگر استخدام کرده، اعتراف گرفتند.
آذری که با محکومیت طولانی مواجه است، از ذکر نام موکلان خود خودداری کرده است. دادستانها با استناد به اطلاعات سیتیزنلب، آذری را به سومیت گوپتا، بنیانگذار BellTroX مرتبط کردند که ظاهرا یکی از متهمان کیفرخواست است اما گوپتا نگران نیست، زیرا دادستانهای فدرال در سنخوزه در سال 2015 نیز از طرف دو کارآگاه خصوصی کالیفرنیا، گوپتا را در پروندهای درباره هک متهم کردند اما در نهایت، هر دو بازپرس به جرم خود اعتراف کرده و به سه سال حبس تعلیقی محکوم شدند. گوپتا نیز همچنان آزادانه در هند، در حوزه کسبوکار فعالیت میکند.(منبع:عصرارتباط)