انتشار در ایرانوایر
«ببین! به نظر من میخواین آدم بیارین، وعده آنتالیا و تایلند بدین.»
این پیشنهاد یک هکر به یکی از همکارانش برای جذب نیروهای جدید است. همکار اما پاسخ میدهد: «من فقط می تونم وعده قم و جمکران بدم.»
مکالمه فوق، بخشی کوچک از یافتههای گزارش مفصلی است که «بنیاد کارنگی برای صلح بینالمللی» به تازگی منتشر کرده است. این گزارش هشت فصلی که پرده از اقدامات سایبری جمهوری اسلامی بر میدارد، نوشته مشترک «کالین اندرسون»، پژوهش گرمقیم واشنگتن و «کریم سجادپور»، کارشناس ارشد کارنگی و یکی از معتبرترین تحلیلگران ایران در امریکا است.
این هکرها نه عضو گروهی خودجوش از جوانان که سازماندهنده یکی از عملیات سپاه پاسداران جمهوری اسلامی برای حمله سایبری علیه «دشمنان» هستند. کالین اندرسون در گفت وگویی تلفنی با «ایران وایر»، تصویر دقیق تری از این گروه می دهد و می گوید هکرهای جمهوری اسلامی لزوما آن چهره اسلامگرایی که بعضیها از آن ها تصور دارند، نیستند: «به نظر میرسد اینها افرادی هستند که میخواسته اند پولی دربیاورند. دیده اند که بعضیها شرکتهای امنیت سایبری درست کردهاند و کار می کنند، آن ها هم تصمیم گرفته اند برای دولت کار کنند. فکر نمیکنم همه آن ها آدمهای ایدئولوژیکی باشند. بعضی از آن ها هستند اما در صفحه اینستاگرام بعضیهایشان میبینیم که علف میکشند یا کلی فیلم پورنو نگاه میکنند. برخی از آن ها شاید ایدئولوژیک باشند اما خیلیهایشان آدمهایی فرصتطلب هستند.»
پژوهشهای سایبری اغلب بمب خبری درست و توجهها را به خود جلب میکنند؛ مثلا در ژوییه سال ۲۰۱۵ که معلوم شد امریکا در مورد شخص «آنگلا مرکل»، صدراعظم آلمان جاسوسی میکرده است، خیلیها در بهت فرو رفتند. اما گزارش کارنگی حتی بهتآورتر است زیرا نشان میدهد که جمهوری اسلامی بخش مهمی از توان سایبری خود را صرف جاسوسی از وزیر امور خارجه ایران و بسیاری اعضای عالی رتبه کابینه «حسن روحانی» کرده است.
اندرسون در مورد پژوهشهایش با تواضع صحبت میکند اما کسانی که در این زمینه فعال هستند، از عمق و جدیت آثار او باخبرند. سجادپور که نویسنده مشترک با اندرسون است، به «ایرانوایر» میگوید: «کالین واقعا ستاره این گزارش بود.»
خود اندرسون توضیح می دهد اتکا به مقادیر وسیعی از منابع دست اول، از نکات برجسته گزارش کارنگی بوده است.
از او میپرسیم چه طور به این اطلاعات مفصل که در گزارش آمده، دست یافته است؟ میگوید: «همه از ما میپرسند که آیا ما این هکرها را هک کردهایم؟ پاسخ منفی است؛ ما از تکنیکهای پژوهشی و عملیات خیلی ساده و رایج در جامعه امنیت سایبری استفاده بردهایم.»
او بعضی روشهای کار خود را توضیح میدهد؛ مثلا آنچه «سینکهولینگ» نامیده میشود: «تعقیب کردن کار هکرهایی که بدافزار درست میکنند از طریق دسترسی به سامانههای میزبان میانجی.»
می گوید کار انجام این گزارش سالها به طول کشیده است و از جمله دلایل این مدت طولانی، پیوسته نبودن روند کار هکرهای جمهوری اسلامی و بالا و پایین داشتن آن است.
اندرسون میگوید چند سالی روی این موضوع کار میکرده اما در دوران انتخابات ریاستجمهوری ۹۲ ناگهان متوجه افزایش اقدامات هکرها شده است: «در آستانه انتخابات ۹۲ انواع حملات شدت گرفتند. گروههایی که ما در گزارش از آن ها با نامهایی همچون “بچه گربه جادویی” و “بچه گربه پرنده” یاد کردهایم، پیش از این هم وجود داشتند اما کارشان بالا گرفته و روشن بود که مخالفان سیاسیِ تندروهای حاکمیت را هدف گرفته بودند. در فاصله سالهای ۲۰۱۴ و ۲۰۱۵ شروع به نوشتن این گزارش کردیم و روند نوشتن، ویراستاری و بازنویسی آن حدود دو سال و نیم طول کشید.»
دو فصل گزارش به اهداف داخلی و خارجی جمهوری اسلامی اختصاص دارند و در آن ها تصاویر رنگارنگی از قربانیان مختلف میبینیم. اندرسون میگوید: «یک ماه علیه بهاییها فعالیت میکردند، ماه دیگر علیه نوکیشان مسیحی. بعد ناگهان نهادهای سیاست خارجی امریکا یا دولت “ترامپ” مورد هدف واقع میشدند و سپس نوبت روزنامهنگاران ایرانی بود.»
این پژوهش گر همین حالا هم مشغول بهروز کردن پژوهشهای خود است و میگوید: «الان دارم سعی میکنم ببینم آیا در رابطه با اعتراضات کنونی، تمرکز خاصی بر مخاطبان داخلی بوده است یا نه.»
تقریبا تمام عملیات هکری که این گزارش از آنها پرده برداشته است، توسط سپاه پاسداران انجام میشوند اما یک استثنا، بچه گربه جادویی است که اداره آن به دست وزارت اطلاعات است. از اندرسون میپرسیم که آیا فرقی بین بچه گربه جادویی و عملیاتهای سپاه هست یا نه؟ میگوید: «شکی نیست که این دو موازی با هم کار میکنند. اما باید اضافه کنم که آن چه ما از عملیاتهای وزارت اطلاعات می دانیم، خیلی محدودتر است که میتواند نشانه این باشد که آن ها خیلی پیشرفتهتر کار می کنند.»
اما در مورد این که توان سایبری جمهوری اسلامی واقعا چه قدر قوی است، در این گزارش آمده است: «ایران عمدتا قدرت سایبری رده سومی دانسته میشود که ظرفیتهای چین، روسیه یا امریکا را ندارد. اما این کشور توانسته است از عدم آمادگی اهداف خود در درون و بیرون از ایران استفاده کند.»
هکرهای جمهوری اسلامی تا کنون دست به اقداماتی چشم گیر زدهاند؛ مثلا «ارتش سایبری ایران» در دسامبر ۲۰۰۹ موفق شد توییتر را چند ساعت تعطیل کند. در دسامبر ۲۰۱۱ نیز حمله به یک شرکت امنیتی هلندی به نام «دیجینوتار»، به هکرهای جمهوری اسلامی امکان داد از کاربرانِ «جیمیلِ» درونِ ایران جاسوسی کنند. گزارش فوق، این حمله را یکی از بزرگ ترین نفوذهای امنیتی در تاریخ اینترنت میداند.
از اندرسون میپرسیم ایران چه طور قدرت سایبری رده سومی است که موفق شده عملیات این چنینی انجام دهد؟ او میگوید: «ظرفیتهای ایران حتی به اندازه کره شمالی هم نیست اما توانسته است با سرمایهگذاری کم به نتیجه برسد. اگر دولت ایران بخواهد منابع خود را متمرکز کند، میتواند به نتایج خیلی بالاتری هم برسد.»
اندرسون در مورد ارتش سایبری ایران که حمله توییتر ۲۰۰۹ را انجام داد، میگوید: «من فکر میکنم میدانم این ارتش سایبری ایران چه کسی است. به نظرم یک فرد مشخص است که حتی هکر خیلی خوبی هم نیست اما کار مهندسی اجتماعی را خوب بلد است. حداقل شش سال است دارد فعالیت میکند و در آغاز، کارش پول در آوردن با دزدیدن نام دامنه بود و سپس مهارتهایش را در خدمت دولت قرار داد. این نشان میدهد که چه طور یک نفر هم اگر وقت کافی داشته باشد، میتواند آسیب اقتصادی وارد کند یا هزینه سیاسی به بار آورد.»
میافزاید که پژوهشهای او نشان داده اند با وجود شایعات زیاد و بیمدرک، معلوم نیست ایران در اقدامات سایبری خود از متحدانی هم چون دولت روسیه کمک گرفته باشد: «آنچه ما در مورد ظرفیت هکرهای سپاه میدانیم، نشان میدهد که ابزارهایشان به قدری ابتدایی هستند که هر فردی که تجربه سادهای در برنامهریزی کامپیوتری داشته باشد، قادر به توسعه آنها است. تمامی حملات موجود با سطح مهارتی ساده انجام شدهاند و نشانهای از دخالت خارجی در کار نیست.»
یک مورد استثنای احتمالی، بچه گربه جادویی است که طبق یافتههای آژانس امنیت ملی امریکا، در سال ۲۰۱۰ بدافزارهای خود را با «حزبالله» لبنان در اشتراک گذاشته اما این همکاری، کوتاه مدت بوده است. اندرسون می گوید: «حزبالله احتمالا بعد از مدتی بدافزار خودش را ساخته که حتی شاید بهتر از همتای ایرانی بوده است.»
او در ضمن میگوید هکرهای سوریه نیز بیش تر وامدار هکرهای جهان عرب بودهاند و مسیرشان جدا از ایرانیها است.
اندرسون در مورد آینده پژوهشهایش میگوید باید توجه خیلی بیش تری به قربانیان عادی حملات سایبری جمهوری اسلامی شود؛ از جمله روزنامهنگاران مستقل و فعالان ایرانی در داخل و خارج از کشور: «گزارشهای موجود راجع به ظرفیتهای سایبری ایران را که میخوانیم، میبینیم تمرکزشان بر حملات علیه شرکتهای دفاعی یا دولت است. به نظرم توجه کافی به جامعه مدنی ایران نمیشود، در حالی که آنها اهداف اصلی حملات سایبری هستند. باید به نیازهای آنها بیش تر توجه و پشتیبانی بیش تری از آن ها انجام شود.»