تلفن‌های همراه با نصب بدافزارهای پنهان به سلاح سایبری دشمن تبدیل می‌شوند

گزارش‌های مراجع امنیت شبکه تایید می‌کند که همزمان با حمله آمریکا به ایران در روز‌های آغازین اسفند ماه، حجم تلاش‌ها برای اخلال در شبکه‌های ارتباطی افزایش یافته است. بررسی روند این حملات نشان می‌دهد که دستگاه‌های شخصی شهروندان به عنوان ابزار‌های واسط برای هدایت ترافیک مخرب مورد استفاده قرار می‌گیرند. این روند ثابت می‌کند که حفظ امنیت دستگاه‌های فردی ارتباط مستقیمی با پایداری شبکه‌های حیاتی کشور دارد و نصب نرم‌افزار‌های تاییدنشده تبعات ساختاری به همراه دارد.

تغییر میدان نبرد از محیط فیزیکی به شبکه‌های داده

تقابل اخیر نشان داد که جنگ‌های نوین به مرز‌های جغرافیایی محدود نمی‌شوند. نهاد‌های رصد فضای تولید و تبادل اطلاعات گزارش داده‌اند که همگام با عملیات نظامی، شبکه‌های حیاتی هدف حملات منع سرویس و بدافزار‌های پاک‌کننده داده، قرار گرفته‌اند. نشریه سکیوریتی ویک در گزارشی پیرامون حملات متقابل سایبری تایید کرده است که زیرساخت‌های ارتباطی، درگاه‌های دولتی و شبکه‌های توزیع خدمات در روز‌های گذشته با اختلال مواجه شده‌اند. افزایش ضریب نفوذ اینترنت و گسترش زیرساخت‌های دیجیتال سبب شده تا در راهبرد‌های نظامی کشور‌های درگیر، حملات سایبری جایگاهی هم‌تراز با حملات کلاسیک پیدا کنند. از کار انداختن سامانه‌های توزیع سوخت، ایجاد اختلال در شبکه‌های بانکی و متوقف کردن سیستم‌های حمل و نقل کالا، اهدافی هستند که در فضای دیجیتال مورد حمله قرار می‌گیرند.

در این چارچوب، هر دستگاه تلفن همراه به عنوان یک گره شبکه‌ای در نظر گرفته می‌شود. هنگامی که یک بدافزار روی هزاران دستگاه نصب می‌شود، یک ارتش شبکه‌ای پنهان شکل می‌گیرد. مهاجمان وابسته به دولت‌های متخاصم تلاش می‌کنند از طریق دستگاه‌های آلوده شهروندان، شبکه‌های متصل به هم ایجاد کنند. این شبکه‌ها مجموعه‌ای از تلفن‌های همراه هستند که بدون اطلاع مالک، دستورات سرور‌های بیگانه را اجرا می‌کنند. زمانی که هزاران دستگاه به صورت همزمان درخواست‌هایی را به یک سامانه داخلی ارسال می‌کنند، آن سامانه از دسترس خارج می‌شود.
پژوهشگران مرکز یونیت ۴۲ در بررسی تهدیدات سایبری اسفند ماه اشاره کرده‌اند که گروه‌های هکری با توزیع برنامه‌های آلوده، در پی جمع‌آوری داده‌های مکانی، فهرست مخاطبان و پیامک‌های کاربران هستند تا از این اطلاعات برای مهندسی اجتماعی و نفوذ به لایه‌های بالاتر استفاده کنند. دستگاه‌های تلفن همراه به دلیل اتصال دائم به اینترنت و دارا بودن حسگر‌های متعدد، بستری برای اجرای این سناریو‌ها فراهم می‌کنند. نفوذ به یک دستگاه تلفن همراه، به مهاجمان اجازه می‌دهد تا از آدرس اینترنتی آن دستگاه برای پنهان کردن هویت خود در زمان حمله به سرور‌های دولتی استفاده کنند.

فیلترشکن‌های رایگان، ابزار شنود در دستگاه کاربران

نرم‌افزار‌های تغییردهنده آدرس اینترنتی که به صورت رایگان در دسترس عموم قرار دارند، یکی از مجاری نفوذ محسوب می‌شوند. توسعه‌دهندگان این برنامه‌ها، هزینه‌های نگهداری سرور‌های خود را از طریق فروش داده‌های کاربران یا اجاره دادن پهنای باند آنها به نهاد‌های شخص ثالث تامین می‌کنند. مدل درآمدی فیلترشکن‌های رایگان بر پایه کالاسازی داده‌های کاربران بنا شده است. در شرایط بحران و جنگ، این برنامه‌ها به ابزار‌های جمع‌آوری اطلاعات برای سرویس‌های اطلاعاتی دشمن تبدیل می‌شوند.

بررسی‌های منتشر شده در مجله اینفوسکیوریتی پیرامون ضعف‌های امنیتی شبکه‌های خصوصی مجازی نشان می‌دهد که بخش عمده‌ای از برنامه‌های رایگان موجود در فروشگاه‌های نرم‌افزاری، دارای کتابخانه‌های رمزنگاری منسوخ هستند و مجوز‌های دسترسی فراتر از نیاز خود طلب می‌کنند. این برنامه‌ها ترافیک اینترنت کاربر را رصد کرده و کلمات عبور، تاریخچه مرورگر و اطلاعات حساب‌های کاربری را به سرور‌های ناشناس منتقل می‌کنند. همچنین، شرکت پی‌سی‌ماتیک تایید کرده است که بسیاری از این اپلیکیشن‌ها بدافزار‌هایی هستند که دستگاه کاربر را به یک سرور واسط برای پوشاندن ردپای هکر‌ها تبدیل می‌کنند. کد‌های مخرب تعبیه‌شده در این برنامه‌ها پیامک‌های حاوی رمز‌های پویای بانکی را رهگیری می‌کنند. حفظ این برنامه‌ها روی تلفن همراه در دوره جنگ سایبری، دروازه‌های شبکه داخلی را برای ورود مهاجمان باز می‌گذارد. کدگشایی ترافیک این برنامه‌ها در آزمایشگاه‌های تحلیل بدافزار اثبات کرده است که اطلاعات مکانی کاربر به صورت لحظه‌ای برای سرور‌های خارج از کشور ارسال می‌شود. این داده‌ها در زمان درگیری نظامی، برای شناسایی تراکم جمعیتی، یافتن الگو‌های حرکتی افراد در نزدیکی مراکز تصمیم‌گیری و مکان‌یابی اهداف مورد استفاده قرار می‌گیرند.

تقویم‌های دیجیتال و ارسال پیام‌های جنگ روانی

شواهد ثبت شده در روز‌های اخیر اثبات می‌کند که سطح تماس حملات تنها به بدافزار‌های خارجی محدود نیست و نرم‌افزار‌های خدماتی داخلی با ضریب نفوذ بالا نیز در مرکز توجه حملات قرار دارند. اپلیکیشن‌های تقویم و اوقات شرعی به دلیل نیاز به نمایش مداوم اطلاعات روی صفحه نمایش، دارای مجوز‌های دسترسی سطح بالا و فعالیت دائمی در پس‌زمینه سیستم‌عامل هستند.

روز‌های آغازین جنگ سایبری اخیر، شاهد یک عملیات نفوذ هدفمند به یکی از تقویم‌های نرم‌افزاری پرنصب بومی بود. مهاجمان با پایش زیرساخت‌های این اپلیکیشن، یک ضعف امنیتی در لایه رابط برنامه‌نویسی (API) و سامانه ارسال اعلان شناسایی کردند. سیستم‌عامل‌های تلفن همراه برای کاهش مصرف باتری، یک تونل ارتباطی متمرکز را برای دریافت پیام‌ها باز نگه می‌دارند. نفوذگران با در اختیار گرفتن کلید‌های دسترسی سرور تقویم مبدا، توانستند محتوای دلخواه خود را در این تونل ارتباطی تزریق کنند. این نفوذ به مهاجمان اجازه داد تا پیام‌های هشدارآمیز و محتوای مرتبط با عملیات روانی را به صورت مستقیم و آنی روی صفحه قفل میلیون‌ها دستگاه نمایش دهند.

پیام‌رسان‌های ناامن و بازی‌های آلوده

بازی‌های موبایلی و پیام‌رسان‌هایی که منبع انتشار مشخصی ندارند، لایه دیگری از آسیب‌پذیری‌ها را تشکیل می‌دهند. این برنامه‌ها در زمان نصب، دسترسی‌هایی نظیر خواندن پیامک‌ها، استفاده از میکروفون، دوربین و ردیابی موقعیت مکانی را از کاربر دریافت می‌کنند. کدنویسی یک بازی نیازی به دانستن موقعیت مکانی یا خواندن دفترچه تلفن ندارد، اما ساختار‌های تعبیه شده در این برنامه‌ها این اطلاعات را به صورت زمان‌بندی‌شده جمع‌آوری می‌کنند. در طول درگیری‌های نظامی، آگاهی از موقعیت مکانی افراد، به ویژه افرادی که در نزدیکی تاسیسات ارتباطی حضور دارند، دارای ارزش اطلاعاتی است. پیام‌رسان‌های ناامن نیز با ذخیره داده‌ها بدون رمزنگاری، امکان استخراج مکالمات را فراهم می‌کنند.

بررسی کد‌های برنامه‌نویسی نشان می‌دهد که تبادل داده در بسیاری از برنامه‌های ارتباطی ناشناس فاقد پروتکل‌های رمزنگاری انتها به انتها است. عدم وجود این پروتکل‌ها به این معناست که داده‌ها در میانه راه توسط تجهیزات شنود شبکه‌ای قابل استخراج هستند. توسعه‌دهندگان بازی‌های مستقل از کتابخانه‌های نرم‌افزاری شخص ثالث برای نمایش تبلیغات درون‌برنامه‌ای استفاده می‌کنند. این کتابخانه‌های تبلیغاتی به دلیل نبود نظارت، به درگاه‌هایی برای تزریق بدافزار تبدیل می‌شوند. سازمان‌های اطلاعاتی متخاصم با دسترسی به داده‌های جمع‌آوری شده توسط این شرکت‌ها، پایگاه داده‌ای از رفتار کاربران مناطق هدف ایجاد می‌کنند. پردازش این داده‌ها، الگو‌های رفتاری جامعه را آشکار می‌سازد و زمان‌بندی برای اجرای عملیات شبکه‌ای را در اختیار فرماندهان جنگ سایبری قرار می‌دهد. حذف این برنامه‌ها، چرخه جمع‌آوری داده را قطع می‌کند.

راهکار‌های عملی برای پاکسازی دستگاه‌ها و مدیریت دسترسی‌ها

بررسی پروتکل‌های دفاع سایبری نشان می‌دهد که مدیریت سخت‌گیرانه برنامه‌ها و مجوزها، لایه اول دفاع شبکه‌ای محسوب می‌شود. در همین راستا و بر پایه استاندارد امنیت موبایل، رعایت دستورالعمل‌های زیر می‌تواند در روند ایمن‌سازی دستگاه‌های شخصی کمک‌کننده باشد:

حذف برنامه‌های مازاد: تمامی بازی‌ها، ابزار‌های ویرایش عکس، برنامه‌های هواشناسی ناشناس و فیلترشکن‌های رایگان باید بلافاصله پاک شوند. نگه داشتن این برنامه‌ها با استدلال نیاز در آینده، مسیر دسترسی را باز نگه می‌دارد. مراجعه به فهرست برنامه‌ها در بخش تنظیمات و انتخاب گزینه لغو نصب (Uninstall) گام اولیه است.

لغو مجوز‌های غیرمرتبط: با ورود به تنظیمات تلفن همراه > برنامه‌ها > مجوز‌ها (Permissions) در اکثر گوشی‌ها و یا تنظیمات تلفن همراه > حفاظت از حریم خصوصی (Privacy protection) در گوشی‌هایی مانند شیائومی، باید بررسی کرد که کدام برنامه‌ها به میکروفون، دوربین، موقعیت مکانی و مخاطبان دسترسی دارند. دسترسی برنامه‌هایی که برای عملکرد خود به این ابزار‌ها نیاز ندارند باید قطع شود.

به‌روزرسانی سیستم‌عامل: شرکت‌های سازنده دستگاه‌ها وصله‌های کدی را برای رفع اشکالات کشف شده منتشر می‌کنند. نصب این به‌روزرسانی‌ها مانع از سوءاستفاده از ضعف‌های شناخته‌شده نرم‌افزاری می‌شود. فعال‌سازی گزینه دریافت خودکار به‌روزرسانی‌ها چرخه آسیب‌پذیری را کوتاه می‌کند.

استفاده از احراز هویت دومرحله‌ای: فعال‌سازی این قابلیت مانع از ورود افراد غیرمجاز حتی در صورت افشای کلمه عبور می‌شود. این لایه دفاعی باید برای تمامی برنامه‌های پیام‌رسان و ایمیل‌ها فعال گردد. اتصال یک برنامه تولید رمز یک‌بارمصرف امنیت حساب‌ها را افزایش می‌دهد.

مشارکت در تامین امنیت داده‌ها در زمان تقابل نظامی، وظیفه‌ای همگانی محسوب می‌شود. دستگاه‌های شخصی مرز‌های این نبرد هستند و مسدود کردن راه‌های ورود در این دستگاه‌ها، به حفظ پایداری شبکه‌های ارتباطی در سطح کلان کمک می‌کند.