هكرها با استفاده از گواهي جعلي گوگل، 300000 ايراني را مخفيانه رصد كردند!

بر اساس گفته هاي اداره ي جرائم، كه دزدي صدها گواهي ديجيتالي را از يك شركت هلندي بررسي مي كند، اكانت (اشتراك) حدود 300000 ايراني به خطر افتاده و هكرها نامه هاي آن ها را خواندند.

با وجود اين كه گزارش، هكر يا هكرها را كه احتمالا كاربران ايراني را رصد كرده اند، را شناسايي نكرده، ولي محققين امنيت به دولت ايران اشاره دارند كه با تلاش براي قطع كردن ارتباطات فعالان و تظاهر كنندگان، مرتبط است.

گزارش Fox-IT در روز دوشنبه اعلام داشت كه يك شركت تحقيقاتي ديجيتال وابسته به دولت هلند بعد از هك شدن سرورهاي ديجي نورتار و توسط عاملين نفوذي بيش از 500 لايه ي سوكِت امنِ (SSL) گواهي، ساخته شد. در ميان گواهي ها، چندين موردشان است كه مي توان از آن ها براي جا زدن خود به جاي ديگران و استفاده از خدمات گوگل، از جمله جي ميل، استفاده كرد.

گواهي هاي SSL توسط وب سايت ها و مرور كننده ها جهت شناسايي مجاز بودن يك سايت استفاده مي شوند و مي توان با استفاده از حملات «مردي در وسط» از آن ها براي دامنه هاي با دسترسي بي اجازه تغيير قيافه داده، سوء استفاده كرد.

به گفته ي Fox-IT حدود 300000 آدرس IP كه هر كدام نشان دهنده ي يك كامپيوتر و حداقل يك كاربر است، به سايت هايي كه گواهي جعلي google.com را در تاريخ 27 جولاي تا 29 آگوست، نشان مي داده اند، دسترسي داشته اند. تقريبا همه ي آن آدرس هاي IP (و به گفته ي Fox-IT 99% آن ها) از ايران بوده اند.

محققين فرض كردند كه گواهي google.com پيشتر نيز براي جاسوسي اشتراك جي ميل كاربران ايراني، استفاده شده است.

Fox-IT گفت: «با استفاده از اين كوكي دسترسي به جي ميل، هكر مي تواند به طور مستقيم به صندوق رايانامه ي قرباني وارد شده و نامه هاي موجود را بخواند». همچنين هكر مي تواند به ساير ابزارهاي گوگل مثل Google Docs، Google Latitude وارد شود (كه مي تواند مكان دقيق فرد را هم بيابد) و اكانت Facebook و Twitter شان را نيز بدزدد.

گزارش، گفته ي هفته ي پيش گوگل را تاييد كرد كه گفته بود كاربران جي ميل مورد حمله واقع شده اند و «افراد متاثر شده، عمدتا در ايران واقع هستند».

Fox-IT يك شبيه سازي ترافيك عبور كرده از دامنه ي google.com جعلي در YouTube قرار داد تا سلطه ي ايران را نشان دهد.

در حالي كه Fox-IT مستقيما دولت ايران را عامل اين حمله قلمداد نكرد، ولي انگيزه ي پشت جريان را كه «عمليات لاله ي سياه» ناميده مي شود، مشخص كرد.

اين شركت در گزارش اش گفت: «فهرست دامنه ها و اين حقيقت كه 99% كاربران ايراني هستند، نشان مي دهد كه هدف هكر به دست آوردن اطلاعات شخصي در ايران بوده است».

از يك هفته قبل، از زماني كه اين خبر منتشر شد، برخي محققين امنيت مظنون به دولت ايران هستند كه پشت اين قضيه ي دزدي گواهي و حمله ي متعاقب آن است. گزارش Fox-IT، فقط نظر آن ها را تقويت كرد.

يك محقق امنيت از سوفوس كه در انگلستان است، روز دوشنبه در يك نوشته ي وبلاگ گفت: « قوي ترين شاهد اين امر آن است كه اين گواهي ها مي توانند توسط دولت ايران يا ISP ها استفاده شده و ارتباطات كاربران را زير نظر بگيرند».

وزير امنيت داخلي و دادگستري در نامه اي به مجلس هلند كه روز دوشنبه علني شد، گفته است كه دولت در حال بررسي سهل انگاري ديجي نوتار در اين مورد است.

گزارش Fox-IT تصوير غمناكي رسم كرده و گفته است كه ديجي نوتار به مدت هفته ها ناآگاه از اين بوده است كه هكرها سرورهايش را كنترل مي كنند، و اين كه نرم افزار سرور به روز و كامل نبوده، و اين كه توسط نرم افزار آنتي ويروس محافظت نمي شده، كه مي توانست وقتي كه هكرها قصد نفوذ به سيستم و خرابكاري داشتند، صداي آژير را به صدا در آورد.

و بنا به گفته ي گزارش، حملات عليه ديجي نوتار ادامه دارد.

Fox-IT گفت: «مطالعات فعلي نشان مي دهد كه تلاش هاي هك كردن بر روي وب سرور، از ايران نشأت گرفته است».

منبع: computerworld