ردیابی بدافزار جاسوسی منتسب به اسرائیل در هتل‌های مقر مذاکرات هسته‌ای ایران

بدافزار جاسوسی‌ای که گفته می‌شود سازنده آن اسرائیل است در سه هتل لوکس اروپایی که محل برگزاری مذاکرات هسته‌ای ایران و گروه ۱+۵ بوده‌اند، ردیابی شده است.

روزنامه «وال استریت ژورنال» روز چهارشنبه دهم ژوئن / ۲۰ خرداد گزارش داد که پژوهشگران شرکت امنیت سایبری کاسپرسکی، ویروسی را شناسایی کرده‌اند که ساختار آن شبیه بدافزار «دوکو»ست که طراحی آن منتسب به اسرائیل است. آنها این بدافزار جدید را «دوکو-۲» نام‌گذاری کرده‌اند.

پژوهشگران کاسپرسکی به این نتیجه رسیده‌اند که این بدافزار نسخه بهبودیافته نرم‌افزار جاسوسی «دوکو» (Duqu) است که اولین بار در سال ۲۰۱۱ شناسایی شد. بدافزار جاسوسی «دوکو» شباهت کارکردی به ویروس «استاکس‌نت» دارد که در سال ۲۰۱۱ برای آسیب زدن به برنامه هسته‌ای ایران توسط اسرائیل طراحی شد و به موفقیت نسبی دست یافت.

کاسپرسکی، اسرائیل را در گزارشش در مورد این بدافزار مستقیما متهم نمی‌کند و اعلام کرده است که هنوز قادر به ارزیابی دقیق مکانیسم رفتاری این بدافزار جاسوسی نیست. این شرکت امنیت سایبری گفته است «دوکو-۲» با هک کردن سیستم‌های کامپیوتری هتل‌ها، می‌توانسته استراق سمع کند، فایل‌های کامپیوتری را سرقت کند، کنترل هر سیستم کامپیوتری در هتل از جمله همه کامپیوترهای متصل به شبکه‌های Wi-Fi را به دست آورد و تلفن‌ها، دوربین‌های مداربسته و حتی سیستم تماس داخلی  آسانسورها را نیز کنترل کند.

گزارش کاسپرسکی از حملات «دوکو-۲» نشان می‌دهد که حداقل سه هتل که نام آنها برده نمی‌شود ولی هر سه محل برگزاری مذاکرات ایران با آمریکا یا گروه ۱+۵ بوده‌اند، هدف اصلی این ویروس بوده‌اند. دو هتل‌ حدود دو تا سه هفته قبل از حضور مذاکره‌کنندگان به بدافزار جاسوسی «دوکو-۲» آلوده شده بودند و هتل سوم یک سال قبل در سال ۲۰۱۴.

اسرائیل چگونه متهم شده است؟

بر اساس گزارش کاسپرسکی بخش زیادی از کدهای «دوکو-۲» یا کاملاً مانند «دوکو» هستند و یا شباهت زیادی به آن دارند. از آنجا که دوکو به عنوان برادرخوانده استاکس‌نت شناخته می‌شود، ظن این که اسرائیل ناشر بدافزار اخیر باشد، تقویت شده است.

یوگنی کاسپرسکی مدیر شرکت، در مورد «دوکو-۲» گفت: «ما تا کنون با چنین موردی برخورد نکرده بودیم. این نسلی جدید از بدافزار است که هیچ ردی بر روی حافظه ثابت کامپیوتر باقی نمی‌گذارد. در کدهای آن ردپای غلطی باقی گذاشته شده که کشور چین را به عنوان مالک آن القاء کند.»

کاستن رائو (Costin Raiu)، مدیر تحقیقات جهانی و تیم تجزیه و تحلیل در کاسپرسکی، اولین کسی بود که ارتباط بین این ویروس جدید و «دوکو»را پیدا کرد.

او نتیجه تحقیقاتش را به بولدیزار بنکسات (Boldizsár Bencsáth)، پژوهشگر فناوری، رمزنگاری و امنیت در دانشگاه بوداپست فرستاد. بنکسات عضو تیمی بود که در سال ۲۰۱۱ ویروس «دوکو» را کشف کردند و در مورد نحوه عملکرد آن گزارش نوشتند.

روز سه شنبه ۹ ژوئن /۱۹ خرداد، بنکسات به رسانه‌ها گفت که بدافزار «دوکو-۲» و «دوکو» به‌شدت به هم شباهت دارند. او با بررسی کدهای دو ویروس به این نتیجه رسید که نویسندگان کدهای «دوکو-۲» به تمام زوایای کدهای ویروس اول دسترسی داشتند و احتمالاً سازندگان آن بوده‌اند. بنکسات در ادامه گفت «اگر تیمی بخواهد چنین ویروس جاسوسی تمیزی را بدون دسترسی به کدهای «دوکو» بسازد، ۱۰ نفر برنامه‌نویس خبره باید بیش از دو سال کار کنند؛ مگر اینکه سازندگان «دوکو-۲» همان نویسندگان اصلی ویروس «دوکو» بوده باشند.»

گزارش کاسپرسکی همچنین از قول مقامات سابق امنیتی در آمریکا می‌نویسد که سازمان‌های اطلاعاتی ایالات متحده بر این باورند که ساختن ویروس «دوکو» در سال ۲۰۱۱ از عملیات‌های جاسوسی اسرائیل بوده است. نیویورک تایمز در سال ۲۰۱۱ گزارش داده بود که بدافزار جاسوسی «استاکس‌نت» که برنامه هسته‌ای ایران را هدف قرار داده بود و کدهای آن هم شباهت زیادی به «دوکو» دارد، توسط برنامه مشترک امنیت سایبری آمریکا و اسرائیل طراحی شده است.

وال‌استریت ژورنال، پیشگام انتشار خبرهای جاسوسی اسرائیل

این اولین بار نیست که «وال‌استریت ژونال» گزارشی مبنی بر جاسوسی اسرائیل از مذاکرات هسته‌ای ایران منتشر می‌کند. این نشریه در ماه مارس نیز گزارش داده بود که دستگاه امنیتی اسرائیل از مذاکرات محرمانه ایران و آمریکا جاسوسی می‌کرده‌ تا ادله خود علیه توافق ۱+۵ با ایران را قوی‌تر کنند.

«وال‌استریت ژونال» اسرائیل را متهم به استراق سمع از جلسات محرمانه ایران و آمریکا کرده بود و گفته بود به غیر از این، مقامات اسرائیل از طریق روابط خود با دیپلمات‌های آمریکایی در اروپا، اطلاعات محرمانه از این مذاکرات به دست می‌آوردند.

بنا به گزارش «وال‌استریت ژونال»، هنگامی که مامورهای عملیات ضد-جاسوسی سازمان‌های اطلاعاتی آمریکا مکالمات اسرائیلی‌ها را استراق سمع می‌کردند، متوجه شدند که مقامات اسرائیلی از جزئیات محرمانه گفت‌وگوهای ایالات متحده و ایران خبر دارند. کاخ سفید به این نتیجه رسید که این اطلاعات تنها از راه استراق سمع مستقیم مذاکرات محرمانه ایران و آمریکا به دست آمده است.

در ماه مارس، پیش از سخنرانی بنیامین نتانیاهو در کنگره آمریکا، کاخ سفید و وزارت امور خارجه آمریکا، علناً به نخست‌وزیر اسرائیل هشدار دادند که آشکار کردن جزئیات مذاکرات با ایران، خیانت به اعتماد آمریکایی‌هاست. مقامات ایالات متحده گفته بودند که اسرائیل مقدار زیادی اطلاعات در مورد گفت‌وگوهای هسته ای با ایران دارد که این اطلاعات را به طور مستقل به دست آورده است.

حمله ویروس جدید «دوکو» به کاسپرسکی

ویروس جدید «دوکو»، کامپیوترهای کاسپرسکی را هم هدف قرار می‌دهند و این‌گونه است که این شرکت امنیت سایبری به وجود این ویروس پی می‌برد. شرکت کاسپرسکی در گزارش خود در مورد این بدافزار جاسوسی گفته است که یک کارمند این شرکت در حال نظارت بر برنامه امنیت سایبری کاسپرسکی بوده که از وجود این ویروس آگاه می‌شود.

پژوهشگران کاسپرسکی به جای اینکه سعی کنند که هکرها را از شبکه‌هاشان بیرون بیندازند، اجازه می‌دهند که آنها به حملات خود ادامه دهند و رفتار بدافزار توسط یک تیم خاص از پژوهشگران امنیت آنلاین، بررسی می‌شود. این شرکت سپس شروع به نظارت بر رفتار این ویروس و یافتن لینک‌های ویروسی مشابه در شبکه‌های دیگر در جهان می‌کند که این ویروس را در هتل‌های مذاکرات ایران و گروه ۱+۵ می‌یابد.

تلاش‌های شرکت کاسپرسکی برای ارزیابی چگونگی کارکرد بدافزار «دوکو-۲» و اینکه چگونه اطلاعات از طریق آن منتقل می‌شده است، همچنان ادامه دارد.

هکرهایی که بدافزار «دوکو-۲» را طراحی کرده‌اند در حملات خود به سیستم امنیتی کاسپرسکی به دنبال دسترسی به اطلاعات مربوط به فناوری‌های امنیت سایبری جدید این شرکت بوده‌اند. هکرها سعی کرده بودند در باره مکانیسم‌های دفاعی جدید نرم‌افزارهای شرکت کاسپرسکی اطلاعات کسب کنند. اهداف دیگر «دوکو-۲» شرکت‌ها و یا نهادهایی در روسیه، کشورهای آسیایی و خاورمیانه بودند. کاسپرسکی گفته است که مهاجمان به شرکت‌ها یا شبکه‌های آمریکایی حمله نکرده‌اند.

مدیر عامل شرکت کاسپرسکی در جامعه امنیت سایبری مورد احترام است اما این اتهام نیز وارد شده که او با کرملین در ارتباط است. اتهامی که کاسپرسکی همیشه انکار کرده و مورد انتقاد قرار داده است.

در بیانیه شرکت کاسپرسکی نوشته شده که انتظار نمی‌رود که این حملات مشتریان نرم افزارهای کاسپرسکی را آسیب‌پذیر کرده باشند، بلکه تعداد مشخصی از شرکت‌ها و مکان‌ها هدف این حملات بوده‌اند.