براساس یافتههای شرکت امنیت سایبری Lookout گروهی متشکل از متخصصان راهاندازی حملات سایبری با ایجاد و توسعهی مجموعهیی از ابزارهای نظارتی-اکتشافی سفارشی برای دستگاههای اندروید و iOS کمپین شدیدا هدفمند جمعآوری اطلاعات را راهاندازی کردهاند. براساس تحقیقات شرکت Lookout مرکز این گروه پاکستان گفته شده و به احتمال زیاد با نهادهای اطلاعاتی-نظامی پاکستان مرتبط است. این گروه معمولا برنامهنویسان آزاد (Freelance) را بهصورت گروهی یا فردی استخدام میکند. شرکت Lookoutدریافته که افراد این گروه [در چوکات گروههای آزاد (Freelance) توسعهدهنده نرمافزار و بدافزار] در کشورهای پاکستان، هند و ایالات متحده حضور فیزیکی دارند.
شرکت Lookout دو ابزار اصلی این گروه را که سایر بدافزارها براساس آن فعالیت میکنند Stealth Mango و Tangelo نامیده است. نهادهای اطلاعاتی-نظامی پاکستان از آنها برای جمعآوری اطلاعات استفاده میکند. باید گفت که مجموعه بدافزار Stealth Mango برای هدف قراردادن دستگاههای اندروید طراحی شده و Tangelo هم برای سرقت اطلاعات از دستگاههای iOS ایجاد و توسعه داده شده است.
اهداف عملیاتهای نظارتی-اکتشافی «هدفمند» این مجموعه بدافزار، دستگاههای تلفونهمراه مقامات دولتی، اعضای ارتش و فعالانی در پاکستان، افغانستان، هند، عراق و امارات متحده عربی بوده است. البته در جریان این عملیاتها اطلاعات حساس مقامات دولتی و غیرنظامیان از کشورهای ایالات متحده (بهشمول مقامات ناتو)، استرالیا، انگلیس و ایران نیز به صورت غیرمستقیم مورد دستبرد قرار گرفتهاند. علت آن، ارتباط این افراد با قربانیان اصلی Stealth Mango بوده است.
افرادی که در پشت خانوادهی بدافزارهای Stealth Mango قرار دارند معمولا قربانیان شان را از طریق «فیشینگ» به دام انداخته و به اطلاعات آنها دستبرد میزنند. البته شرکت Lookout میگوید که ممکن است آنها در مواردی دسترسی فیزیکی نیز به دستگاههای قربانیان شان داشته باشند.
به طور کلی فعالیت بدافزارهای زیرمجموعه Stealth Mango در یک دستگاه آلوده شامل موارد زیر میشود:
• بارگیری تعداد ضربان قلب فرد قربانی به زیرساختهای سرور این بدافزار در هر 10 ثانیه
• ردیابی و بارگیری بستههای نصبشده و اطلاعات دستگاه
• ردیابی و بارگیری تغییرات در سیمکارت یا شماره تلفون دستگاه
• ردیابی و بارگیری فایلهای تصویری، صوتی و عکس ذخیره شده در دستگاه به علاوه دادههای تقویم و نرمافزار یادآوری دستگاه
• بارگیری لیست تماس اپلیکیشنهای گروه-ثالث (third-party) همچون یاهو، گوگل تاک، ICQ، Jabber، AIM، MSN، NetMeeting، QQ و اسکایپ.
• بارگیری تاریخچهی تماس و ضبط تماسهای ورودی و خروجی.
• بارگیری تاریخچهی پیامک و حذف پیامهای دریافتی از خود سرور بدافزار.
• حذف اطلاعاتی که آلودگی دستگاه و موجودیت بدافزار را در دستگاه نشان میدهند.
• ردیابی و بارگیری مختصات GPS به محض اینکه فرد قربانی تماس یا پیامک دریافت میکند.
• شناسایی زمانی که فرد قربانی رانندگی میکند. در این حالت بدافزار توانایی خاموشکردن اینترنت و مسدودکردن پیامک دستگاه را دارد.
شرکت Lookout میگوید که توانسته تا کنون بیش از 15 گیگابایت اطلاعات را [که شرکت Lookout آن را با استفاده از خلاها و نواقص امنیتی-عملیاتی در زیرساختهای سرور پشتیبانی این بدافزارها به دست آورده] که از دستگاههای قربانیان به سرقت رفته، تجزیه و تحلیل کند.
بخش عمدهی این اطلاعات با فعالیتهای جاسوسی مرتبط است. محتوای 15 گیگابایت اطلاعات شامل موارد زیر میشود:
• نامهها، ارتباطات و مکتوبهای داخلی دولتی
• صداها ضبطشده، عکس اشخاص، اطلاعات مکان دستگاهها، پیامهای متنی و فهرست تماسهای قربانیان
• اسناد حقوقی و پزشکی
• جزئیات اطلاعات سفر فرد قربانی
• عکس شناسنامهها و پاسپورت
• تصاویر ارتش، دولت و مقامات مربوطه
• مختصات GPS از عکسها و دستگاههای مورد استفاده جلسات سری، از جمله جلسات پرسونل ارتش ایالات متحده
بسیاری از دادهها اطلاعات شخصی قربانیاناند اما شامل اطلاعات حساستر نیز میشوند. این اطلاعات «حساس» موارد ذیل را در بر میگیرد:
• نامهیی از کمیسیون عالی پاکستان به رییس اداره امنیت خارجی وزارت امور خارجهی ایالات متحده
• نامهیی از فرماندهی مرکزی ایالات متحده به دستیار اطلاعاتی وزیر دفاع افغانستان که در آن از دستیار به حضور در کنفرانس سالانه مدیران اطلاعات نظامی جنوب آسیا که در فبروری 2018 در تامپا، فلوریدای برگزار میشود، دعوت شده است.
• نامهیی به رییس ستاد ارتش پاکستان
• اسناد با سربرگ معاونت اطلاعات استراتژیک جمهوری اسلامی افغانستان
• جزئیات سفر دیپلماتهای آلمانی و استرالیایی به کویته و بلوچستان پاکستان
• اسناد محرمانه دولت پاکستان مرتبط با تحقیقات پروندهی فساد داخلی
• تصاویر مقامات نظامی افغانستان و پاکستان
• اسناد مربوط به ریاست منطقهیی نیروی مبارزه با مواد مخدر اسلامآباد
• عکسهای پاسپورت
• عکسهای شناسنامهها
• عکسها و «اسکرینشاتهای» که به باور شرکت Lookout متعلق به برنامهنویسان و توسعهدهندگان خانواده بدافزارهای Stealth Mango و Tangelo است.
برشی از عکس اصلی نامهی به سرقترفته فرماندهی مرکزی ایالات متحده به دستیار وزیر دفاع افغانستان:
برشی از عکس اصلی نامهی به سرقترفته کمیسیون عالی پاکستان به سفیر ایالات متحده در اسلامآباد:
جزئیات سفر دیپلماتهای استرالیایی و آلمانی به پاکستان:
عکس از آنچه که به نظر میرسد نمایش تسلیحات نظامی ارتش و نیروی هوایی ایالات متحده باشد:
تصاویر مربوط به نشستها و مقامات نظامی افغانستان، ایالات متحده و در مواردی هم مقامات پاکستانی. بیشتر این تصاویر به ارتش افغانستان تعلق دارد که از دستگاههای تلفون همراه مقامات این کشور به سرقت رفته:
همچنین شرکت Lookout میگوید که اطلاعات و دادههای تعدادی از فرودگاههای نظامی و غیرنظامی نیز توسط این بدافزارها مورد دستبرد قرار گرفتهاند. این اطلاعات شامل عکس پاسپورتها، شناسنامهها، کارتهای شناسایی مأمورین و مختصات GPS از فرودگاه کندهار در افغانستان نیز میشود:
مختصات GPS که از مراکزی در پاکستان، افغانستان، هند و امارات متحدهی عربی به سرقت رفتهاند:
اسکرینشات یک دستگاه اندرویدی آلوده که تلاشهای فیشینگ از طریق مسنجر فیسبوک را نشان میدهد:
شرکت Lookout میگوید که در مواردی حملهکنندگان به تلفونهای همراه قربانیانشان دسترسی فیزیکی نیز داشتهاند.
عکس سندی که نشان میدهد که یک تلفون همراه برای تعمیر به یک مغازه برده شده است. فرستندهی این تلفون شخصی است که احتمالا با ایالات متحده ارتباط برقرار کرده است. دیده میشود که بدافزار احتمالا از طریق دسترسی فیزیکی بر این دستگاه نصب شده است:
عکسی که نشان میدهد بدافزارهای خانوادهی Stealth Mango تلاش میکنند تا به «دیتابیس» اپلیکیشنهای رسانههای اجتماعی (در صورتیکه در دستگاههای آلوده نصب شده باشند) دسترسی پیدا کنند:
از مجموع 15 گیگابایت اطلاعات بهدستآمده از سرور توسعهدهندگان بدافزارهای Stealth Mango و Tangelo حدود 81.3 درصد آن تصاویر (شامل اسکرینشات و عکسهایی که توسط کمره دستگاه گرفته شده)، نزدیک به 11.2 درصد آن فایل تماسهای صوتی، حدود 7.3 درصد آن ویدئو، بیش از 0.1 درصد آن فایلهای صوتی اپلیکیشنهای پیامرسان و بیش از 0.1 درصد آن دادههای مربوط به محیط و موقعیت دستگاههای قربانیان است.
شرکت Lookout میگوید که در جریان تحقیقاتاش دریافته که افراد دخیل در ایجاد و توسعه Stealth Mango و Tangelo به یک گروه توسعهدهنده آزاد یا Freelance تعلق دارند و پیش از این نیز مسئول ایجاد و توسعه سایر ابزارهای جاسوسی برای دستگاههای اندروید دانسته میشدند. مشخص نیست که از Stealth Mango دقیقا چه زمانی برای اولین بار استفاده شده اما Lookout میگوید که هماکنون نیز این بدافزارها در حال توسعه اند و آخرین نسخهی آن در آپریل 2018 وارد فضای سایبری شده است.