ابزارهای جاسوسی مدرن پاکستان: «اَم نهان و مالته‌ی هوشمند»

براساس یافته‌های شرکت امنیت سایبری Lookout گروهی متشکل از متخصصان راه‌اندازی حملات سایبری با ایجاد و توسعه‌ی مجموعه‌یی از ابزارهای نظارتی-اکتشافی سفارشی برای دستگاه‌های اندروید و iOS کمپین شدیدا هدف‌مند جمع‌آوری اطلاعات را راه‌اندازی کرده‌اند. براساس تحقیقات شرکت Lookout مرکز این گروه پاکستان گفته شده و به احتمال زیاد با نهادهای اطلاعاتی-نظامی پاکستان مرتبط است. این گروه معمولا برنامه‌نویسان آزاد (Freelance) را به‌صورت گروهی یا فردی استخدام می‌کند. شرکت Lookoutدریافته که افراد این گروه [در چوکات گروه‌های آزاد (Freelance) توسعه‌دهنده نرم‌افزار و بدافزار] در کشورهای پاکستان، هند و ایالات متحده حضور فیزیکی دارند.
شرکت Lookout دو ابزار اصلی این گروه را که سایر بدافزارها براساس آن فعالیت می‌کنند Stealth Mango و Tangelo نامیده است. نهادهای اطلاعاتی-نظامی پاکستان از آن‌ها برای جمع‌آوری اطلاعات استفاده می‌کند. باید گفت که مجموعه بدافزار Stealth Mango برای هدف‌ قراردادن دستگاه‌های اندروید طراحی شده و Tangelo هم برای سرقت اطلاعات از دستگاه‌های iOS ایجاد و توسعه داده‌ شده است.
اهداف عملیات‌های نظارتی-اکتشافی «هدف‌مند» این مجموعه بدافزار، دستگاه‌های تلفون‌‌همراه مقامات دولتی، اعضای ارتش و فعالانی در پاکستان، افغانستان، هند، عراق و امارات متحده عربی بوده است. البته در جریان این عملیات‌ها اطلاعات حساس مقامات دولتی و غیرنظامیان از کشورهای ایالات متحده (به‌شمول مقامات ناتو)، استرالیا، انگلیس و ایران نیز به صورت غیرمستقیم مورد دستبرد قرار گرفته‌اند. علت آن، ارتباط این افراد با قربانیان اصلی Stealth Mango بوده است.
افرادی که در پشت خانواده‌ی بدافزارهای Stealth Mango قرار دارند معمولا قربانیان شان را از طریق «فیشینگ» به دام‌ انداخته و به اطلاعات آن‌ها دست‌برد می‌زنند. البته شرکت Lookout می‌گوید که ممکن است آن‌ها در مواردی دسترسی فیزیکی‌ نیز به دستگاه‌های قربانیان شان داشته باشند.
به طور کلی فعالیت بدافزارهای زیرمجموعه Stealth Mango در یک دستگاه آلوده شامل موارد زیر می‌شود:
• بارگیری تعداد ضربان قلب فرد قربانی به زیرساخت‌های سرور این بدافزار در هر 10 ثانیه
• ردیابی و بارگیری بسته‌های نصب‌شده و اطلاعات دستگاه
• ردیابی و بارگیری تغییرات در سیم‌کارت یا شماره تلفون دستگاه
• ردیابی و بارگیری فایل‌های تصویری، صوتی و عکس ذخیره شده در دستگاه به علاوه داده‌های تقویم و نرم‌افزار یادآوری دستگاه
• بارگیری لیست تماس اپلیکیشن‌های گروه-ثالث (third-party) همچون یاهو، گوگل تاک، ICQ، Jabber، AIM، MSN، NetMeeting، QQ و اسکایپ.
• بارگیری تاریخچه‌ی تماس و ضبط تماس‌های ورودی و خروجی.
• بارگیری تاریخچه‌ی پیامک و حذف پیام‌های دریافتی از خود سرور بدافزار.
• حذف اطلاعاتی که آلودگی دستگاه و موجودیت بدافزار را در دستگاه نشان می‌دهند.
• ردیابی و بارگیری مختصات GPS به محض اینکه فرد قربانی تماس یا پیامک دریافت می‌کند.
• شناسایی زمانی که فرد قربانی رانندگی می‌کند. در این حالت بدافزار توانایی خاموش‌کردن اینترنت و مسدودکردن پیامک دستگاه را دارد.
شرکت Lookout می‌گوید که توانسته تا کنون بیش از 15 گیگابایت اطلاعات را [که شرکت Lookout آن را با استفاده از خلاها و نواقص امنیتی-عملیاتی در زیرساخت‌های سرور پشتیبانی این بدافزارها به دست‌ آورده] که از دستگاه‌های قربانیان به سرقت رفته، تجزیه و تحلیل کند.
بخش عمده‌ی این اطلاعات با فعالیت‌های جاسوسی مرتبط است. محتوای 15 گیگابایت اطلاعات شامل موارد زیر می‌شود:
• نامه‌ها، ارتباطات و مکتوب‌های داخلی دولتی
• صداها ضبط‌شده، عکس اشخاص، اطلاعات مکان دستگاه‌ها، پیام‌های متنی و فهرست تماس‌های قربانیان
• اسناد حقوقی و پزشکی
• جزئیات اطلاعات سفر فرد قربانی
• عکس شناسنامه‌‌ها و پاسپورت
• تصاویر ارتش، دولت و مقامات مربوطه
• مختصات GPS از عکس‌ها و دستگاه‌های مورد استفاده جلسات سری، از جمله جلسات پرسونل ارتش ایالات متحده
بسیاری از داده‌ها اطلاعات شخصی قربانیان‌اند اما شامل اطلاعات حساس‌تر نیز می‌شوند. این اطلاعات «حساس» موارد ذیل را در بر می‌گیرد:
• نامه‌یی از کمیسیون عالی پاکستان به رییس اداره امنیت خارجی وزارت امور خارجه‌ی ایالات متحده
• نامه‌یی از فرماندهی مرکزی ایالات متحده به دستیار اطلاعاتی وزیر دفاع افغانستان که در آن از دستیار به حضور در کنفرانس سالانه مدیران اطلاعات نظامی جنوب آسیا که در فبروری 2018 در تامپا، فلوریدای برگزار می‌شود، دعوت شده است.
• نامه‌یی به رییس ستاد ارتش پاکستان
• اسناد با سربرگ معاونت اطلاعات استراتژیک جمهوری اسلامی افغانستان
• جزئیات سفر دیپلمات‌های آلمانی و استرالیایی به کویته و بلوچستان پاکستان
• اسناد محرمانه دولت پاکستان مرتبط با تحقیقات پرونده‌ی فساد داخلی
• تصاویر مقامات نظامی افغانستان و پاکستان
• اسناد مربوط به ریاست منطقه‌یی نیروی مبارزه با مواد مخدر اسلام‌آباد
• عکس‌های پاسپورت
• عکس‌های شناسنامه‌ها
• عکس‌ها و «اسکرین‌شات‌های» که به باور شرکت Lookout متعلق به برنامه‌نویسان و توسعه‌دهندگان خانواده‌ بدافزارهای Stealth Mango و Tangelo است.
برشی از عکس اصلی نامه‌ی به سرقت‌رفته فرماندهی مرکزی ایالات متحده به دستیار وزیر دفاع افغانستان:
برشی از عکس اصلی نامه‌ی به سرقت‌رفته کمیسیون عالی پاکستان به سفیر ایالات متحده در اسلام‌آباد:
جزئیات سفر دیپلمات‌های استرالیایی و آلمانی به پاکستان:
عکس از آن‌چه که به نظر می‌رسد نمایش تسلیحات نظامی ارتش و نیروی هوایی ایالات متحده باشد:
تصاویر مربوط به نشست‌ها و مقامات نظامی افغانستان، ایالات متحده و در مواردی هم مقامات پاکستانی. بیشتر این تصاویر به ارتش افغانستان تعلق دارد که از دستگاه‌های تلفون همراه مقامات این کشور به سرقت رفته:
هم‌چنین شرکت Lookout می‌گوید که اطلاعات و داده‌های تعدادی از فرودگاه‌های نظامی و غیرنظامی نیز توسط این بدافزارها مورد دستبرد قرار گرفته‌اند. این اطلاعات شامل عکس پاسپورت‌ها، شناس‌نامه‌ها، کارت‌های شناسایی مأمورین و مختصات GPS از فرودگاه کندهار در افغانستان نیز می‌شود:
مختصات GPS که از مراکزی در پاکستان، افغانستان، هند و امارات متحده‌ی عربی به سرقت‌ رفته‌اند:
اسکرین‌شات یک دستگاه اندرویدی آلوده که تلاش‌های فیشینگ از طریق مسنجر فیسبوک را نشان می‌دهد:
شرکت Lookout می‌گوید که در مواردی حمله‌کنندگان به تلفون‌های همراه قربانیان‌شان دسترسی فیزیکی نیز داشته‌اند.
عکس سندی که نشان می‌دهد که یک تلفون همراه برای تعمیر به یک مغازه برده شده است. فرستنده‌ی این تلفون شخصی است که احتمالا با ایالات متحده ارتباط برقرار کرده است. دیده می‌شود که بدافزار احتمالا از طریق دسترسی فیزیکی بر این دستگاه نصب شده است:
عکسی که نشان می‌دهد بدافزارهای خانواده‌ی Stealth Mango تلاش می‌کنند تا به «دیتابیس» اپلیکیشن‌های رسانه‌های اجتماعی (در صورتی‌که در دستگاه‌های آلوده نصب شده باشند) دسترسی پیدا کنند:
از مجموع 15 گیگابایت اطلاعات به‌دست‌آمده از سرور توسعه‌دهندگان بدافزارهای Stealth Mango و Tangelo حدود 81.3 درصد آن تصاویر (شامل اسکرین‌شات و عکس‌هایی که توسط کمره دستگاه گرفته شده)، نزدیک به 11.2 درصد آن فایل تماس‌های صوتی، حدود 7.3 درصد آن ویدئو، بیش از 0.1 درصد آن فایل‌های صوتی اپلیکیشن‌های پیام‌رسان و بیش از 0.1 درصد آن داده‌های مربوط به محیط و موقعیت دستگاه‌های قربانیان است.
شرکت Lookout می‌گوید که در جریان تحقیقات‌اش دریافته که افراد دخیل در ایجاد و توسعه Stealth Mango و Tangelo به یک گروه توسعه‌دهنده آزاد یا Freelance تعلق دارند و پیش از این نیز مسئول ایجاد و توسعه سایر ابزارهای جاسوسی برای دستگاه‌های اندروید دانسته می‌شدند. مشخص نیست که از Stealth Mango دقیقا چه زمانی برای اولین بار استفاده شده اما Lookout می‌گوید که هم‌اکنون نیز این بدافزارها در حال توسعه اند و آخرین نسخه‌ی آن در آپریل 2018 وارد فضای سایبری شده است.