کارزار سایبری Domestic Kitten، در پی طرفداران داعش در ایران

کمیته رکن چهارم – شرکت امنیتی چک‌پوینت از شناسایی کارزاری با عنوان Domestic Kitten خبر داده که در جریان آن گروه Kitten در حمله‌ای کاملا هدفمند موفق به جاسوسی از بیش از ۲۰۰ نفر از اهداف خود شده است.

Kitten با استفاده از تکنیکی با عنوان حفره آبیاری Watering-hole با راه‌اندازی سایت‌هایی با محتوای مورد علاقه اهداف این گروه، مراجعه‌کنندگان به این سایت‌ها را تشویق به نصب برنامک‌هایی با عملکرد جاسوس‌افزار می‌کند.

برای مثال وظیفه یکی از این برنامک‌ها تحت نام “دوله خلافه الاسلامیه”، در ظاهر، ارائه تصاویری از گروه داعش و فراهم نمودن امکانی برای تبدیل هر یک از آنها به‌عنوان تصویر پس‌زمینه دستگاه است. اما در کنار فراهم نمودن این قابلیت، کد جاسوس‌افزار تزریق شده در برنامک، در پشت صحنه اقدام به استخراج اطلاعات صاحب داستگاه می‌کند. مشخص است که مهاجمان Kitten از این طریق قصد شناسایی طرفداران این گروه را داشته‌اند.

چک‌پوینت اعلام کرده که تا زمان انتشار گزارش خود حدود ۲۴۰ نفر دستگاه آنها مورد رخنه Domestic Kitten قرار گرفته که از این تعداد، ۹۷ درصد این افراد ایرانی اعلام شده‌اند. باقی کاربران، افغان، عراقی و بریتانیایی معرفی شده‌اند.

به‌محض دریافت برنامک و نصب شدن آن بر روی دستگاه، جاسوس‌افزار اقدام به جمع‌آوری اطلاعات زیر می‌کند:

فهرست تماس‌ها
سوابق تماس‌های تلفنی
پیامک‌ها
سوابق صفحات و سایت‌های اینترنتی فراخوانی‌شده
فهرست برنامک‌های نصب شده
محتوای ذخیر شده در حافظه موقت (Clipboard)
موقعیت دستگاه
اطلاعات ذخیره شده بر روی حافظه External متصل به دستگاه

همچنین از جمله قابلیت‌های این جاسوس‌افزار ضبط صداهای اطراف توسط دستگاه آلوده شده است.

در ادامه جاسوس‌افزار در انتظار دریافت فرامین از سوی سرور فرماندهی خود مانده و در صورت ارسال فرمان Get Contacts از سمت مهاجمان، اطلاعات جمع‌آوری شده در یک فایل ZIP فشرده شده و پس از رمزگذاری شدن توسط الگوریتم AES از طریق پودمان HTTP Post به سرور فرماندهی ارسال می‌شود.

تمامی برنامک‌های حاوی جاسوس‌افزار Domestic Kitten توسط گواهینامه‌ای که در سال ۲۰۱۶ صادر گردیده امضا شده‌اند. در این گواهینامه به نشانی ایمیل telecom2016[@]yahoo[.]com اشاره شده است.