فرارو- یک پژوهش جدید که توسط تحلیلگران امنیت کامپیوتری انجام شده است، احتمال ارتباط میان وبگاه افشاگر ویکیلیکس با حکومت ایران را مطرح کرده است. این وبگاه و هکرهای منتسب به ایران، در زمان انتشار اسناد محرمانه عربستان، هر دو در چند هفته از یک سرور در مسکو استفاده کردهاند.
به گزارش فرارو، پس از مدتها زندگی در سفارت اکوادور در لندن، جولیان اسانژ، موسس وبسایت ویکیلیکس، بازداشت شد. اسانژ، این وبسایت را برای افشا کردن مسائل پنهانی تاسیس کرد. در سال ۲۰۱۰، پس از انتشار مکاتبات دیپلماتیک سری آمریکا درباره جنگهای عراق و افغانستان، نام ویکیلیکس به سرعت در جهان مطرح شد. از آن زمان، آمریکا خواستار استرداد او شد. اما به دلیل پناه گرفتن در سفارت اکوادور در لندن، آسانژ به آمریکا استرداد نشد.
در سال ۲۰۱۵، ویکیلیکس افشاگری بزرگ دیگری را رقم زد. در این سال، صدها هزار سند از مکاتبات دیپلماتیک وزارت خارجه عربستان در این وبسایت منتشر شد. حال، شرکت «ثرت کنکت»، مستقر در ویجینای آمریکا، پژوهشی منتشر کرده است که در آن ادعا میشود ویکیلیکس احتمالا اسناد سعودی را از یک گروه هکری ایرانی گرفته است. پژوهش این شرکت، یک کارزار معروف هک کردن را بررسی کرده است که در آن بیش از ۵۰۰ دیپلمات، روزنامهنگار، فعال حقوق بشر، دانشمند و پژوهشگر عمدتا مقیم در خاورمیانه، هدف قرار گرفتند. هکرهای این کارزار، از طریق کلاهبرداری ایمیلی (اسپیر فیشینگ)، اهداف را به نصب کردن یک بدافزار یا وارد کردن رمز کاربریشان به یک صفحه ورود جعلی ترغیب میکردند.
شرکت امنیتی اسرائیلی «کلیرسکای» در می ۲۰۱۵ این کارزار را شناسایی کرد و با استفاده از برخی سرنخها آن را به گروه هکری «بچه گربه موشکی» (Rocket Kitten) - که به نام APT۳۳ هم معروف است - منتسب کرد. ادعا میشود که گروه بچه گربه موشکی با حکومت ایران ارتباطاتی دارد.
به گزارش روزنامه دیلیبیست، پژوهش ثرت کنکت، نقاط مبهم میان آن کارزار حملات هکری، که عربستان را بیش از همه مورد حمله قرار داد، و انتشار صدها هزار سند دیپلماتیک وزارت خارجه عربستان در ویکیلیکس چند هفته بعد را به هم مرتبط کرده است. امری که نشان میدهد ویکیلیکس برای مهندسی کردن افشاگریهایش احتمالا با گروه بچه گربه موشکی کار کرده است.
این پژوهش در حالی منتشر شده است که پنجشنبه گذشته آسانژ در لندن بازداشت شده است. دادستانهای فدرال در ویرجینیا به اتهام تبانی آسانژ با چلسی مانینگ، افشاگر ارتش آمریکا، در سال ۲۰۱۰، خواهان استرداد او به آمریکا هستند.
ویکیلیکس در ماه می ۲۰۱۵، پس از پنج سال توقف، سیستم تحویل مدارک خود را احیا کرد. افشای اسناد سعودی در ژوئن همان سال، اولین افشاگری عالیرتبه ویکیلیکس پس از احیای آن سیستم بود. دو هفته پس از افشای اسناد سعودی، ویکیلیکس توسعه زیرساختهای خود را آغاز کرد و با اجاره یک سرور در مسکو، میزبانی وبسایتش را گسترش داد. همین امر، توجه شرکت ثرت کنکت را جلب کرد. آدرس آیپی (IP) سرور جدید ویکیلیکس در ژوئیه ۲۰۱۵، آخرین بار در ماه می ۲۰۱۵ دیده شد که در حال میزبانی از وبسایتی به نام «login-users[.]com» بود که این، یک صفحه ورود جعلی گوگل درایو است که در حملات فیشینگ (کلاهبرداری ایمیلی) گروه بچه گربه مورد استفاده قرار میگرفت.
یک آدرس آیپی، در شرایطی، میتواند در قالب تنظیمات میزبانی مشترک کم هزینه، از هزاران وبسایت میزبانی کند. اما این امر، در این مورد صحیح نیست. در این پژوهش آمده است: «این آیپی، بخشی از طیفی از سرورهای اختصاصیافته هاستکی (HostKey) است. این نشان میدهد که یک عامل واحد یا جمعی کنترل زیرساخت میزبانیشده در این آیپی را داشته است.»
همین امر به پژوهشگران نشان داد که ویکیلیکس ممکن است خودش از سایت فیشینگ میزبانی کرده تا به هکرهای ایرانی کمک کند. شاید در ازای اسناد افشا شده کمک کرده است، یعنی دقیقا همانگونه که آسانژ به چلسی مانینگ کمک کرد.
کایل ایمکه، پژوهشگر اطلاعاتی در ثرت کنکت، گفت: «ما نمیتوانیم قاطعانه بگوییم که چه کسی پشت حملهای بود که ویکیلیکس اسنادش را منتشر کرد؛ و نمیتوانیم بگویم که آیا آن دامین بخشی از آن حمله بود یا نه. اما زمان و موقعیت مشترک و تقارن منبع احتمالی و افشاگر، مهمتر از آن است که تصادفی باشد.»
شرکت ثرت کنکت چندین سناریو مطرح کرده است. یکی از سناریوها این است که هکرهای ایرانی، پس از هک کردن، ممکن است سرور فیشینگ را به آسانژ منتقل کردهاند. طبق پژوهش شرکت یادشده، این امر ممکن است انتقال فایلها از عامل شرور به ویکیلیکس را تسهیل کرده است. البته این در صورتی است که فایلها در یک سرور روی همان آی پی ذخیر شده باشند. نخستین میزبانی این آیپی از دامینهای ویکیلیکس پس از میزبانی آن از دامین شرور، احتمالا مدرکی است که سناریوی بالا را تبیین میکند. البته طبق گزارش ثرت کنکت، این امر میتواند تصادفی باشد. ممکن است ویکیلیکس به طور تصادفی همان آدرس آیپی اختصاص یافته را پس از اینکه هکرها کارشان با آن تمام شد، به خدمت گرفته است.
پس از انتشار اسناد سعودی، ویکیلیکس ادعا کرد که این اسناد، از گروه هکرهای کاملا متفاوتی بدست آمدهاند که در می ۲۰۱۵ دیپلماتهای سعودی را هدف قرار دادهاند. این گروه «ارتش سایبری یمن» نام دارد. اگر چنین باشد، این آخرین بار نبود که آسانژ اسنادی از آن گروه خاص دریافت کرده است. در سال ۲۰۱۷، کمیته اطلاعاتی مجلس سنا اعلام کرد که ارتش سایبری یمن پوششی جعلی برای آژانس اطلاعات نظامی روسیه است.