چشم جاسوس: جاسوس‌افزار ایرانی که در قالب وی‌پی‌ان اطلاعات خصوصی مردم را سرقت می‌کند

شرکت امنیت سایبری «بیت‌دیفندر» با انتشار گزارشی به معرفی یک جاسوس‌افزار ایرانی پرداخت که در قالب نرم‌افزار وی‌پی‌ان به سرقت اطلاعات حساس مردم می‌پردازد. این جاسوس‌افزار همراه فایل نصب فیلترشکنی به نام «توئنتی اسپید» 20Speed وارد کامپیوتر قربانی می‌‌شود.

بر اساس گزارش بیت‌دیفندر، این جاسوس‌افزار قادر است تصاویر، اسناد، گذرواژه‌ها، کیف پول‌های کریپتویی و سایر اطلاعات خصوصی کاربران را در سیستم‌ عامل ویندوز سرقت کند.

با جست‌وجوی عبارت 20Speed در شبکه‌های اجتماعی مشخص می‌شود این مجموعه ارائه‌دهنده خدمات وی‌پی‌ان در ایران که بیش از هفت سال سابقه فعالیت دارد، از محبوبیت نسبتا بالایی در بین کاربران داخل کشور بهره می‌برد.

این مساله را آمار بازدیدهای وب‌سایت این فیلترشکن نیز اثبات می‌کند.

به گواه داده‌های شرکت آمریکایی «سیمیلار وب» (Similarweb) که به بررسی و تحلیل آمار وب‌سایت‌های جهان می‌پردازد، سایت اصلی 20Speed طی سه ماه منتهی به دسامبر ۲۰۲۲، حدود یک میلیون بازدید داشته است و اغلب این بازدیدها از منطقه جغرافیایی ایران بوده‌اند.

همچنین نسخه اندروید این وی‌پی‌ان که در فروشگاه گوگل‌پلی نیز در دسترس است بیش از ۱۰۰ هزار نصب فعال دارد.

بر اساس گزارش بیت‌دیفندر، فایل نصب نسخه ویندوز 20Speed همراه با جاسوس‌افزاری با نام «سکند آی» (SecondEye) روی کامپیوتر قربانی اجرا می‌شود.

این ابزار که به وسیله شرکت ایرانی دیگری با همین نام توسعه پیدا کرده، پیش از این به عنوان نرم‌افزاری برای کنترل سیستم کامپیوتر کارمندان یا فرزندان به قیمت ۹۹ تا ۱۹۹ دلار به فروش می‌رسید.

وب‌سایت شرکت سکند آی مدت‌هاست از دسترس خارج شده اما نرم‌افزار توسعه یافته این مجموعه تا کنون در کارزارهای جاسوسی مختلفی مورد استفاده قرار گرفته است.

طبق بررسی‌های بیت‌دیفندر، وی‌پی‌ان 20Speed پس از نصب روی کامپیوتر کاربر، فایل‌های اضافه مورد نیاز خود را به شکل آنلاین از سرورهای این مجموعه دریافت می‌کند.

بعد از جمع‌آوری داده‌های خصوصی قابل دسترس روی سیستم -از جمله تمام نویسه‌های تایپ شده به وسیله کاربر- این اطلاعات به یک سرور آنلاین ارسال می‌شود.

این وی‌پی‌ان به دلیل ثبت نویسه‌های تایپ شده می‌تواند تمامی پیام‌های نوشته شده به وسیله کاربر را در شبکه‌های اجتماعی، ایمیل‌ها و موارد مشابه دیگر جمع‌آوری و از آن‌ها علیه فرد استفاده کند.

با وجود این که اغلب قربانیان 20Speed از ایران بوده‌اند اما یافته‌های بیت‌دیفندر نشان می‌دهد بخش کوچکی از کارزار جاسوسی این وی‌پی‌ان قربانیانی از آلمان و ایالات متحده هم داشته است.

در صفحه «سوالات متداول» سایت این وی‌پی‌ان درباره جلوگیری از اجرای نرم‌افزار این فیلترشکن از سوی برنامه‌های آنتی‌ویروس این‌طور توضیح داده شده: «برخی از امکانات برنامه ما به صورت مستقیم با اینترنت سر و کار دارند و این باعث اشتباه آنتی‌ویروس در شناسایی می‌شود؛ لذا هیچ‌گونه نگرانی‌ای از این بابت نداشته باشید.»

بررسی‌های ایران‌اینترنشنال نشان می‌دهد 20Speed از جمله وی‌پی‌ان‌های ایرانی است که کاربرانش می‌توانستند تا پیش از این با استفاده از کارت‌های شتاب و درگاه بانک‌های داخلی از آن خرید کنند.

همین مساله احتمال حکومتی بودن این مجموعه را افزایش می‌دهد.

نرم‌افزار ویندوزی فعلی 20Speed با شماره نسخه ۹.۲ کماکان آلوده به جاسوس‌افزار است.

تحقیقات بیت‌دیفندر نشان می‌دهد این جاسوس‌افزار از نسخه ۸.۹ همراه این وی‌پی‌ان بوده است.

مسوولان جمهوری اسلامی تاکنون بارها به مافیای حکومتی فروش وی‌پی‌ان در کشور اشاره کرده‌اند.

این بازار چند هزار میلیارد تومانی در کنار آورده مالی، با به خطر انداختن حریم خصوصی مردم، اطلاعات شخصی آن‌ها را نیز در اختیار نهادهای امنیتی قرار می‌دهد؛ یک بازی برد-برد برای نظام و یک استیصال تکراری برای کاربر اینترنت سانسور شده در ایران.