پشت‌پردۀ حمله سایبری به فعالان تبتی و اویغور مخالف دولت چین

بر اساس بررسی‌های هفت ماهۀ شبکۀ امنیتی Palo Alto، احتمالاً کمپین چند سالۀ حمله‌های سایبری علیه فعالان اجتماعی تبتی و اویغور توسط یک گروه واحد هدایت می‌شده است. این شبکه امنیتی همچنین مشخص کرده است که اطلاعات سرقت شده توسط این گروه که از نام مستعارِ «تقلیدِ اسکارلت» (Scarlet Mimic) استفاده میکند، به درد هیچ فرد یا گروهی به جز یک دولت نمی‌خورده است. اکثریت این حمله‌های سایبری فعالان سیاسی-اجتماعی تبتی و اویغور را هدف قرار داده بود که جزء گروه‌های مخالف دولت چین به شمار می‌آیند.

در سال‌های اخیر دیگر شبکه‌های امنیتی مانند kaspersky Lab، Trend Micro و Citizen Lab که زیر مجموعۀ دانشگاه تورنتو به شمار می‌آید، بر روی حمله‌ها سایبری علیه فعالان سیاسی اجتماعی مطالعاتی انجام داده بودند و به نظر می‌رسد احتمال دخالت دولت چین در این مسئله بالا باشد. با این حال، هیچ کدام از این شبکه ها و نیز پالو آلتو، شواهد مستقیمی برای این فرضیه به دست نیاورده‌اند.

در هر حال، آنگونه که رایان اولسن (Ryan Olson) مدیر اطلاعاتیِ پالو آلتو توضیح داده است، این حمله‌ها همه کار یک گروه واحد است؛ آن‌ها از زیرساخت‌های مشترکی استفاده می‌کنند، ابزارهایی که به کار می‌برند یکسان است، و اخیراً هدف‌های خود را به منظور کسب اطلاعات بیشتر، گسترده‌تر ساخته‌اند. این واقعاً÷ حاصل یک کار گروهی انضمامی است.

به گفتۀ اولسن، یکی از تغییرات جالب در اهداف این گروه، حمله به دو سازمان‌ها دولتی است که هردو در کار ردیابی تروریست‌ها و فعالان سیاسی هستند. این حمله‌ها از هند و روسیه هدایت شده‌اند و از این جهت جالب هستند که سازمان‌های دولتی بیشتر گرایش دارند از حمله‌های سایبری به فعالان حمایت کنند.

گروه «تقلید اسکارلت» اغلب از روش‌هایی قدیمی با واسطۀ ایمیل برای هک کرن سیستم قربانیان خود استفاده می‌کند؛ یک روش رایج استفاده از فایل‌های موسوم به Decoy است که شراحی شده‌اند تا بدافزارهایی را به سیستم هدف منتقل کنند. این فایل‌ها به شیوه‌های گوناگون توجه کاربر هدف را جلب می‌کنند و او آن‌ها را باز می‌کند. در حالی که معمولاً آن محتوایی را که کاربر انتظار آن را داشت نیز واقعاً در فایل‌ها موجود است، دور از چشم او فایل آلوده یک نوع راه گریز (BackDoor) در ویندوز او ایجاد می‌کند که به FakeM موسوم است و امکان دسترسی هکر به اطلاعات سیستم کاربر را فراهم می‌سازد. روش FakeM از حوالی سال 2013 مورد استفاده قرار می‌گرفته است.

به گفتۀ اولسن، شبکه‌های امنیتی می‌دانند که با هر بار انتشار گزارش‌هایی از این دست، نتایج کار خود را از بین می‌برند؛ چرا که هکرها به روش‌های دیگری روی خواهند آورد.‌ اما با این حال، آن‌ها این کار را آگاهانه انجام می‌دهند تا هکرها مجبور به سرمایه‌گذاری بیشتر و صرف هزینۀ بیشتر برای تغییر زیرساخت کار خود و توسعۀ کدهای خود شوند و این، کار آن‌ها را برای مواجهه با فعالان سیاسی که عموماً از منابع کافی برای دفاع از حریم خود برخوردار نیستند، دشوارتر سازد. م