افزونه آلوده فایرفاکس به نام FriarFox توسط هکرهای چینی برای جاسوسی از فعالان تبتی مورد استفاده قرار میگیرد. برای سالها چین متهم به جاسوسی از اقلیت ها، فعالین و خبرنگاران شده است اما با توجه به تحقیقات انجام پذیرفته، تاکتیک های جاسوسی این کشور فقط پیچیده تر و پیگیرانه تر شده است. در جدیدترین تحقیق انجام شده، محققان یک گروه هک مورد حمایت دولت چین را با حملات جاسوسی و فیشینگ علیه اقلیت ها و فعالان تبتی مرتبط دانسته اند.

هکرهای مورد حمایت دولت چین، از فعالان تبتی جاسوسی میکنند:

محققان شرکت پروف پرینت کمپین جدیدی را کشف کرده اند که در آن، تهدیدات مداوم بسیار پیشرفته ای با حمایت حزب کمونیست چین، نهادها، سازمان ها و فعالان تبتی را از طریق یک افزونه مخرب فایرفاکس هدف قرار میدهد.

این گروه و کمپین که تحت نام TA413 ردیابی شده است که قبلا در حملات علیه جامعه تبت نقش داشته است. در آن زمان، گروه فوق الذکر از کمپین هایی با موضوع و محوریت بیماری کووید-19 برای نشر و گسترش بدافزار Sepulcher استفاده کرده است. با این حال حتی در آن زمان نیز هدف اصلی این کار، انجام نظارت و جاسوسی مخالفان مدنی بوده است.

کمپین فیشینگ از مارس 2020 ادامه دارد:

طبق گزارش شرکت امنیتی مستقر در سانی وِیل، کارزارهای فیشینگ سطح پایین علیه تبتی ها، ابتدا در مارس 2020 کشف گردید و از آن زمان تاکنون ادامه دارد. عوامل تهدید در حال حاضر اقدام به ارائه افزونه ای سفارشی برای مرورگر فایرفاکس جهت به سرقت بردن حساب های جیمیل کاربران میکنند.

محققان پروف پرینت در گزارش خود اشاره کرده اند که: "عوامل تهدید کننده، افزونه مخرب سفارشی مرورگر موزیلا فایرفاکس را مطابق با منافع دولتی حزب کمونیست چین ارائه کرده اند تا دسترسی دسترسی و کنترل حساب های جیمیل کاربران را تسهیل نمایند".

تازه ترین جملات نیز در ژانویه و فوریه سال 2021 کشف شده اند. این افزونه مخرب “FriarFox” نام دارد.

در این گزارش توضیح داده شده است که: "ما این فعالیت را به TA413 نسبت میدهیم که علاوه بر افزونه مرورگر با نام FriarFox، در اوایل سال 2021 نیز مشاهده شده است که هر دو بدافزار Scanbox و Sepulcher را وارد نهادها و سازمانهای تبتی کرده است".

پیوندها بدافزار Sepulcher در کمپین های بدافزار Lucky Cat و Exile Rat که سازمان های تبتی را هدف قرار داده بود، ردیابی و پیدا شده اند.

بدافزارها از طریق ایمیل های Spear-phishing به مقصد رسیده اند:

در ظاهر به نظر میرسد که ایمیل های فیشینگ توسط دفتر دالایی لاما در هند و انجمن زنان تبت ارسال میشود. این ایمیل ها دارای یک لینک مخرب است که گیرنده را به یک بروزرسانی جعلی فلش پلیر هدایت میکند که دستور جاوا اسکریپت را برای اسکن دستگاه آلوده شده اجرا کرده و تصمیم میگیرد که محتوای FriarFox را در سیستم تحویل دهد.

پس از اجرا، بد افزار اجازه دسترسی به حساب جیمیل قربانی را میدهد. پس از ورود به حساب جیمیل، بدافزار میتواند ایمیل ها را پیدا کرده، بایگانی کند، بخواند، حذف کند، به عنوان هرزنامه معرفی کرده و به مخاطبین ارسال نماید.

علاوه بر این، میتواند تنظیمات حریم خصوصی را تغییر داده و به داده های کاربر در وب سایت های دیگر دسترسی پیدا کند. همچنین مهاجمان ممکن است بدافزار Scanbox را که یک فریم ورک مبتنی بر جاوا اسکریپت است، بارگیری کند که میتواند کی لاگینگ را انجام داده و داده ها را برای استفاده در حملات بعدی سرقت کند.

محققان پروف پرینت به این نتیجه رسیده اند که: "بر خلاف بسیاری از گروه های ATP، افشای عمومی کمپین ها، ابزارها و زیرساخت ها، منتج به تغییرات عملیاتی قابل توجه TA413 نشده است. بر این اساس، ما پیشبینی میکنیم که در آینده همچنان از روش عملی مشابهی که اعضای گسترده جوامع تبت را هدف قرار میدهد، بهره گرفته شود".

برای اولین بار نیست:

این یک واقعیت است که چین به جاسوسی از فعالان، اقلیت ها و کشورهای همسایه متهم شده است. در سال 2013، فعالان ایغور و تبتی با استفاده از بدافزار اندروید هدف قرار داده شدند. چند سال بعد و در سال 2018، محققان بدافزار اندروید HenBox را شناسایی کردند که از دستگاه های برند ژیائومی و گروه های اقلیت در چین جاسوسی میکرد.

در سال 2019، یک محقق امنیتی هلندی فاش کرد که دولت چین از پایگاه داده های شناسایی چهره، برای نظارت از راه دور بر جمعیت ایغور در منطقه سین کیانگ استفاده میکند.

به گزارش سایت اینفوسکیوریتی، پس از آن که معلوم شد ، توسعه دهندگان برنامه های شخص ثالث می توانند محتوای ایمیل های کاربران Gmail را بخوانند. گوگل در یک موقعیت امنیتی جدید قرار گرفته است.

این "راز کثیف" که از طرف یک منبع برای وال استریت جورنال ارسال شده است، به کاربرانی مربوط می شود که تصمیم می گیرند حساب های Gmail خود را به برنامه های شخص ثالث (third-party apps) برای چیزهایی مانند سفر یا خرید تبدیل کنند که با انجام این کار از آنها خواسته می شود مجوزهای برنامه را به «خواندن، ارسال، حذف و مدیریت ایمیل خود» اختصاص دهید. 
با این حال، بسیاری از کاربران ممکن است ناآگاه باشند که نفوذگران حتی خیلی بهتر از الگوریتم های هوشمند کامپیوتری، با چشم های خود در حال بررسی ایمیل های شخصی آنها هستند.
این گزارش ادعا کرد که در مورد برنامه بازاریابی Return Path، کامندان این شرکت به حدود 8000 ایمیل از سرویس دهنده Gmail سرک کشیده اند تا به توسعه برنامه خود کمک کنند. آقای Edison برنامه نویس مدیریت ایمیل نیز به کارکنان خود اجازه داده است تا بصورت هوشمند به "هزاران" ایمیل پاسخ دهند.
از سوی دیگر، گوگل ادعا کرد که این شرکت ها دسترسی به ایمیل های کاربران را مجاز می دانند و ادعا دارند که خود کاربران به صراحت از اجازه آنها برای انجام این کار آگاه بوده اند در صورتی که بسیاری از کاربران معمولا هنگام استفاده از برنامه های جانبی، سیاست  ها و دسترسی ها را مطالعه نکرده و فقط بر روی دکمه تایید کلیک میکنند.
با این حال، هنگامی که کاربر قصد استفاده از برنامه های شخص ثالث (third-party apps) را دارد، حریم خصوصی کاربر یک مسئله مهم است که باید به آن توجه ویژه ای داشت علی الخصوص پس از رسوایی کمبریج آنالیتیک (Cambridge Analytica scandal) که در آن جزئیات  87m کاربر فیس بوک توسط توسعه دهنده نرم افزار برای استفاده در تبلیغات سیاسی هدفمند فروخته شد.
در سال 2015 شبکه اجتماعی سیاست جدیدی را مطرح کردند که اجازه دسترسی را به توسعه دهندگان شخص ثالث میداد.
اوجنیر چرشمن (Evgeny Chereshnev)، مدیر عامل شرکت خصوصی Biolink.Tech ، ادعا کرد که GDPR سازمانها را ملزم به بهبود آگاهی کاربران در مورد نحوه استفاده از داده های آنها میکند و میگوید:
"این نوع و سطح از دسترسی، موجب رفتن به سمت امنیت کمتر میشود و مردم باید بدانند که هر بار که آنها به یک دستگاه شخص ثالث متصل می شوند و یا برنامه شخس ثالثی را نصب می کنند، خودشان حق دسترسی را برای این برنامه ها و کارمندان انها فراهم می کنند - اغلب حتی بدون فکر کردن در مورد آن برنامه و سطح دسترسی ان برنامه، "او افزود : "این برنامه ها به مخاطبین کاربران دسترسی کامل دارند، اطلاعات مربوط به رفتار کاربر و همچنین مواردی مانند موقعیت مکانی GPS را براحتی به دست می آورند، بنابراین باید بسیار جدی گرفته شود."

بزرگترین مجموعه نشت اطلاعات کاربران با نشت سه میلیارد و دویست میلیون شناسه آنلاین

به گزارش سایبرنیوز، بزرگترین نشت اطلاعات کلیه ادوار تاریخ با نام COMB (Compilation of Many Breaches) شامل بیش از سه میلیارد و دویست میلیون اطلاعات منحصربفرد ایمیل و پسورد آنها نشت پیدا کرده است. در حالی که در گذشته اطلاعات زیادی در اینترنت نشر و نشت پیدا کرده است، اما این مورد از نظر ابعاد و گستردگی منحصر و متفاوت از بقیه موارد گذشته است. به عبارتی دیگر، کل جمعیت کره زمین به حدود 7 میلیارد و هشتصد میلیون نفر میرسد و اطلاعات 40% این جمعیت شامل این نشت اطلاعاتی میگردد.

با این حال، با در نظر گرفتن 4 میلیارد و هفتصد میلیون نفر کاربر آنلاین اینترنت، COMB شامل 70% کاربران جهانی اینترنت میشود (با فرض منحصر بفرد بودن هر شناسه). به همین خاطر به کاربران توصیه میشود تا در اسرع وقت نسبت به بررسی وجود اطلاعاتشان در فایلهای نشت یافته اقدام نمایند. با کلیک بر روی این لینک میتوانید نسبت به این بررسی اقدام نمایید.

تا زمان انتشار این خبر، بیش از یک میلیون کاربر نسبت به بررسی اطلاعات خود اقدام نموده اند.

اما نشت COMB چگونه اتفاق افتاده است؟

در تاریخ دوم فوریه 2021، COMB در یک فروم معروف هک منتشر شده است. این دیتابیس شامل اطلاعات مدارک میلیاردها کاربر که قبلا از نتفیلیکس، لینکدین، بیتکوین و غیره نشت پیدا کرده است را شامل میشود. این نشت اطلاعاتی با درز اطلاعات گردآوری شده در سال 2017 که در پی آن مدارک یک میلیارد و چهارصد میلیون کاربر نشت پیدا کرد، قابل مقایسه است.

با این حال این درز اطلاعات که با نام COMB شناخته میشود، شامل دو برابر اطلاعاتی است که قبلتر منتشر شده بوده است. اما اکنون داده­ های انتشار یافته به صورت رمزنگاری، آرشیو شده و از آنها مراقب میشود.

این نشت اطلاعاتی شامل اسکریپتی با نام count_total.sh می­باشد، که در نشت اطلاعاتی سال 2017 نیز موجود بوده است. این نشر اطلاعات همچنین شامل دو اسکریپت دیگر میشود: query.sh برای ردیابی ایمیلها و sorter.sh برای مرتب کرده داده­ها.

بعد از اجرای اسکریپت count_total.sh که یک اسکریپت ساده bash برای محاسبه کلیه خطوط فایلهایی­ست که اضافه شده و ادغام آنها با یکدیگر، به سه میلیارد و دویست و هفتاد میلیون جفت ایمیل و پسورد میرسیم.

به نظر نمیرسد که این درز اطلاعات شامل موارد جدیدی بشود اما بزرگترین مجموعه گردآوری شده اطلاعات میباشد. تقریبا همانند نشت اطلاعاتی سال 2017، اطلاعات COMB بر اساس حروف الفبا مرتب شده و بصورت درختی شکل یافته­اند که شامل اسکریپ­های یکسانی برای ایمیلها و پسوردها میشود. در تصویر زیر میتوان اطلاعات منتشر شده و ساختار انتشار آن را مشاهده نمود که توسط سایبرنیوز محو شده است.

در حال حاضر مشخص نیست که اطلاعات نشت یافته گذشته به طور کامل در این مجموعه گردآوری شده است یا خیر اما نمونه­ های بررسی شده توسط سایبرنیوز نشان از این دارد که این مجموعه شامل ایمیل و پسورد از دامنه­ های مختلفی از سراسر دنیا می­شود.

اطلاعات ورودی نتفیلیکس، جیمیل و هات­میل نیز در COMB رویت شده است.

به علت سریع، قابل جست و جو و دسته بندی شده بودن COMB در قیاس با اطلاعات نشت یافته گذشته، به طبع شامل اطلاعات گذشته نیز می­باشد. این مجموعه شامل نشت اطلاعات از سرویس دهنده های معروفی مانند نتفیلیکس، جیمیل، هات­میل، یاهو و غیره می­شود.

بنابر آنالیز سایت سایبرنیوز، حدود 200 میلیون آدرس جیمیل و 450 میلیون آدرس ایمیل یاهو در مجموعه COMB مشاهده می­شود.

جیمیل همانند نتفیلیکس هیچ موقع به نشت اطلاعات اذعان نکرده است. اما این اطلاعات منتشر شده بیشتر مربوط به افرادیست که آدرس جیمیل آنها در سایتهای مورد حمله واقع شده استفاده است.

از سوی دیگر مایکروسافت تایید کرده است که در ماه ژانویه و مارس سال 2019، هکرها موفق شده­اند که به شناسه­های تعدادی از کاربران اوت­لوک، هات­میل و MSN دست یافته­اند.

اما احتمالا بیشترین مجموعه نشت یافته، سهم  یاهو می­باشد که در سال 2014 اطلاعات همه سه میلیارد کاربر آن را تحت تاثیر قرار داده است. از دیگر سو به نظر میرسد که مجموعه COMB از داده­های مرده و سوخته پاکسازی شده است و این مورد، اهمیت بررسی لو رفتن داده ­های کاربران را نشان می­دهد.