امنیت

آنا مانتز: داستان امواج سری

یکی از تفریحات من در کودکی چرخیدن بین امواج رادیو و پیدا کردن برنامه‌هایی بود که فقط خودم ازشون خبر داشتم؛ یه جور پیدا کردن باغ مخفی. در این مقاله، در مورد یک موج رادیویی سری خواهم نوشت.

آنا مانتز

سال ۱۹۷۹ آنای ۲۲ ساله که تازه درسش در زمینه امور خارجه رو در دانشگاه ویرجینیا تمام کرده بود و دنبال شغل بود، مثل بقیه اعضای خانواده‌اش رفت سمت دستگاه قضایی و نظامی آمریکا. پدرش دکتر ارتش بود و خواهر و برادرش برای FBI کار می‌کردند. آنا به عنوان تایپیست کارش رو در وزارت دادگستری شروع کرد و بعد از یک سال تایید امنیتی لازم رو گرفت که به اطلاعات محرمانه هم دسترسی داشته باشه. همزمان ادامه تحصیل داد و سال ۱۹۸۸ فوق لیسانس مطالعات بین‌الملل رو در دانشگاه جانز هاپکینز تمام کرد.

آنا به خاطر تلاش در کار، دقت و دانشش و تحصیل در یکی از بهترین دانشگاه‌های آمریکا، به سرعت مدارج ترقی رو طی کرد. سال ۱۹۸۵ پیشنهاد کاری در آژانس اطلاعات دفاعی (زیر مجموعه پنتاگون) رو پذیرفته بود. سال ۱۹۹۲ به یک بخش ویژه تحلیل اطلاعاتی منتقل شد. ابتدا متخصص امور نیکاراگوئه و السالوادور شد و سپس تحلیل‌گر سیاسی و نظامی ارشد کوبا شد و حتی برای کسب اطلاعات در مورد ارتش کوبا، به این کشور سفر کرد.

سال ۱۹۹۷ از رییس CIA تقدیرنامه گرفت. آنا رو «ملکه کوبا» صدا می‌زدند. تحلیل‌های دقیق و اشراف اطلاعاتیش در مورد کوبا باعث شد که یکی از تاثیرگذارترین کارشناس در مورد سیاست در قبال کوبا بشه.

آنا به شدت اهل کار بود، معمولا تنها و در اتاق خودش غذا می‌خورد و همیشه در حال مطالعه اسناد و اطلاعات سری مرتبط با کارش در مورد کوبا بود. سال ۲۰۰۰ بود که آنا دوباره در مرحله یک پیشرفت حرفه‌ای قرار گرفت و پیشنهاد شد که به شورای ملی اطلاعات آمریکا بره.

سپتامبر سال ۲۰۰۱ و بعد از حمله تروریستی به برج‌های جهانی، بخش زیادی از نیروهای FBI درگیر پیدا کردن سرنخ‌های گروه تروریستی القاعده در خاک آمریکا شده بود و آمریکا هم در تدارک حمله به افغانستان بود. ۱۰ روز بعد از حمله تروریستی، لوسی مانتز، خواهر آنا، به دفتر رییسش فراخونده شد. لوسی که سابقه خوبی در شنود حلقه‌های جاسوسی داشت، فکر می‌کرد قراره در پرونده حمله تروریسی همکاری کنه اما به لوسی گفتند که آنا به اتهام جاسوسی برای کوبا دستگیر شده.

آنای دوم

سال ۲۰۰۰ بود که پرونده پیدا کردن یک جاسوس کوبا در سطح بالای مقامات امنیتی آمریکا در FBI در اولویت قرار گرفت. دو سال بود که ماموران FBI دنبال این جاسوس بودند و معدود اطلاعاتی که داشتند دسترسی جاسوس به اطلاعات محرمانه و خرید یک لپ‌تاپ توشیبا بوده. پس از مدت‌ها جستجو بین کارمندان مختلف و کوچک‌تر کردن لیست افراد با بررسی اونها، به ۲۰ نفر نهایی رسیدند. یکی از این ۲۰ نفر آنا بود. مامور پرونده یادش اومد که سال‌ها قبل یکی از همکاران آنا ازش شکایت کرده بود که اصرار زیادی داره به اطلاعات محرمانه دسترسی داشته باشه اما بازرسی و سوال و جواب از آنا بی‌نتیجه تمام شده بود.

چند ماه پیش از دستگیری، زمانی که آنا خونه نبود ماموران به خونه‌اش رفته و پس از تفتیش، از هارد کامپیوترش یک کپی گرفتند. از روی هارد، رد فایل‌هایی رو یافتند که قرار بود پاک شده باشند از جمله راهنمای استفاده از نرم‌افزاری برای پاک کردن فایل‌ها به صورت امن و متن پیام‌های سری. ماموران بعدها و پس از دستگیری، به خونه آنا برگشتند و با بررسی بیشتر، از جلد یکی از کتاب‌ها جدول رمزگشایی متن‌های رمزشده رو پیدا کردند.

با جستجوی متن‌های رمز شده به صورت اعداد در آرشیو سازمان‌های امنیتی، متوجه شدند که این اعداد دو سال پیش توسط رادیویی سری که همیشه یک‌سری عدد نامفهوم رو تکرار می‌کنه پخش شده بودند. دستورات به صورت اعداد از یک رادیو پخش می‌شد، آنا اونها رو دریافت می‌کرد و رمزگشایی می‌کرد و اطلاعات رو طبق دستورالعمل به واسطه می‌داد تا به کوبا برسونه. آنا در ۱۷ سال جاسوسی برای کوبا، هیچ مدرکی رو از محل کارش خارج نکرده بود و با به‌خاطر سپردن اطلاعات، احتمال دستگیری خودش رو بسیار کم کرده بود.

برنامه FBI این بود که آنا رو زیر نظر بگیره تا بتونه تیم جاسوسی و افراد مرتبط باهاش رو دستگیر کنه اما با حمله تروریستی ۱۱ سپتامبر و برنامه حمله آمریکا به افغانستان، از ترس اینکه برنامه‌های حمله به دست دشمنان آمریکا برسه، آنا دستگیر شد. در گزارش‌های FBI و تحقیق خبرنگاران آمده که آنا برای پول کار نمی‌کرد. از دوران دانشجویی و با دیدن نقش سیاست‌های کشورش در آمریکا جنوبی، حمایت از دیکتاتورها و گروه‌های تروریستی مثل کونتراها، منتقد این سیاست‌ها بود. بعدها تصمیم گرفت نقشه‌های آمریکا در کوبا رو خنثی کنه. گفته می‌شه که جاسوسان آمریکا در کوبا رو لو داده بود، محل پایگاه نظامی مخفی آمریکا در السالوادور رو اطلاع داده بود که منجر به حمله مخالفان به پایگاه شده بود.

امواج سری

رادیو موج کوتاهی که آنا دستورات رو ازش می‌گرفت، رادیویی است که به Atencion (اتنسیون) معروف شده چون در ابتدای هرسری از اعداد، این کلمه تکرار می‌شه. این رادیو به اسم HM01 (Hybrid Mode 01) هم شناخته می‌شه. ایستگاه‌های رادیویی اعداد یکی از روش‌های ارتباطی رمز شده در حدود صد سال اخیر بوده. در جنگ‌های جهانی ازشون استفاده شده و در دوران جنگ سرد به یکی از راه‌های اصلی انتقال اطلاعات به جاسوسان تبدیل شده بود.

از مزایای استفاده از این روش، کم کردن ریسک برای جاسوسان در کشورهای دیگه است. برای دریافت دستورات، داشتن یک رادیو ساده کافی است. جدول رمزگشایی و لیست اعداد تصادفی هم روز کاغذهای کوچکی نگه‌داری می‌شد که هم قابلیت مخفی‌سازی داشت و هم به راحتی قابل از بین رفتن بود.

برای اینکه بدونید روش کار این رادیوها چطوری است، فرض بگیریم که مرکز فرماندهی قراره دستور «UN MENSAJE SECRETO» (به معنی یک پیام مخفی) رو ارسال کنه. ابتدا با استفاده از همون جدول تبدیل که آنا داشت، کاراکترها رو تبدیل به عدد می‌کنید. در اون جدول، می‌بینید که حروف پر استفاده معادل عدد تک رقمیند (برای مثال A می‌شه ۴) و حروف دیگه معادل عددی دو رقمی (برای مثال B می‌شه ۲۴). بنابراین پیام مخفی تبدیل می‌شه به ۹۴۰۹۸۵۳۱۰۸۴۲۸۱۹۸۸۱۲۳۵۸۱۳۵۷۰۰۰۰. هنوز یک مرحله دیگه مونده. در این مرحله با استفاده از لیستی از اعداد ۵ رقمی که به صورت رندوم تولید شده و هم در اختیار فرستنده است و هم در اختیار دریافت کننده، این رشته عددی دوباره رمز می‌شه. طبق تصویر زیر، عددهای تولید شده توسط جدول تبدیل، منهای عددهای رندوم می‌شه تا یک رشته عدد دیگه تولید بشه.

در آخر هم این اعداد رمز شده توسط اپراتور رادیو خونده می‌شه. آنا با دریافت این اعداد و با استفاده از کپی اعداد رندوم و یک‌بار مصرف، رمزگشایی مرحله اول رو انجام می‌ده تا به رشته اعداد ۹۴۰۹۸۵۳۱۰۸۴۲۸۱۹۸۸۱۲۳۵۸۱۳۵۷۰۰۰۰ برسه. سپس با استفاده از جدول تبدیل، متن دستور رو پیدا می‌کنه.

این روش استفاده از جدول تبدیل در کنار اعداد رندوم و یک‌بار مصرف، برای سال‌ها یکی از امن‌ترین روش‌های تماس با جاسوس‌ها بوده. حتی در صورت دستگیری فردی مظنون به جاسوسی، اگر بازرس‌ها همه اعداد و صداها رو نداشتند، نمی‌تونستند به متن اصلی برسند. اشتباه سازمان امنیتی کوبا در ترکیب این روش دستی با برنامه‌ای کامپیوتری برای راحت کردن کار آنا، باعث شد سازمان امنیتی آمریکا به اطلاعات پیام‌های پیشین در حافظه کامپیوتر دست پیدا کنه.

با دستگیری آنا، پخش پیام‌های رمز از طریق رادیوی اتنسیون متوقف نشد و تا همین الان هم به کارش ادامه داده. کارشناس‌های امنیتی معتقدند این مساله نشون می‌ده که هنوز کوبا جاسوس‌هایی در آمریکا داره و همکاران آنا تونستند به کارشون ادامه بدهند. از این لینک می‌تونید به آرشیوی از پیام‌های این رادیو گوش بدید.

ایستگاه‌های رادیویی اعداد، محدود به این موارد جاسوسی نیست و چندین ایستگاه رازآلود و عجیب هم هستند که سال‌هاست ذهن افراد مختلفی رو به خودش درگیر کرده و افراد زیادی در پی رمزگشایی پیام‌های این رادیوها رفتند. اگر علاقمند به شنیدن رادیوهای دیگه در همین زمینه‌اید، می‌تونید به سایت ایستگاه‌های اعداد مراجعه کنید.

زندان

طبق اطلاعات سایت FBI از پرونده، آنا مانتز سال ۲۰۰۲ به اتهاماتش اعتراف کرد و به ۲۵ سال زندان محکوم شد. در تماس‌هایی که آنا از زندان با دوستانش داشته، هیچ‌وقت پشیمان نبوده از کاری که کرده. پس از سال‌ها زندان، نوشته: «زندان یکی از آخرین جاهاییه که انتخاب می‌کردم توش باشم اما چیزهایی در زندگی هست که ارزش زندان رفتن رو دارند.»

پیش‌بینی می‌شه که ۵ سال دیگه در چنین روزهایی آنا از زندان آزاد بشه.

استاندارد
امنیت

پشت‌پرده‌ی دزدی اطلاعات کارت‌های بانکی

در روزهای اخیر خبرهای مختلفی از دزدی اطلاعات کارت‌های بانکی ایرانی‌ها منتشر شد و محمد جرجندی نیز در توییتر، تصاویر کانال تلگرامی دزد اطلاعات رو منتشر کرد. با توجه به تعداد دامنه‌های تقلبی و تعداد زیاد اکانت‌هایی که دزد اطلاعات برای اثبات حرفش منتشر کرده بود، به نظر می‌رسه که این دزدی بسیار گسترده بوده. در ادامه این دزدی اطلاعات کارت‌های بانکی رو بررسی می‌کنم.

صفحه فیشینگ

ادعای دزدی اطلاعات کارت‌های بانکی

طبق شناختی که این مدت پیدا کردم، خیلی از هکرهای ایرانی سخته براشون که شناخته نشوند حتی اگر پول زیادی به دست آورده باشند و به قول خودشون موفق باشند. دزد این سری هم یک کانال تلگرام با اسم مستعار Mr. X راه انداخته و اونجا از پول‌های زیادی که داره، تصاویر مسافرت‌ها و حتی رابطه‌های جنسیش رو منتشر می‌کرد. در یک محدوده زمانی، حتی بخشی از اطلاعات دزدیده شده از مردم رو هم عمومی منتشر کرد که ثابت کنه کار خودش بوده.

پول

تصویری از پول‌های دزد که به یورو است، در محیط داخلی احتمالا قطار و اون نوشته‌های روی کاغذ سفید رنگ به زبان آلمانی، این شک رو ایجاد کرد که علیرغم ادعای دزد که پاسپورت اسراییلی داره و عکس پرچم اسراییل رو گذاشته، ایشون در آلمان زندگی می‌کنه. اون تغییر ناگهانی آواتار به پرچم اسراییل و اشاره به پاسپورت، احتمالا برای رد گم کردن بوده.

در یکی از تصاویر کانال، فردی که از مردم دزدی کرده، چندین عکس از یک خرس عروسکی رو منتشر کرده. به تصویر زیر دقت کنید.

ایستگاه قطار

اون علامت E در تصویر و شرایط دیگه محیط، نشون می‌ده که عکس در یک ایستگاه قطار گرفته شده. بخشی از اسم ایستگاه RLSRUH در تصویر دیده می‌شه. با استفاده از نقشه گوگل، این ایستگاه قطار پیدا شد که در شهر کارلسروهه در آلمانه و شک قبلی رو تایید کرد.

ایستگاه قطار کارلسروهه

رد پای دزد

در کانال تلگرامی گفته شده، دو تا لینک گذاشته شده بود برای راهنمایی دیگران به دزدی‌های بیشتر، در اختیار گذاشتن کدهای لازم برای راحت کردن دزدی توسط افراد متفرقه و یک اپلیکیشن برای کنترل حساب‌های بانکی دزدیده شده.

لینک به اپلیکیشن اندرویدی در گوگل پلی، نشون می‌ده که توسعه‌دهنده از ایمیل shotojoo@gmail.com استفاده کرده برای ساخت اکانت. همچنین لینک به اکانت گیت‌هاب برای انتشار فایل‌های آماده فیشینگ، نشون می‌ده که اکانت به اسم MR. X اما با آدرس shotojoo ساخته. مجموعه شواهد نشون می‌ده که اسم مستعار shotojoo همون آقای X است.

گیت‌هاب

 لازم به ذکره که بررسی فایل‌های آماده فیشینگ بانک سامان و اکانت‌های اینستاگرام که آقای X منتشر کرده، کدگزاری شده که محتواش معلوم نباشه اما من موفق شدم کدها رو بشکنم. این کدهای رایگان برای هک دیگران، به گونه‌ای نوشته شده که هروقت هرکسی با استفاده از این فایل‌ها اکانت کسی رو هک کرد، یک نسخه از اطلاعات اکانت یا کارت بانکی هک شده برای آقای x ارسال می‌شه.

شوتوجو کیست؟

از این مرحله و با در اختیار داشتن اسم مستعار دوم آقای x، جستجوهای گسترده‌ای رو شروع کردم که منجر شد به شناسایی چندین سایت، اکانت توییتر، اکانت یوتوب و موارد دیگه. شوتوجو پیش از این با همین اسم یک دامنه ir خریده بود و با اسم مستعار «پرهام شوتوجو» اپلیکیشن صیغه‌یاب منتشر کرده بود. این سایت اکنون در دسترس نیست.

صیغه‌یاب

به نظر می‌رسه همونطور که آقای x در کانالش راهنمایی کرده بود، اپلیکیشن صیغه‌یاب یک بدافزار بوده برای فریب کاربرانی که دنبال روابط جنسی رفته‌اند. برخی هکرها از این پوشش استفاده می‌کنند که پس از دزدی، مال باخته از ترس آبرو اقدام به شکایت نکنه.

صیغه‌یاب

از نکته‌های عجیبی که در اکانت‌های مختلف آقای شوتوجو دیدم، انتشار چندین عکس از یک پسر بچه به نام «شروین سرابی» است که خانواده‌اش مدعی شده‌اند نابغه است. بعد به این مورد اشاره می‌کنم.

اکانت vk

در جستجوها متوجه شدم که شوتوجو با اسامی مستعار دیگه‌ای در اینترنت فعالیت کرده از جمله «ناجی پرهام» و «ناجی بلک». در یکی از اکانت‌ها، «ناجی پرهام» گفته بود که ساکن کرجه. به تکرار کلمه «ناجی» دقت کنید.

شناسایی

بررسی‌ها من نشون می‌ده که آقای X یا آقای شوتوجو که ده‌ها سایت فیشینگ ساخته و از کارت‌های بانکی تعداد بسیار زیادی از مردم دزدی کرده، آقای «پرهام مرادزاده سراب» است. بر اساس اطلاعات جمع‌آوری شده، آقای پرهام مرادزاده سراب پس از خروج از ایران، مدتی در ترکیه بوده و کار دزدی رو ادامه داده و سپس با خانواده به آلمان رفته. ایشون چندماه پیش هم اکانت اینستاگرام مهدی قائدی، بازیکن تیم استقلال، رو هک کرد که منجر به شناساییش شد. بعد از اون هک، در مصاحبه‌ای ادعا کرد هکر کس دیگه بوده و اکانت رو بهش داده و گفت که دیگه تکرار نمی‌کنه هک کردن رو.

پرهام مرادزاده سراب

پس از هک اکانت اینستاگرام مهدی قائدی، اکانت هکر به اسم «ناجی تیم» تبلیغ شده بود. پیش از این به تکرار کلمه «ناجی» در اسامی مستعار ایشون اشاره کرده بودم.

مصاحبه با ایشون پس از لو رفتن هویتش در پی هک اکانت بازیکن استقلال:

اکانت فیسبوک پرهام مرادزاده سراب، نشون می‌ده که ایشون رابطه فامیلی با «شروین سرابی» داره و اون انتشار عکس‌ها توسط اکانت‌ها با اسم مستعار شوتوجو، بی‌دلیل نبوده.

در کدهای نوشته شده ایشون برای دزدی، که عمومی منتشر کرده تا با واسطه کارهای دزدهای دیگه بتونه آدم‌های بیشتری رو هک کنه، قربانی‌ها به یک کانال تلگرام به اسم «صیغه‌ یاب» منتقل می‌شن. در کانال «صیغه یاب» چندین اپلیکیشن اندرویدی منتشر شده که همگی تقلبی بوده و برای فیشینگ ساخته شده‌اند.

صیغه‌یاب

نام و نام خانوادگی: پرهام مرادزاده سراب

ساکن آلمان

شماره تلفن پیش از خروج از ایران: ۰۹۳۵۴۲۵۱۷۵۷

آدرس ایمیل: shotojoo@gmail.com و parham.moradzadeh@yahoo.com

اکانت توییتر: pshotojoo و parhammoradzade

اکانت فیسبوک: parham.moradzadeh.sarab

اکانت در سایت vk (مشابه فیسبوک در روسیه): id388194461

اکانت در سایت فلیکر: ۱۴۵۷۰۳۰۶۱@N07

اکانت گیت‌هاب: shotojoo

کانال یوتوب: UCBpNINiOudE5qGQzx_aJpeg

استاندارد
امنیت

پشت‌پرده‌ی پیامک تبلیغ وی‌پی‌ان

طی هفته‌های اخیر و در پی افزایش فیلترینگ، از کار افتادن فیلترشکن‌های عادی و حواشی کانال تلگرامی آمد نیوز، پیامک‌های تبلیغی در ابعاد زیاد برای ایرانی‌ها رسید حاوی لینکی به فایلی که ادعا می‌شد وی‌پی‌ان است. با توجه به دور از ذهن بودن همچین ادعایی، موضوع رو بررسی کردم.

تبلیغ وی‌پی‌ان آمدنیوز

لینک اول وی‌پی‌ان آمدنیوز

توزیع کننده فایل، در ابتدا فایل رو از طریق آدرس کوتاه‌شده‌ای در سوریس yon برای مردم ارسال کرده. همونطور که در تصویر زیر می‌بینید، فایل روی سرویس بکتوری قرار داده شده. خوشبختانه سرویس بکتوری در اسرع وقت و با گرفتن گزارش‌ها، دسترسی به فایل رو محدود کرده بود که افراد بیشتری قربانی این اتفاق نشن. هرچند که تا زمانی که سرویس بکتوری این فایل رو حذف بکنه، بیش از ۱۰۰ هزار نفر لینک رو باز کرده و فایل رو دانلود کرده بودند. اینکه چه بخشی از این افراد، فایل رو نصب هم کرده‌اند رو نمی‌دونم.

بکتوری

 با توجه به از دسترس خارج شدن این فایل، من نتونستم دانلود و بررسیش کنم. اما تا جایی که متوجه شدم فایل اول کار خاصی نمی‌کرده غیر از نشون دادن یک تصویر به اسم آمدنیوز و بعد ارسال sms به شماره‌های موجود در دفترچه تماس‌های قربانی و دعوت افراد جدید از طرف اونها، به نصب این اپلیکیشن (متن همون پیامک اول).

نکته‌ای قابل توجه در فایل اول، نام پروژه‌ایه که فرد یا افراد توزیع‌کننده انتخاب کردند در سرویس بکتوری. این فرد از اسم redfox استفاده کرده بود.

لینک دوم وی‌پی‌ان آمدنیوز

پس از ازکار افتادن لینک اول، توزیع‌کننده‌ها پیامک دیگه‌ای رو جایگزین کردند و فایل رو روی سرور دیگه‌ای توزیع کردند. فایل دوم رو دانلود و با سرویس ویروس‌توتال بررسی کردم. ۶ آنتی‌ویروس این فایل رو خطرناک شناسایی کردند.

ویروس توتال

وقتی آدرس کوتاه شده دوم رو چک کنیم، متوجه می‌شیم که که لینک اصلی دانلود، از سایت serviceclient12 است.

توزیع‌کننده‌ها از دامنه رایگان استفاده کردند که معمولا اطلاعات ناقص از مالک دامنه نشون می‌دن. اما نکته مهم اینه که این دامنه روی سروری با IP زیر میزبانی می‌شه.

با چک کردن این IP متوجه شدم که سایت namazhe[.]net هم روی این IP قرار داره. اطلاعات مالک نماژه رو ببینیم:

مالک دامنه نماژه

ایمیل مالک دامنه apd_1379 است که جستجوهای من نشون می‌ده متعلق به آقای امیرپارسا دهفولی است. در ادامه بررسی می‌کنم که آیا ایشون ربطی به این توزیع بدافزار داره یا خیر.

اول اینکه تنها سایت‌هایی که روی این سرور پیدا کردم همین دو تا، یعنی serviceclient12 و namazhe است که احتمال غیرمرتبط بودن و همسایگی اتفاقی رو کم می‌کنه.

اطلاعات NSهای دامنه نماژه نشون می‌ده که از NS‌های serviceclient12 استفاده می‌کنه و کنار هم بودنشون اتفاقی نیست. بنابراین کسی که کنترل دامنه نماژه رو داره، همون کسی است که سایت serviceclient12 (توزیع‌کننده بدافزار) رو کنترل می‌کنه.

NS

لیست دامنه‌های دیگه‌ای که آقای امیرپارسا دهفولی خریداری کرده رو در ادامه ببینید. بعدا با برخی از اینها روبه‌رو خواهیم شد.

فایل بدافزار دوم رو که چک کنیم، لیستی از آدرس‌های اینترنتی رو توش می‌بینیم که بهشون دیتا می‌فرسته یا ازشون دیتا می‌گیره. اونهایی که مهم بوده رو با فلش قرمز مشخص کردم.

URLs

آدرس elicharge رو می‌بینید که علاوه بر شباهت اسمی با سایر دامنه‌های ثبت شده آقای دهفولی، توسط فردی به نام محمد دهفولی ثبت شده.

همچنین آدرسی در همین سایت elicharge و با فرمتی مشابه بدافزار کنونی، در بدافزار دیگه‌ای که چندماه پیش توزیع شده بود، پیدا کردم. اون بدافزار قدیمی به اسم اپلیکیشن پخش زنده ماهواره پخش شده بود که گزارش‌هایی از دزدی اطلاعات مالی کاربران در موردش وجود داشت که چون بررسی مجددی روش انجام ندادم، نمی‌تونم صحتش رو کاملا تایید کنم.

در اپلیکیشن پخش زنده ماهواره، از آدرس زیر برای پرداخت استفاده شده بود.

این دامنه از مجموعه دامنه‌های تحت مالکیت آقای دهفولی است. همچنین شباهت زیادی به دامنه hamzadserver داره که به نظر می‌رسه یک دامنه واقعی نیست و فقط تغییر یافته hamzad است.

دامنه hamzad روی IP‌زیر قرار داره و از NS‌های دامنه elipay استفاده می‌کنه. elipay یکی دیگه از دامنه‌های آقای دهفولی است.

دو دامنه دیگه وجود دارند که دقیقا همین مشخصات رو دارند، یعنی روی IP‌ بالا میزبانی می‌شن و از NS‌های elipay استفاده می‌کنند. یکی از این دامنه‌ها متعلق به مجموعه ad-venture است که یک شرکت تبلیغاتی با تمرکز روی تبلیغات تلگرامی است. یکی از پروژه‌های مجموعه ادونچر، کانال تلگرامی نماژ (namazh) است که اسمی مشابه سایت نماژه داره. در بالا دیدیم که فایل آلوده از همون سروری توزیع شده که سایت نماژه روش قرار داره. تحقیقات من نشون می‌ده که آقای امیرپارسا دهفولی از کارمندان این شرکت است. با وجود اینکه از زیرساخت و منابع شرکت، برای ساخت و توزیع بدافزار استفاده شده اما هیچ شاهد قطعی وجود نداره که نشون بده افراد دیگه (و مخصوصا مدیریت این مجموعه) در جریان این مساله بوده و دخالتی داشته‌اند.

همچنین در کانال تلگرام elipay که وابسته به سایت elipay  و متعلق به آقای دهفولی است، می‌بینید که کانال namazh رو به عنوان راه ارتباطی برای درخواست همکاری معرفی کرده.

معرفی

با توجه به به موارد گفته شده و اطلاعات دیگه‌ای که برای جلوگیری از طولانی شدن مطلب از نوشتنش خودداری کردم، واضح است که آقای امیرپارسا دهفولی از کارمندان ادونچر، با سواستفاده از زیرساخت این شرکت اقدام به توزیع بدافزار بین بخش زیادی از مردم کرده. اطلاعات تماس و اکانت‌های ایشون رو در ادامه می‌نویسم که در صورت آسیب دیدن توسط این بدافزارها، بتونید از مراجع قانونی اقدام کنی. توجه داشته باشید که تلفن‌ها قدیمی است و احتمال تغییر مالکیت وجود داره. مجدد یادآوری می‌کنم که شاهد قطعی مبنی بر همکاری سایر اعضا و مدیریت مجموعه ادونچر در تهیه و توزیع بدافزار ندیدم و به نظر می‌رسه سواستفاده شخصی بوده.

ایمیل: apd_1379@yahoo.com و apd13791@gmail.com

اکانت‌های تلگرام: clashstore و telegradminiran و iluez و elipay

شماره تلفن: ۰۹۲۰۳۱۸۷۶۸۰ و ۰۹۳۷۱۵۷۸۴۲۹

استاندارد