کنار هم گذاشتن قطعات پازل «گروه معادله» نشان می‌دهد این گروه مرموز هکری متعلق به آژانس امنیت ملی آمریکاست. بنابراین تعجبی ندارد که ایران در صدر اهداف عملیات‌های خرابکارانه این گروه قرار دارد.

«جورج اورول» در رمان «۱۹۸۴» کشوری خیالی به نام «اوشنیا» را تصور کرد که در آن دولتی به نام «برادر بزرگ» یک نهاد جاسوسی به نام «پلیس فکر» دارد که با دستگاه‌های خاصی هر لحظه شاهد اعمال و رفتار انسان‌هاست و «هیچ راهی برای خاموش کردن کامل» این دستگاه‌ها وجود ندارد[۱]. اورول نام این دستگاه‌های «هم پخش‌کننده‌ی تصویر و هم نظاره‌گر» را «نمایشگر از راه‌ دور» یا «تله‌اسکرین[۲]» گذاشت، که البته تله‌اسکرین می‌تواند معنی «غربال‌ از راه‌دور» نیز بدهد. اما جالب است بدانید که این دستگاه‌ها منبع الهام برخی از گروه‌های هکری نیز بوده‌اند. امروزه «آزمایشگاه پانگو[۳]» در چین ابزار جدیدی با نام «عملیات تله‌اسکرین[۴]» در دست دارد که قادر است کلیدهای مخفی و رمزگذاری‌شده‌ی هکرهای دیگر را رهگیری و فاش کند. چند هفته پیش، این برنامه توانست پرده از یکی از بزرگ‌ترین گروه‌های هکری دنیا، وابسته به دولت آمریکا، بردارد.

«برادر بزرگ دارد تو را تماشا می‌کند»؛ شعاری که در رمان «۱۹۸۴» مرتباً به شهروندان «اوشنیا» یادآوری می‌شود. در این رمان از دستگاه‌های مخصوصی به نام «تله‌اسکرین» («نمایشگرازراه‌دور» یا «غربال‌ازراه‌دور») برای پایش دائمی افراد استفاده می‌شود (+)

در میان گروه‌های هکری دنیا، مجموعه‌ای بسیار سری و پیشرفته تحت عنوان «گروه معادله[۵]» وجود دارد[۶] که تا پیش از این ارتباطش با «آژانس امنیت ملی» آمریکا در هاله‌ای از ابهام بود. ماجرا از زمانی آغاز شد که حدود هفت سال پیش (۲۰۱۵) شرکت روسی «کَسپِرسکی» فعال در حوزه‌ی امنیت سایبری، در اعلامیه‌ی رسمی خود به کشف بدافزارهایی اشاره کرد که مشابهت بسیاری با یک بدافزار شناخته‌شده‌ی دولتی آمریکایی-اسرائیلی دیگر داشت؛ بدافزاری که نامش برای ایرانی‌ها کاملاً آشناست: استاکس‌نت[۷].

گزارش سال ۲۰۱۵ شرکت امنیت رایانه‌ای-سایبری روسی «کسپرسکی» که در آن از «گروه معادله» تحت عنوان «جد استاکس‌نت و فلِیم» (دو بدافزار دولتی مشهور) یاد شده است. فلیم نیز مانند «استاکس‌نت»، بیش از هر کشور دیگری، اهداف خود را در ایران انتخاب می‌کرد. این بدافزار سال ۲۰۱۲ با همکاری تیم واکنش ویژه‌ی رایانه‌ای ایران و کسپرسکی و شماری از مراکز دیگر کشف شد. شواهد و اسناد موجود، حکایت از همکاری آژانس امنیت ملی آمریکا، سی‌آی‌ای و ارتش اسرائیل در تولید فلیم دارد (+)

کسپرسکی طی یک گزارشِ مفصل، نشان داد که این گروه چگونه و با چه عمقی به شبکه‌های دولتی و خصوصی نفوذ کرده و اطلاعات محرمانه‌ی آن‌ها را دزدیده است. این گزارشِ تکان‌دهنده حاکی از حجم بالای سرقت اسناد و مدارک از نقاط مختلف دنیا بود. اگرچه کسپرسکی به طور صریح هیچ دولتی را حامی این بدافزار معرفی نکرد، اما علاوه بر شباهت بسیارِ این برنامه به دیگر بدافزارهای دولت آمریکا، میزان پیچیدگی آن نیز مؤید این واقعیت بود که هزینه‌ی هنگفتی پشت این بدافزار نهفته است که فقط می‌تواند نتیجه‌ی سرمایه‌گذاری یک (یا چند) دولت باشد. به عنوان مثال، این بدافزار، سال ۲۰۱۵، به عنوان اولین برنامه‌ای معرفی شد که قادر است تنظیمات و اطلاعات هارددرایو را دست‌کاری کند. طبق گزارش آزمایشگاه کسپرسکی، این گروه دست‌کم از سال ۲۰۰۱ صدها هدف حساس را مورد حمله قرار داده‌اند که در رأس آن‌ها زیرساخت‌های حساس کشورهای ایران و روسیه بوده است.

نقشه‌ی کشورهای هدف حملات «گروه معادله»، به ترتیب آلودگی. نام ایران و روسیه در صدر فهرست کشورهای آلوده قرار دارد. آزمایشگاه سایبری «کسپرسکی»، سال ۲۰۱۵، بخشی از اطلاعات مربوط به حملات گسترده‌ی گروه معادله را منتشر کرد که نشان می‌داد، زیرساخت‌های ایران بیش از هر کشور دیگری هدف این حملات قرار گرفته‌اند. (+)

کلیدهای سه‌گانه برای رسیدن به ریشه‌ی «گروه معادله»

سال ۲۰۱۳، یعنی دو سال پیش از کشف حیرت‌انگیز کسپرسکی، محققین آزمایشگاه پانگو در چین با بررسی یکی از نفوذهای غیرمجاز به سامانه‌ی یکی از اداره‌های دولتی داخلی این کشور، متوجه رشته‌کدی بسیار پیچیده شدند که به عنوان یک روزنه‌ی امنیتی موسوم به «درِ پشتی[۸]» برای نفوذ به سامانه‌های چینی استفاده می‌شد. این برنامه‌ی پیشرفته، خاصیت خودویرانگری داشت، یعنی اگر موفق به اجرای کامل نمی‌شد و توسط یک طرف ثالث رمزگشایی می‌شد، بلافاصله همه‌ی آثارش را از بین می‌برد و تنها با ارائه‌ی کد مخصوصی که نزد صاحب برنامه بود، مجدداً به کار می‌افتاد. محققین چینی توانستند این کد را کشف کرده و به برخی از اطلاعات این درِ پشتی دسترسی پیدا کنند. این برنامه از رشته کد «بی‌وی‌پی» (Bvp) و رشته‌ی عددی ۰×۴۷ (۴۷×۰) بسیار استفاده کرده بود. بنابراین این گروه چینی نام این برنامه را «بی‌وی‌پی۴۷» (Bvp47) گذاشت. اما استفاده از این ابزار، باز هم نیاز به کد دیگری داشت که فقط در دست طراحان آن بود.

ارتباط خانوادگی بدافزارهای «گروه معادله» (چپ) با بدافزارهای «استاکس‌نت»، «فلیم» و «گاس» (بدافزار دیگری که ارتباط نزدیکی با فلیم داشت و باز هم خاورمیانه را هدف قرار داده بود) (+)

کلید دوم برای کشف ریشه‌های گروه معادله در سال‌های ۲۰۱۶ و ۲۰۱۷ پیدا شد. گروهی موسوم به «کارگزاران سایه[۹]» فایل‌های هکی را منتشر کرد که ادعا می‌کرد مربوط به اقدامات گروه معادله هستند. آزمایشگاه پانگو در این فایل‌ها، کد دومی را پیدا کرد که به آن‌ها اجازه‌ی دسترسی به Bvp۴۷ را می‌داد. محققان چینی به وسیله‌ی این کد توانستند کنترل‌ازراه‌دور این برنامه را به دست بگیرند و مطمئن شدند که این برنامه با هدف جاسوسی نوشته شده است. با این حال، همچنان ارتباط این برنامه‌ی جاسوسی به دولت آمریکا در هاله‌ی ابهام باقی بود. 

«بیش از ۲۸۷ نقطه‌ی هدف در ۴۵ کشور جهان طی ۱۰ سال»؛ نقشه‌ی (بالا) اهداف «گروه معادله» طبق گزارش سال ۲۰۱۷ «کارگزاران سایه» (که البته با توجه به این‌که ایران را در فهرست کشورهایی قرار داده که فقط اندکی آلودگی دارند، به نظر می‌آید کامل نیست)، به علاوه‌ی نمودار نحوه‌ی کار (پایین، چپ) و برخی از ویژگی‌های مهم (پایین، راست) درِ پشتی‌ موسوم به «بی‌وی‌پی۴۷» در گزارش «آزمایشگاه پانگو». این درِ پشتی به قدری پیچیده و پیشرفته است که منابع مورد نیاز برای تعبیه و استفاده از آن صرفاً می‌تواند در اختیار بازیگران دولتی باشد. برخی از اهداف این برنامه در شبکه‌های ایزوله قرار داشته‌اند و به کمک عوامل نفوذی انسانی آلوده شده‌اند. (+)

کلید سومِ حل این معادله در اسناد فاش‌شده توسط «ادوارد اسنودن» افشاگر سرشناس آژانس امنیت ملی آمریکا، از پروژه‌ی «منشور» یا «پریزم[۱۰]» نهفته بود. محققان چینی شباهت بسیار زیادی میان اطلاعاتِ فاش شده در سال ۲۰۱۶ و اسناد ادوارد اسنودن مربوط به حملات آژانس امنیت ملی آمریکا پیدا کردند. در واقع، با کنار هم قرار دادن اطلاعات گروه چینی، جزئیات حملات گروه معادله و شیوه‌ی عملیاتی دولت آمریکا می‌توان به این نتیجه رسید که این سه دسته اطلاعات با تبعیت از یک الگوی ثابت، مربوط به یک گروه کاملاً حرفه‌ایِ وابسته به دولت آمریکا هستند. آزمایشگاه پانگو با مقایسه‌ی این داده‌ها صراحتاً اعلام کرد: «این اطلاعات کاملاً ثابت می‌کند که گروه معادله به آژانس امنیت ملی آمریکا تعلق دارد[۱۱].» 

 جلد گزارش فنی «آزمایشگاه پانگو» که صراحتاً «گروه معادله» را به «آژانس امنیت ملی» آمریکا منسوب می‌کند (دانلود گزارش به زبان انگلیسی) (+)

این تحلیل و اظهارنظرِ صریح در روزهای انتهایی ماه فوریه‌ی سال ۲۰۲۲ علنی شد. اگرچه این سؤال همچنان باقی است که چرا چنین گزارشی با دست‌کم ۵ سال تأخیر منتشر شده است، اما به هر حال، گزارش ۵۶ صفحه‌ای گروه چینی و اتهام‌زنیِ تا این اندازه صریح به دولت آمریکا درباره‌ی انجام حجم وسیعی از حملات سایبریِ غیرمجاز در دهه‌ی گذشته، توسط چینی‌ها سابقه نداشته است. این گزارش، با دقت بالایی جزئیات فنی برنامه‌ی مهاجم و برخی از اهداف آن را معرفی می‌کند. متأسفانه، در میان این اهداف، یکی از مؤسسه‌های تحقیقاتی ایران، ظاهراً نیز دیده می‌شود.

نام ایران در فهرست اهداف «گروه معادله» طبق گزارش «آزمایشگاه پانگو». با توجه به نشانی اینترنتی موجود در این فهرست، به نظر می‌آید «پژوهشگاه ارتباطات و فناوری اطلاعات» زیرمجموعه‌ی وزارت ارتباطات و فناوری اطلاعات، هدف این حمله بوده است