وی پی ان ایرانی 20Speed VPN به جاسوس افزار آلوده است

محدودیت اینترنت در چند ماهه‌ی اخیر، موجب شده تا سیلی از کاربران روانه برنامه‌های تغییر آی‌پی یا همان VPN ها شوند. همین موضوع مخاطرات آلوده شدن به بدافزارها را افزایش داده است؛ طوری که به تازگی شرکت امنیت سایبری Bitdefender از وجود جاسوس‌افزار در بطن یکی از وی پی ان های ایرانی محبوب خبر داده است.

به گفته بیت دیفندر، مصرف وی پی ان ها در چند سال گذشته شاهد رشد انفجاری بوده است. این ابزارها به کاربران کمک می‌کنند ترافیک اینترنتی خود را خصوصی نگه داشته، به صورت ناشناس وب‌گردی کنند و محدودیت‌ها یا سانسور را دور بزنند.

چنین ویژگی‌هایی و وجود محدودیت‌های اعمال شده روی اینترنت در ایران از طرفی دیگر، به عاملی برای جذابیت بیش از پیش استفاده از VPN بدل شده است. با این حال، هجوم به این برنامه‌ها و بسته شدن پی در پی آی‌پی‌های خارجی، سبب شده تا کاربران مجبور به امتحان کردن راه‌های مختلف شوند؛ جایی که سر و کله بدافزارها پیدا می‌شود.

در همین راستا، شرکت امنیتی بیت دیفندر از وجود یک جاسوس‌افزار در یکی از وی پی ان های محبوب ایرانی خبر داده است. این شرکت در خصوص یافته خود، این گونه اظهار دارد:

در طول تجزیه و تحلیل معمول عملکرد تشخیص، ما متوجه دسته‌ای از فرآیندها شدیم که الگوی یکسانی را در نام فرآیندها رعایت می‌کردند. این نام‌ها با sys، win یا lib شروع می‌شوند و پس از آن کلمه‌ای که عملکرد را توصیف می‌کند مانند bus، crt، temp، cache، init آمده و در آخر به 32.exe ختم می‌شود.

بعدتر متوجه شدیم که فایل‌های.bat  و بارهای دانلود شده از یک قرارداد نامگذاری پیروی می‌کنند. تحقیقات بیشتر نشان داد که این اجزا بخشی از یک برنامه نظارتی به نام SecondEye  است که در ایران توسعه یافته و به طور قانونی از طریق وب‌سایت توسعه دهنده توزیع شده است. ما همچنین متوجه شدیم که برخی از اجزای نرم افزارهای جاسوسی قبلاً در مقاله منتشر شده توسط Blackpoint توضیح داده شده است. در این مقاله، محققان به خطرات نرم افزار نظارتی توزیع شده قانونی با رفتارهای مخرب اشاره کرده‌اند.

شرکت ایرانی توسعه‌دهنده SecondEye این برنامه را به عنوان ابزاری در جهت نظارت بر عملکرد دستگاه خصوصاً به شکل از راه دور معرفی و به فروش رسانیده است. هرچند وب‌سایت این مجموعه در حال حاضر مشغول به فعالیت نیست اما اشتراک محصولات آن از حدود 99 تا 150 دلار فروخته می‌شده است.

اما نکته قابل توجه اینجاست که جدای از مخاطرات ذکر شده توسط بلک پوینت مبنی بر استفاده از ابزارهای مانیتورینگ سیستم، شرکت Bitdefender در بررسی‌های خود یک کمپین بدافزار کشف کرده که از اجزای SecondEye برای جاسوسی از کاربران 20Speed VPN، یک سرویس VPN توسعه یافته در ایران، از طریق نصب‌کننده‌های تروجانی شده استفاده می‌کند.

به نقل از بیت دیفندر، این کمپین در ماه مه 2022 آغاز، اما شناسایی آن در ماه اوت و سپتامبر (مرداد و شهریور) به اوج خود رسید.

این جاسوس افزار که EyeSpy نام دارد، توانایی به خطر انداختن کامل حریم خصوصی آنلاین را از طریق keylogging و سرقت اطلاعات حساس مانند اسناد، تصاویر، کیف پول‌های رمزنگاری شده و گذرواژه‌های اینترنتی را داراست.

این در حالی است که مجموعه 20Speed VPN از سال 2015 کار خود را آغاز کرده است و محدودیت‌های اخیر طی سه ماه گذشته، به خودی خود عامل جذب بیش از 900 هزار بازدید روی سایت این برنامه و بیش از 100 هزار نصب روی پلی‌استور گوگل بوده‌‌اند!

آیا شما هم تجربه استفاده از این نرم‌افزار تغییر آی‌پی را داشته‌اید؟ در این صورت با بررسی‌های منتشر شده از بیت دیفندر، باید نسبت به حفظ حریم خصوصی خود سریعاً اقدام کنید.