به گزارش گرداب به نقل از سایبربان پس از انتشار 400 گیگ اطلاعات از هکینگتیم که شامل ایمیلها، سندها، جاسوسیها و آسیبپذیریهای استفادهشده توسط این گروه بود، با بررسی ایمیلها مشخصشده است در سال 2013، هکینگتیم، فضای آدرس اینترنتی مربوط به آیاسپیها را سرقت کرده است.
این آیاسپیها از آن دست آیاسپیهایی هستند که در اصطلاح به آنان دوستدار هرزنامه میگویند. یعنی قوانین خیلی سختی برای مبارزه با ارسال هرزنامه ندارند. در لیست آیاسپیهای دوستدار هرزنامه، نام آیاسپیهای بزرگ هم دیده میشود!
این سرقت به این دلیل پیادهسازی شد تا به پلیس نظامی ملی ایتالیا در جاسوسی کمک شود. همچنین این گروه هک، بدافزارهای جاسوسی خود را به هرکه در سراسر جهان خواستار آن است میفروشد که ازجمله مشتریانش دولتها و سازمانهای جاسوسی هستند. این گروه بسیاری از بدافزارهای کنترل از راه دور (RAT) خود، که بانام Remote Control System یا RCS شناخته میشود، به این سازمانها ازجمله گروه عملیات ویژه یا ROS میفروشد. ROS هم این بدافزارها را بر روی هر سامانهای که علاقهمند باشد نصب میکند.
هکینگتیم برای ROS، یک شبکه جاسوسی قدرتمند پیادهسازی کرده است که دارای چندین وظیفه مهم است. این وظیفهها بسیار شبیه هدفهای هکرهای کلاهسیاه و اسپمرها است تا باتنت خود را حفظ کنند.
بر اساس سندهای موجود، در سال 2013 هکینگتیم، کنترل سرور ROS را در آیاسپی Santrex مخفی کرده بود. این آیاسپی معمولاً توسط هکرهای اسپمر استفاده میشود. پسازاین کار و مدتی بعد، آیاسپی Santrex به دلیل مشکلات شبکه داخلی، دیگر نتوانست سرویسی ارائه دهد. بدین ترتیب آیپی 46.166.163.0/24 از کار افتاد و ROS کنترل خود به سرورش بانام Anonymizer در آیپی 46.166.163.175 را از دست داد. همچنین بر اساس ایمیلهای منتشرشده سرورCollector سرور پشتیبان Anonymizer و ارسالکننده بهروزرسانیهای لازم به آن بود و برای ROS بهمنظور بازیابی اطلاعات مهم بود.
به دلیل قطع Stantrex، گروه ROS کنترل سرور شبکه جاسوسی خود را از دست داد و به دنبال راهی برای بازگشت آن بود. با گزارش این موضوع به هکینگتیم، نقشه جدیدی بهمنظور دسترسی دوباره به این سرور پیادهسازی شد. این نقشه، سرقت مسیریابی BGP بود. بدین ترتیب با تغییر مسیر ترافیک داده خود میتوانستند زیرساخت سامانه هک خود را دوباره بازیابی کنند.
کار بدینصورت بود که باید آیپی 46.166.163.0/24 دوباره قابلدسترسی شود. این کار با انتشار این آیپی در شبکه BGP عملی میشد و AS آیاسپی Santrex با شماره 57668 این کار را انجام میداد. با خارج شدن این AS، باید AS دیگری این وظیفه را انجام میداد.
بر اساس گزارش ویکیلیکس، ROS در همکاری با شبکه ایتالیا با AS به شماره 31034 بانام Aruba S.p.A، توانست آیپی 46.166.163.0/24 را دوباره به شبکه BGP اعلام کند. بدین ترتیب ROS توانست به سرور Anonymizer با آیپی 46.166.163.175 در 22 اوت دسترسی داشته باشد. ROS همچنین مطمئن شد که دیگر ISPها این آیپی را فیلتر نکنند.
همانطور که در شکل زیر مشخص است، پس از اعلام آیپی موردنظر AS6939 که با Aruba S.p.A قبلاً جفت (peer) شده بود، آن را پذیرفت.