Iranian government hackers in the recent months, repeatedly managed to hack activists / journalist email and social media accounts protected by Two Factor Authentication. The first major incident reported in the media was Imam Ali charity in Iran, although this was not the first by any means. here are their Tweets (in Persian), informing Gmail, Telegram, LinkedIn, and Facebook accounts of a large number of their colleagues in the organization has been hacked:

اطلاعیه شماره ۲

حمله سایبری سازمان دهی شده از طریق پیامک‌های مخابرات

در صبح روز پنجشنبه ۶ اردیبهشت ۹۷، حمله سایبری به اکانتهای تلگرام، جی‌میل، فیسبوک و لینکدین تعداد زیادی از اعضای جمعیت امام علی شکل گرفت.

— جمعیت امام علی (@imamalisociety) April 26, 2018

And in late September, a lawyer has tweeted the same attacks on her Gmail and Telegram accounts, and also many other woman’s rights activists in Iran:

امروز صبح(ساعت 6.30) حساب تلگرام و حیمیل من هک شد( به رغم دو مرحله‌ای بودن)
تلگرامم رو از نو ساختم و همین الان ایمیلم رو پس گرفتم. کدوم نهاد و مرجع و با چه مجوزی ساعت 6.30 به اطلاعات شخصی من دست پیدا کرده؟
پ.ن: تلاش برای هک عده‌ای از فعالین زنان امروز گسترده بوده، #اطلاع‌رسانی https://t.co/xQ1ANlZOBC

— samin cheraghi (@samincheraghi) September 26, 2018

How this possibly happens:

What happens is Iranian security forces have successfully phished or otherwise gained access to a target’s Gmail password. Then they send a 2FA request, usually in very early mornings when target is sleep, using the victim’s phone number. As they have full access to the country’s mobile operator networks, they intercept the 6 digit code sent by Google:

• 

• 

• 

• 

In many cases, they don’t even need the password, as they can also request a password reset request (Again!) by entering the phone number in Gmail.

Once they have access to the email of the victim, they start resetting passwords of their social media accounts, i.e. Twitter, Facebook, Linkedin, etc.

Using the same technique, for instant messengers:

As most instant messenger Apps, i.e. Telegram, Whatsapp and others use SMS to authenticate their users, once attacker can intercept the victims SMS, they can simply authenticate a new session for their instant messengers and read their messages. Very few IMs like Telegram, actually offer a second factor for authentication – in case of telegram, a password – but many do not have this function activated, as it is not required by the platform.

Workarounds:

Iranian users are advised to use offline methods only, i.e TOTP for their second factor authentication, and delete their phone numbers from their google records so it can not be used for password recovery or 2FA fallback. As for the instant messengers, they should activate the 2FA for the platforms that support this, and quit the ones they don’t support 2FA.

Project Ainita will participate at RightsCon 2018, thanks to our friends in AccessNow.

Looking forward to meet our friends and colleagues, whom we share this goal and passion of fighting online censorship and surveillance.

Dear Project Ainita users;

It has been some time! Our blog needs some serious posts and updates for you. On behalf of our small team and as project director, I apologize to you. 2017 was an amazing ride, and it came with all sorts of challenges, many new projects, and ended up in a massive sociopolitical unrest in Iran. All of which kept us so busy, blog updates took a back seat.

But you will see a few posts in the coming days, reporting back to you on some stuff we have been busy with, projects like major improvement of our free VPN network, our research work, our response to the late December events in Iran, and other stuff we want to share with you.

دوستان و همراهان گرامی پروژه آی نیتا:

مدت زمان زیادی بود که وبلاگ پروژه نیاز به چند پست خیلی جدی و به روز رسانی برای شما عزیزان داشت. از طرف تیم کوچک پروژه آی نیتا و به عنوان مدیر پروژه، من از شما عذرخواهی میکنم. سال ۲۰۱۷ سال بسیار پرباری بود، و با چالش های زیادی دست و پنجه نرم کردیم از جمله درگیر شدن در تعداد زیادی پروژه های جدید و در نهایت و در پایان سال هم شلوغی های اجتماعی – سیاسی ایران، که همه آنچنان ما رو مشغول نگه داشتند که به روز رسانی این وبلاگ به عقب افتاد.

ولی ظرف چند روز اینده تعدادی پست جدید در راه هستند، که به شما دوستان گزارش های کوتاهی از پروژه هایی که در آن درگیر بودیم خواهیم داد.  به عنوان مثال بهینه سازی اساسی شبکه وی پی ان رایگان ما، کارهای تحقیقاتی که انجام شده، واکنش به مشکلات پیش آمده شبکه در اعتراض های دیماه و بقیه مواردی که ما رو به خودشون سرگرم نگه داشتند.

Like the years before,Project Ainita team is gonna be at the Internet Freedom Festival in Valencia, Spain. If you are participating, tweet us and lets meet. If you are not, just follow @ProjectAinita and #IFF2017 on twitter for updates. 🙂

Dear friends;

Project Ainita is proud to expand and launch our free services for East Africa. For more information on this new service and connection guides, please visit our service page for East Africa.

Tehran based news website eghtesadonline has published a very interesting infograph, showing ownership of major telecom operators in Iran. All of them are one way or another controlled by the government, and 3/4th of them are controlled by the organizations under the supreme leader, Ayatollah Khameneie.

وب سایت خبری اقتصاد آنلاین جدولی جالب منتشر کرده است که نحوه مالکیت شرکتهای مخابراتی مهم ایران را به تصویر میکشد. همه این شرکتها مستقیم یا غیر مستقیم دولتی هستند و سه چهارم این شرکتها نیز مالکیتشان به سازمان ها و نهاد های زیر نظر رهبر ایران, آیت الله خامنه ای برمیگردد

 

در روز های گذشته مقالاتی بسیارشبیه به هم در سایت های رسمی و نیمه رسمی خبری کشور درباره تلگرام منتشر میشود و شامل شبهه اطلاعات و آمارها و تحلیل هایی از تعداد کاربران ایرانی این شبکه  پیام رسان با تکیه بر منبعی نادرست استخراج و حدث زده شده است.

از کاربران عادی که نمیشود توقع داشت که تحقیقی فنی انجام دهند و اطلاعاتی که در منابع رسمی منتشر میشود را مطالعه میکنند. وضعیت روزنامه نگاری تخصصی در کشور ما هم به جایی رسیده است که مقاله ای با این سطح فنی، برای بار اول در روزنامه دولتی ایران منتشر و بعد از آن سایت به سایت کپی و بازنشر میشود. به عنوان نمونه:

مقاله “راز محبوبیت تلگرام در ایران چیست؟” در بخش فناوری اطلاعات سایت خبر آنلاین

مقاله “راز محبوبیت تلگرام در ایران چیست؟” در سایت الف

در مقاله فوق، نویسنده مطرح میکند که با به مشکل خوردن پیام رسان وایبر و نگرانی های امنیتی، کاربران به استفاده از تلگرام که مکالمات امن و رمزنگاری شده ارائه میکند رو آورده اند. در قدم بعد به روز رسانی های مختلفی که در ماههای اخیر بوسیله تلگرام ارائه شده و برخی از امکانات شبکه های اجتماعی فیلتر شده را به کاربران میدهد نام برده شده است.

ولی قبل از همه و در ابتدای مقاله، این پاراگراف جالب وجود دارد:

ایران نوشت: «لشکر ایرانی‌ها در تلگرام 48 میلیون شد» این خبری است که ابتدای هفته جاری خبرگزاری‌ خبرآنلاین منتشر کرد و برخی دیگر از سایت‌ها نیز این آمار را باز نشر کردند.
این سایت خبری با اتکا به آمار سایت بین‌المللی alexa که میزان مراجعه ایرانیان به دو آدرس telegram.org و telegram.me را به ترتیب45.3 و 80.5 درصد نشان می‌دهد و همچنین با اتکا به آمارهای اعلام شده از سوی مدیرعامل سرویس تلگرام که به تازگی (فوریه 2016) اعلام کرده این شبکه پیام‌رسان 100 میلیون کاربر فعال دارد و با انجام چند فرمول ریاضی، به این نتیجه رسیده است که تعداد کاربران ایرانی این شبکه نزدیک به 45 میلیون نفر است.

 نویسنده با بررسی رده بندی دو دامنه telegram.org و telegram.me در سایت رتبه بندی الکسا و کل آمارکاربران اعلام شده ازسوی تلگرام را تقصیم بر درصد دسترسی به این سایتها در ایران کرده و به عدد ۴۵ میلیون نفر رسیده است.

سایت الکسا با توجه به متد های مختلف و همینطور بازخورد از نرم افزار Alexa Toolbar که در مرورگرها نصب میشود، ترافیک وب سایت مورد نظر را تخمین میزند. به کار گیری چنین منبعی برای تایین تعداد کاربران ایرانی به کل اشتباه است چون این سایت، ترافیک وب را اندازه گیری کرده و این ترافیک ربطی به ترافیک سرور های اصلی خدمات دهنده به سکوی پیام رسان تلگرام ندارد.

با نصب یک نرم افزار ساده، میتوان دید نرم افزار تلگرام با آی پی های دیگری به جز آی پی های وب سرور این شرکت ارتباط برقرار میکنند که البته همگی در همان گروه آی پی ها – Subnet هستند:

Prefix	First Seen	Last Seen
91.108.56.0/22	2016-04-07 08:00:00 UTC	2016-04-21 08:00:00 UTC
91.108.4.0/22	2016-04-07 08:00:00 UTC	2016-04-21 08:00:00 UTC
2001:67c:4e8::/48	2016-04-07 08:00:00 UTC	2016-04-21 08:00:00 UTC
149.154.164.0/22	2016-04-07 08:00:00 UTC	2016-04-21 08:00:00 UTC
149.154.160.0/20	2016-04-07 08:00:00 UTC	2016-04-21 08:00:00 UTC

منبع: بانک اطلاعاتی مرکز هماهنگی شبکه رایپ

در این میان برای دیدن ترافیک مبدا و مقصد از این آی پی ها هیچ راهی وجود ندارد به جز اینکه شما متولی ترافیک مقصد (شرکت تلگرام)‌ یا متولی ترافیک مبدا (شرکت ارتباطات زیرساخت ایران) باشید. حتی اگر مقدار ترافیک به این سرورها را هم در اختیار داشته باشید، باز هیچ راه نسبتا دقیقی برای محاسبه تعداد کاربران از ترافیک سرورها وجود ندارد و تنها جایی که میتواند چنین عددی اعلام کند، شرکت تلگرام است.

نکات جالب دیگر:

حالا اطلاعات جالب دیگری نیز به چشم میخورد، مثلا اینکه تمام این آی پی ها (و در نتیجه سرور های خدمات رسان) برخلاف تصور مرسوم نه در روسیه، که در انگلیس و هلند قرار دارند:

Announced Prefix	Countries (ISO-3166)
149.154.160.0/20	GB
149.154.164.0/22	GB
91.108.4.0/22	NL
91.108.56.0/22	NL

منبع: بانک اطلاعاتی مرکز هماهنگی شبکه رایپ

 شرکت متولی این سرورها، یعنی شرکت Telegram Messenger LLP شرکتی است نه روسی، بلکه انگلیسی که در آدرس Suite 2, 23-24 Great James Street, London, WC1N3ES, UK ثبت شده است.

منبع: بانک اطلاعاتی مرکز هماهنگی شبکه رایپ

در پیج ویکیپدیای بنیان گذار این شبکه، آقای Pavel Durov نیز، ذکر شده که این کارآفرین روسی الاصل، در سال ۲۰۰۶ بزرگترین شبکه اجتماعی روسی به نام VKontakte را راه اندازی کرده که رقیب داخلی و روسی Facebook به حساب میاید. بعد از این موفقیت و عدم همکاری برای ارایه اطلاعات کاربران با پلیس روسیه،  با انواع فشارها سهام کل شرکت و همچنین سهام شخصی ایشان در شرکت VKontakte  خریداری شده و آقای Durov از سمت مدیر عاملی این شرکت برکنار شده اند. ایشان سپس روسیه را ترک کرده، شهروندی جزیره Saint Kitts and Nevis را ابتیاع و در انگلیس شرکت جدیدی به اسم تلگرام  پایه گذاری کرده است.

منبع: صفحه انگلیسی پاول دوورف در ویکیپدیا