گزارش‌ها/تهدید امنیت پیشرفته

«تأمین‌کننده استعداد» برای گروه‌های سایبری جمهوری اسلامی

​​نقش آکادمی راوین در ارتقا توانمندی‌های سایبری تهاجمی وزارت اطلاعات و سپاه پاسداران انقلاب اسلامی
«تأمین‌کننده استعداد» برای گروه‌های سایبری جمهوری اسلامی
تهدید امنیت پیشرفته۱۴۰۴/۰۸/۰۶

نشت تازه داده‌ها از آکادمی راوین، آموزشگاهی که به‌عنوان تأمین‌کننده استعداد برای عملیات‌های سایبری وزارت اطلاعات و دست‌کم بخشی از شبکه‌های اطلاعات سپاه تصویر شده، فرضیه‌های سال‌های گذشته را به شواهد مستند پیوند می‌زند: پایگاه داده ثبت‌نام و حضور در دوره‌ها امنیت سایبری این آموزشگاه ، هویت طیف وسیعی از دانش‌جویان و کارآموزان و پیوند برنامه‌های آموزشی تهاجمی با TTPهای قابل‌مشاهده در عملیات‌های APT ایرانی را علنی کرده است.

یکی از فعالان و کارشناسان حوزه امنیت سایبری در ایران، نریمان غریب در ۲۳ اکتبر ۲۰۲۵ (۱ آبان ۱۴۰۴) خبر رخداد و مضامین پایگاه داده را منتشر کرد (لینک، بایگانی)؛ این آموزشگاه نیز در بیانیه‌ای در تلگرام، اصل وقوع نفوذ و افشای نام کاربری و شماره تماس بخشی از کاربران را تلویحا تایید کرد، هرچند مدعی شد «بخشی از اسامی نادرست» است. این افشا دامنه ریسک همکاری با راوین را برای جامعه‌ی فنی ایران و نیز پیگیری‌های حقوقی-تحریمی در خارج از کشور افزایش می‌دهد.

نشت اطلاعات آکادمی راوین

آموزشگاه آکادمی راوین که در سال ۲۰۱۹ تاسیس شده و ظاهرا به آموزش همه‌جانبه امنیت سایبری می‌پردازد، اذعان دارد پلتفرم آنلاین آن هدف حمله قرار گرفته و بخشی از داده‌های کاربرانش به بیرون درز کرده است. بر اساس بیانیه رسمی که راوین در ۲۲ اکتبر در کانال تلگرام خود منتشر کرد، این حمله یکی از سامانه‌های برخط آموزشگاه را هدف گرفت و به گفته آنان «با هدف خدشه‌دار کردن اعتبار این آکادمی و تضعیف امنیت ایران» صورت گرفته است. راوین زمان‌بندی این نفوذ را مشکوک دانست، زیرا چند روز پیش از برگزاری رویداد ملی «المپیک فناوری» رخ داد که قرار بود از ۵ تا ۸ آبان ۱۴۰۴ در پارک فناوری پردیس تهران برگزار شود. در بیانیه راوین همچنین ضمن اشاره به افشای نام، شماره تلفن و نام کاربری برخی از شرکت‌کنندگان، تصریح شده که مخالفان جمهوری اسلامی قصد دارند با چنین اقداماتی این رویداد ملی را تحت‌الشعاع قرار دهند.

این داده‌ها شامل لیست بیش از هزار نفر از افرادی است که در دوره‌های فنی آکادمی راوین ثبت‌نام کرده‌اند. اطلاعات فاش‌شده حاوی نام، نام خانوادگی، شماره تماس، شناسه‌ی کاربری تلگرام و حتی در برخی موارد کد ملی افراد است. بنا به گزارش غریب، فایل اکسل دریافتی حتی جزئیات دوره‌ها و کلاس‌های گذرانده‌شده توسط هر فرد را نیز دربر داشت، هرچند او به دلایل حفاظتی از انتشار عمومی اطلاعات دوره‌های افراد خودداری کرده است. افشای این پایگاه‌داده تصویر بی‌سابقه‌ای از شبکه‌ی نیروی انسانی تحت آموزش راوین ارائه می‌دهد؛ شبکه‌ای که پیش‌تر ماهیت و وسعت دقیق آن فقط برای نهادهای امنیتی جمهوری اسلامی معلوم بود.

آکادمی راوین؛ پوشش آموزشی یا بازوی پنهان وزارت اطلاعات؟

آکادمی راوین (Ravin Academy) که نام رسمیش «آوای هوشمند راوین» است، یک موسسه خصوصی آموزشی معمولی در حوزه امنیت سایبری نیست. شواهد متقن نشان می‌دهد که این مؤسسه در قلب اکوسیستم سایبری تهاجمی جمهوری اسلامی ایران قرار دارد و به عنوان یک «مرکز رسمی توسعه ظرفیت تهاجمی» عمل می‌کند. راوین با استفاده از یک پوشش عمومی مبتنی بر آموزش‌های فنی و ترویج هک قانون‌مند، نیروی انسانی عملیاتی مورد نیاز گروه‌های سایبری وابسته به دولت، به ویژه وزارت اطلاعات و سازمان اطلاعات سپاه پاسداران انقلاب اسلامی را جذب، آموزش و تامین می‌کند.

دفتر مرکزی این آکادمی در مرکز تهران (تخت طاووس، امیر اتابک) قرار دارد و با داشتن وب‌سایت رسمی، تبلیغات عمومی و ثبت حقوقی شفاف، چهره‌ای قانونی و موجه از یک کسب‌وکار آموزشی به نمایش گذاشته است. اما واقعیت پنهان پشت این ظاهر فریبنده چیز دیگری است. بنابر ارزیابی‌های اطلاعاتی متعدد غرب و نیز اسناد تحریم‌های بین‌المللی، آکادمی راوین بخشی از زیرساخت عملیاتی سایبری جمهوری اسلامی است. این موسسه به عنوان یک پوشش آکادمیک، ماموریت دوگانه‌ای را دنبال می‌کند: از یکسو آموزش مهارت‌های سایبری (که در ذات خود مشروع است) و از سوی دیگر استخدام، سازماندهی و پشتیبانی فنی هکرهای وابسته به حکومت برای پیشبرد حملات سایبری دولتی.

بر اساس اسناد وزارت خزانه‌داری آمریکا، دو بنیان‌گذار آکادمی راوین (سید مجتبی مصطفوی و فرزین کریمی مزلقانچای) ماموران وزارت اطلاعات بودند که در اواخر سال ۲۰۱۹ (بهمن ۱۳۹۸) موسسه «آوای هوشمند راوین» را ثبت کردند تا در پوشش آن، گروه‌های هکری وابسته به نظام را سازماندهی و هدایت کنند. وزارت خزانه‌داری تصریح کرده این آکادمی افراد را در زمینه امنیت سایبری و هک آموزش می‌دهد و سپس از بین کارآموزان برای وزارت اطلاعات نیرو جذب می‌کند. در واقع تأسیس راوین یک ابتکار حساب‌شده از سوی دستگاه اطلاعاتی بوده، نه صرفا سوءاستفاده از یک کسب‌وکار موجود. چنین مدل دومنظوره‌ای برای حکومت مزایای زیادی داشته است: یک ساختار قانونی که امکان انکار را فراهم می‌کند، فرصت گسترده برای شناسایی استعدادها در خلال دوره‌های آموزشی ایجاد می‌کند، و پوشش موجهی برای آموزش مهارت‌های تهاجمی مشکوک در ظاهر یک برنامه مشروع به دست می‌دهد.

به بیان دیگر، دانشجویان با این تصور ثبت‌نام می‌کنند که در حال دریافت آموزش حرفه‌ای و قانونی در حوزه امنیت سایبری هستند و البته چنین آموزشی هم دریافت می‌کنند اما در پشت صحنه، وزارت اطلاعات است که افراد مستعد را گلچین کرده و برای عملیات سایبری جمهوری اسلامی تربیت می‌کند. این آمیزش آموزش و عملیات اطلاعاتی، استراتژی کلان سایبری ایران را منعکس می‌سازد: ترکیب جلوه قانونی و علمی با ماموریت مخفی امنیتی.

گستره فعالیت‌ها و خدمات سایبری آکادمی راوین

دامنه فعالیت‌های اعلام‌شده و مستند آکادمی راوین نشان می‌دهد این نهاد صرفاً یک آموزشگاه نیست، بلکه کارکردهای متنوعی در خدمت پروژه‌های سایبری حکومت دارد. طبق بیانیه‌های رسمی غربی، آکادمی راوین علاوه بر آموزش و جذب نیرو، انواع خدمات سایبری را به نهادهای امنیتی ایران ارائه می‌کند:

  • آموزش و مشاوره امنیت اطلاعات (دوره‌های دفاع سایبری و بلو تیم)
  • برگزاری رزمایش‌ها و مأموریت‌های حمله سایبری (رد تیم)، از جمله آزمون نفوذ و شبیه‌سازی تهدید
  • انجام تحلیل‌های جرم‌یابی دیجیتال و فارنزیک، و آموزش بدافزارشناسی
  • ارزیابی امنیتی و حسابرسی سامانه‌ها، شکار تهدیدات (Threat Hunting) و پایش آسیب‌پذیری‌ها
  • توسعه ابزارهای هک و آزمایش نفوذ (به‌ویژه در حوزه موبایل)، مهندسی معکوس بدافزارها و پژوهش در زمینه اکسپلویت‌ها

این فهرست گسترده نشان می‌دهد که آکادمی راوین عملاً نقش یک بازوی فنی و پشتیبانی عملیاتی را برای دستگاه‌های اطلاعاتی ایفا می‌کند. گزارش وزارت خزانه‌داری آمریکا تأکید می‌کند راوین «در شناسایی و تربیت هکر برای وزارت اطلاعات و حتی سپاه پاسداران نقش دارد، و هکرهای آموزش‌دیده در این مجموعه در اختلال ارتباطات معترضان ضد‌حکومتی و سرکوب اعتراضات دست داشته‌اند، لذا این نهاد در نقض جدی حقوق بشر در ایران سهیم است». همچنین طبق اعلام دولت بریتانیا، راوین مستقیماً یا به‌نمایندگی از وزارت اطلاعات، در عملیات سایبری تهاجمی نیز مشارکت دارد. به عبارت دیگر، راوین تنها نیروی انسانی تأمین نمی‌کند، بلکه خود بخشی از چرخه اجرای عملیات سایبری جمهوری اسلامی است.

بنیان‌گذاران و پیوندها با گروه‌های هکری دولتی

هویت گردانندگان اصلی آکادمی راوین مؤید نقش امنیتی آن است. تحقیقات رسانه‌ای مستقل و گزارش‌های درز‌یافته نشان داده‌اند که هر دو بنیان‌گذار این آکادمی دارای سوابق عملیاتی در گروه‌های پیشرفته سایبری ایران هستند.

  • فرزین کریمی مزلقانچای (معروف به فرزین K.) پیشتر از رهبران گروه APT موسوم به MuddyWater (لقب در طبقه‌بندی مایکروسافت: Yellow Nix) بوده و یک مأمور باسابقه وزارت اطلاعات محسوب می‌شود. گزارش‌های افشاگرانه در سال ۲۰۱۹ (توسط گروه هکری Green Leakers) برای نخستین بار او را به عنوان سرکرده MuddyWater و عامل وزارت اطلاعات معرفی کردند. گفته می‌شود او پیش از راه‌اندازی راوین، مدتی در شرکت «نورانت» مرتبط با سپاه پاسداران فعالیت داشته و ارتباط نزدیکی با واحدهای سایبری سپاه نیز برقرار کرده بود. گروه MuddyWater از حدود ۲۰۱۷ در حوزه جاسوسی سایبری فعال بوده و عملیات گسترده‌ای را عمدتاً در خاورمیانه و فراتر از آن انجام داده است. حضور چنین فردی در راس آکادمی راوین نشان می‌دهد که این نهاد از ابتدا با دانش عملیاتی یک گروه APT حکومتی شکل گرفته است.
  • سید مجتبی مصطفوی (معروف به مجتبی M.) هم‌بنیان‌گذار و مدیرعامل آکادمی راوین است که او نیز از نیروهای وزارت اطلاعات به‌شمار می‌رود. در سال ۲۰۱۹ یک گروه هکتیویستی به نام «لب‌دوختگان» (Lab Dookhtegan) اطلاعاتی را منتشر کرد که مجتبی را عضو گروه APT موسوم به OilRig یا APT34 و مامور امنیتی معرفی می‌کرد. OilRig از اواسط دهه ۲۰۱۰ از مهم‌ترین گروه‌های هکری وابسته به ایران بوده که در زمینه جاسوسی سایبری، حملات زنجیره تأمین و خرابکاری فعالیت داشته است. نقش مصطفوی در رأس مدیریت آموزشگاه راوین که با تحریم‌های آمریکا، بریتانیا و اتحادیه اروپا نیز مشخصاً به خاطر همین سوابق مواجه شد حاکی از آن است که راوین برای وزارت اطلاعات یک پایگاه رسمی تربیت نیرو با مدیریت افراد عملیاتی مجرب بوده است.

وجود این دو چهره کلیدی از دل گروه‌های APT در مدیریت آکادمی راوین، به گفته کارشناسان امنیتی، تأیید می‌کند که این آکادمی چیزی فراتر از یک موسسه آموزشی است و بخشی از امتداد زنجیره عملیات سایبری حکومت محسوب می‌شود. گزارش تحلیلی PwC در سال ۲۰۲۲ نیز اشاره می‌کند که پیوندهای حرفه‌ای و شخصی متعدد بنیان‌گذاران راوین با دیگر بازیگران سایبری ایران نشان‌دهنده یک اکوسیستم درهم‌تنیده و کوچک است که در آن افراد بین شرکت‌های ظاهرا خصوصی و تیم‌های عملیاتی جابه‌جا می‌شوند. این شبکه پیچیده کار انتساب و ردیابی فعالیت هکرهای ایرانی را دشوار می‌سازد، چرا که مرز بین «آموزش‌دهنده» و «عامل عملیات» در مورد راوین عملاً از بین رفته است.

علاوه بر بنیان‌گذاران، برخی کارمندان و مدرسان آکادمی نیز مستقیماً با گروه‌های هکری در ارتباط بوده‌اند. برای نمونه، هویت واقعی یکی از مدرسان راوین با نام مستعار «پارسا.س» مشخص شده که حسین فرد‌سیاه‌پوش نام دارد. او عضو هیئت‌مدیره موسسه راوین و همزمان رهبر گروه باج‌افزاری دارک‌بیت است. گروه دارک‌بیت اوایل سال ۲۰۲۳ با یک حمله باج‌افزار به دانشگاه فنی «تخنیون» در حیفا (اسرائیل) خبرساز شد. پیشتر تصور می‌شد دارک‌بیت یک گروه هکتیویستی مستقل است، اما تحقیقات شرکت‌های اطلاعات سایبری نشان دادند که این گروه در واقع یک پوشش برای عملیات MuddyWater بوده و مستقیماً توسط عوامل وزارت اطلاعات اداره می‌شود. ایران‌اینترنشنال نیز در سال ۲۰۲۴ تصویر و هویت واقعی حسین فردسیاه‌پوش را منتشر کرد که تایید می‌کرد وی همان مغز متفکر دارک‌بیت و از پرسنل کلیدی آکادمی راوین است. حضور چنین افرادی در شبکه راوین نمونه دیگری است از این‌که کادر آموزشی و مدیریتی آکادمی عملاً همان هکرهای عملیاتی حکومتی هستند که با تغییر نقاب، بخشی از پروژه پرورش نسل بعدی مهاجمان سایبری شده‌اند.

شواهد پیوند آموزش‌های راوین با حملات سایبری

یکی از پرسش‌های کلیدی این است که آیا دانش‌آموختگان راوین واقعاً در حملات سایبری دولتی به‌کار گرفته می‌شوند؟ شواهد فنی متعدد نشان می‌دهد پاسخ مثبت است. یکی از مهم‌ترین یافته‌های فنی که ماهیت راوین را آشکار ساخت، تحلیل «معلم پیشرفته و ماندگار» (Muddy Advanced Persistent Teacher) بود که در گزارش‌های اطلاعاتی تهدیدات سایبری (CTI) شرکت‌هایی مانند PwC و مایکروسافت ارائه شد. این گزارش‌ها به گروه MuddyWater (معروف به Yellow Nix) می‌پرداختند و شباهت‌های غیرقابل انکاری میان ابزارهای داخلی مورد استفاده این گروه و مواد آموزشی که توسط راوین ارائه می‌شد، یافتند.

نتیجه‌گیری تحلیلگران در آن زمان این بود که، گرچه یک پیوند سازمانی مستقیم فوری تأیید نشد، اما ارزیابی آن‌ها این بود که گروه Yellow Nix «به احتمال زیاد» با مواد آموزشی راوین آشنا بوده‌اند و این امکان وجود دارد که این گروه از دانشجویان یا فارغ‌التحصیلان سابق راوین تشکیل شده باشد. این شواهد فنی، انتزاع حقوقی تحریم‌ها را به واقعیت عملیاتی پیوند داده و ثابت می‌کند که راوین یک تئوریسین نیست، بلکه یک تولیدکننده مستقیم اپراتورهای فعال APT است. این فرآیند آموزشی، دانش را از یک فعالیت آکادمیک جدا کرده و آن را به یک عملیات دولتی متمرکز برای ظرفیت‌سازی تهاجمی تبدیل می‌کند.

در نوامبر ۲۰۲۲، شرکت امنیتی PwC گزارش تهدیدی منتشر کرد که در آن ارتباط مستقیم بین محتوای آموزشی آکادمی راوین و عملیات واقعی گروه‌های APT ایرانی مستند شده بود. این تیم تحقیقاتی با بررسی مخازن عمومی گیت‌هاب راوین متوجه شد که ابزارها و کدهای به‌اشتراک‌گذاشته‌شده توسط مدرسان راوین حاوی نمونه کدهای اکسپلویت برخی آسیب‌پذیری‌های روز بوده است. به طور مشخص، یک کد اثبات مفهوم (PoC) برای آسیب‌پذیری CVE-2020-0688 در مخزن راوین پیدا شد که کارشناسان متوجه شدند دقیقا با همان روش و نام‌گذاری در حملات گروه MuddyWater در سال ۲۰۲۰ استفاده شده است. همچنین یک وبینار آموزشی توسط راوین در ۲۳ سپتامبر ۲۰۲۰ برگزار شده بود که به صورت عملی بهره‌جویی از آسیب‌پذیری خطرناک Zerologon یا CVE-2020-1472 را نمایش می‌داد. نکته جالب آنکه هم‌زمان با همین وبینار، گروه MuddyWater شروع به سوءاستفاده از Zerologon در حملات خود کرد. همپوشانی زمانی میان آموزش‌های راوین و به‌کارگیری همان ضعف‌ها در حملات، به گفته PwC، تصادفی نیست بلکه نشان می‌دهد اپراتورهای گروه‌های تحت امر وزارت اطلاعات به احتمال زیاد از دوره‌های راوین بهره‌مند شده یا حتی جزو دانشجویان آن بوده‌اند.

این یافته‌ها نشان می‌دهد آموزه‌های تهاجمی راوین مستقیماً به میدان نبرد سایبری منتقل می‌شود. بر اساس نتیجه‌گیری PwC، احتمالا برخی اعضای گروه MuddyWater یا دیگر گروه‌های مرتبط با وزارت اطلاعات، از دانش‌آموختگان پیشین همین آکادمی بوده‌اند. تحلیل‌گران امنیتی این الگو را تایید می‌کنند که در اکوسیستم تهدیدات سایبری ایران، افراد مرتبا میان شرکت‌های آموزشی/پژوهشی و واحدهای عملیاتی جابجا می‌شوند و همین موضوع انتساب حملات را پیچیده می‌کند. در واقع آکادمی راوین با ایفای نقش یک حلقه واسط میان آموزش و عملیات، به رژیم ایران امکان می‌دهد دانش تهاجمی را به سرعت به نیروی میدانی تزریق کند.

از منظر اهداف مورد حمله نیز ردپای فارغ‌التحصیلان راوین دیده می‌شود. بنا بر اطلاعات افشاشده، تحت هدایت فنی آکادمی راوین چندین حمله سایبری علیه نهادهای دولتی خارجی طراحی یا پشتیبانی شده است. مهم‌ترین موارد ثبت‌شده شامل حملات به وزارتخانه‌های خارجه و دفاع ترکیه و نیز نفوذ به سازمان‌ها و نهادهایی در کشورهای ایتالیا، الجزایر، اردن، عربستان سعودی، عراق و پاکستان است. هرچند جمهوری اسلامی همواره نقش خود را در این قبیل رخدادها انکار کرده، اما گزارش ایران‌اینترنشنال افشا کرد که آکادمی راوین نقش فعال در آماده‌سازی فنی این عملیات‌ها داشته است. این واقعیت که ظرف چند سال از تاسیس، دامنه اهداف مورد توجه راوین از مخالفان داخلی تا وزارتخانه‌های خارجی و مؤسسات علمی در چند قاره گسترده شده، خود گواهی بر جاه‌طلبی سایبری رژیم ایران و اتکای آن به نیروی متخصص پرورش‌یافته در چنین مراکزی است.

بررسی دقیق سرفصل‌های آموزشی عمومی راوین، تمرکز این مؤسسه را بر تربیت نیروی تهاجمی تخصصی (Red Team) تأیید می‌کند. در حالی که برخی دوره‌ها مانند MCSA یا SANS SEC504 (که برای واکنش به حوادث طراحی شده) در ظاهر دفاعی یا زیرساختی به نظر می‌رسند، اما حتی دوره SEC504 نیز هدف خود را «قابلیت پیاده‌سازی حملات، شناسایی و جلوگیری از آنها در سناریوهای مختلف» اعلام می‌کند.

با این حال، هسته تهاجمی آموزش‌های راوین در دوره‌هایی مانند:

  • Adversarial Web Attacks & Tactics for Red Teams: این دوره بر حملات وب با تمرکز بر تاکتیک‌های MITRE ATT&CK متمرکز است و شامل تحلیل پرونده‌های حملات واقعی گروه‌های APT می‌شود. تحلیل پرونده‌های APT برای تربیت جاسوسان سایبری که بتوانند تکنیک‌های پیچیده را بازتولید کنند، یک جزء حیاتی است.
  • **Network Penetration Testing: **این دوره سرفصل‌های دقیقی را پوشش می‌دهد که برای عملیات‌های APT بلندمدت حیاتی هستند: حرکت جانبی (Lateral Movement) و Credential Harvesting در Active Directory، Post-Exploitation (پس از بهره‌برداری)، Data Exfiltration (خروج داده‌ها)، و مهم‌تر از همه، Covering Tracks (پاکسازی شواهد).

تربیت متخصصان در این حوزه‌ها نشان می‌دهد که هدف، صرفاً توانایی هک کردن یک سیستم نیست، بلکه پرورش اپراتورهایی است که بتوانند عملیات‌های جاسوسی دولتی را مطابق با استانداردهای جهانی مدیریت کنند. آموزش استفاده از چارچوب MITRE ATT&CK یک تلاش آشکار برای وارد کردن بهترین شیوه‌های عملیاتی تهاجمی در ساختار دولتی و تضمین کیفیت عملیات است.

جذب استعدادها: از مسابقات تا همکاری‌های علمی

یکی از ابزارهای مهم راوین برای شناسایی و جذب نیروهای بااستعداد، برگزاری رقابت‌های سایبری و رویدادهای آموزشی است. این آکادمی طی سال‌های اخیر چندین مسابقه موسوم به «CTF» (کپچر د فلگ) در سطح ملی برگزار کرده است. برای مثال، در سال ۲۰۲۴ دو رویداد بزرگ توسط راوین برگزار شد: نخست مسابقات Ravin CTF در بهمن و اسفند ۱۴۰۲ و سپس مسابقه گسترده‌تری با عنوان «المپیک فناوری» در مهر و آبان ۱۴۰۳. این مسابقات که به صورت عمومی و با مشارکت گسترده دانشجویان و متخصصان جوان برگزار می‌شود، در واقع ترفندی برای غربال کردن برترین نفرات در شرایط رقابتی واقعی است. روش برگزاری شامل حل چالش‌های پیچیده حمله و دفاع سایبری در یک محیط بازی‌گونه است که ضمن ایجاد انگیزه، مهارت شرکت‌کنندگان را در شرایط نزدیک به دنیای واقعی می‌سنجد. گزارش‌های اطلاعاتی غربی از سال‌ها پیش (مثلا یک گزارش HP در ۲۰۱۴) به این رویکرد بازی‌سازی در جذب هکر توسط حکومت ایران اشاره کرده‌اند. آکادمی راوین نیز با همین الگو، مسابقات گسترده برگزار می‌کند تا بهترین استعدادها را شناسایی و به خدمت بگیرد.

نمونه بارز این رویکرد، رویداد المپیک فناوری ۱۴۰۳ بود که تحت پوشش معاونت علمی ریاست‌جمهوری و در همکاری با پارک فناوری پردیس اجرا شد. ایران‌اینترنشنال در گزارشی اختصاصی فاش کرد که آکادمی راوین مجری پشت‌پرده این رویداد بوده و در قالب یک مسابقه با آزمون‌های حمله و دفاع، قصد داشته چهره‌های مستعد را جذب کند تا از آن‌ها «هکرهای دوست‌داشتنی» در خدمت نظام بسازد. عنوان «هکر دوست‌داشتنی» اشاره‌ای طعنه‌آمیز به یکی از گردهمایی‌های تبلیغی راوین است و در واقع یعنی هکری که به جای فعالیت مجرمانه شخصی، در خدمت اهداف جمهوری اسلامی عمل کند. این افشا نشان داد که رویدادهای ظاهراً علمی، حتی با حمایت نهادهای دولتی در سطح معاونت ریاست‌جمهوری می‌توانند پوششی برای پروژه‌های جذب نیروی سایبری امنیتی باشند. به بیان دیگر، رژیم ایران از بستر دانشگاهی و مسابقات دانشجویی نیز به شکل سازمان‌یافته برای تامین نیروهای سایبری بهره می‌برد.

علاوه بر مسابقات، آکادمی راوین با سایر مؤسسات آموزشی و شرکت‌ها نیز همکاری دارد که اغلب این نهادها خود پیوندهایی با ساختار امنیتی دارند. به عنوان نمونه، یک دوره آموزشی ۱۲۵ ساعته «شکار تهدیدات سایبری» به‌صورت مشترک توسط آکادمی راوین، دانشگاه خاتم و شرکتی به نام اسپاراسک برگزار شد. لوگوی اسپاراسک در جزوه‌های این دوره دیده می‌شد و تحقیقات متن‌باز نشان داد که اُمید پ.، مدیر فنی و هم‌بنیان‌گذار اسپاراسک، از سوی گروه لب‌دوختگان به عنوان مامور وزارت اطلاعات افشا شده است. لب‌دوختگان مدارکی منتشر کرد که ارتباط مستقیم امید پ. با سرویس اطلاعاتی را اثبات می‌کرد و حتی برای اطلاعات بیشتر درباره این «مزدور سایبری» جایزه تعیین نمود. این نمونه روشن می‌سازد که چگونه رژیم ایران شرکت‌های به ظاهر خصوصی را نیز در اکوسیستم سایبری خود ادغام می‌کند. نتیجه آن‌که برخی دوره‌های آموزشی رسمی نظیر همین دوره شکار تهدید، عملا پوششی برای انتقال دانش عملیاتی و ارتباط نزدیک‌تر با سرویس امنیتی هستند. همکاری با دانشگاه خاتم (وابسته به بنیادهای نزدیک به سپاه) نیز نشان می‌دهد آکادمی راوین شبکه‌ی گسترده‌ای از شرکا در بخش علمی کشور دارد که اهداف آن را تسهیل می‌کنند.

آکادمی راوین نهادی حیاتی برای دولت ایران است؛ زیرا با سازوکاری سیستماتیک، مشکل جذب و پرورش نیروی متخصص مورد نیاز را در مواجهه با فرار مغزها و تحریم‌های فناوری حل می‌کند. این مؤسسه یک خط لوله استراتژیک است که تخصص بخش خصوصی را به نیازهای اطلاعاتی و نظامی دولتی پیوند می‌زند.

مکانیسم غربالگری نخبگان

راوین با استفاده از دوره‌های تخصصی و سخت‌گیرانه با الزامات پیش‌نیاز بالا (مانند Network+, MCSA, Security+)، جامعه گسترده‌تر IT را فیلتر می‌کند. دوره‌های Red Team و Network Penetration Testing به عنوان فیلتر نهایی عمل می‌کنند. دانشجویانی که در این دوره‌های تهاجمی برتر عمل می‌کنند و دانش فنی بالایی در زمینه بهره‌برداری و حرکت جانبی نشان می‌دهند، به عنوان کاندیدای اصلی استخدام به سازمان‌های اطلاعاتی معرفی می‌شوند.

این مدل، یک نوع برون‌سپاری هدفمند وظیفه حساس جذب نیروی نخبه است. دولت ایران از منابع عمومی راوین برای دسترسی به استعدادی که به طور مستقیم قادر به جذب آن نیست (به دلیل ملاحظات ایدئولوژیک یا تمایل جوانان به محیط‌های غیردولتی) استفاده می‌کند. این آکادمی نیروهای دارای صلاحیت فنی را به سرعت از متخصصان دارای پیش‌نیاز (Fast-Track Effect) به اپراتورهای تهاجمی تبدیل می‌کند.

تأثیر بر ظرفیت‌های سایبری تهاجمی ایران

یکی از مزایای رقابتی راوین برای ایران، توانایی آن در وارد کردن دانش جهانی با سرعت بالا به ساختار دولتی است. ارائه محتوای متمرکز بر MITRE ATT&CK و استانداردهای SANS نشان‌دهنده تلاش برای آموزش نیروی انسانی با استفاده از بهترین شیوه‌های عملیاتی تهاجمی روز دنیا است. این امر به ایران کمک می‌کند تا فاصله فنی خود را با قدرت‌های سایبری پیشرو کاهش دهد.

در اکوسیستمی که با چالش‌های فنی ناشی از تحریم ابزارها، نرم‌افزارهای تجاری و دسترسی محدود به آخرین پیشرفت‌های علمی مواجه است، راوین یک کانال حیاتی برای بازتولید دانش، بومی‌سازی فنون پیشرفته، و پرورش رهبران فنی داخلی فراهم می‌کند. این مدل ظرفیت‌سازی، پاسخگوی نیاز فوری دولت ایران به نیروی انسانی آموزش‌دیده برای حفظ عملیات‌های مداوم در سطح تهدید پیشرفته و ماندگار (APT) است.

واکنش‌ها، تحریم‌ها و چشم‌انداز آینده

افشای اطلاعات دانشجویان راوین با واکنش‌های مختلفی همراه بوده است. مدیران آکادمی در پیام رسمی خود تلاش کردند این حادثه را کم‌اهمیت نشان داده و بخش اعظم اطلاعات لو رفته را «غلط و گمراه‌کننده» بخوانند. آنان مدعی شدند که میزبانی سامانه آسیب‌دیده خارج از شبکه اصلی آکادمی بوده و انگیزه حمله صرفا تخریب وجهه علمی این مؤسسه و ضربه به رویداد المپیک فناوری است. با این حال، همزمان در همان بیانیه ضمن تایید نشت نام و تلفن عده‌ای از کاربران، از کسانی که اطلاعاتشان افشا شده عذرخواهی شد. این اعتراف ضمنی نشان می‌دهد حجم قابل توجهی از داده‌های واقعی درز کرده و قابل انکار نیست. کارشناسان می‌گویند حتی اگر بخشی از نام‌های فهرست به عمد نامعتبر درج شده باشد، اصل قضیه یعنی وجود یک بانک اطلاعاتی از نیروی انسانی سایبری حکومت تأیید شده و دیگر جای تردید باقی نمانده است.

در عرصه بین‌المللی، انتشار این اطلاعات بار دیگر سوابق آکادمی راوین را در کانون توجه قرار داده است. یادآوری می‌شود که در اواخر اکتبر ۲۰۲۲ (آبان ۱۴۰۱) و در بحبوحه خیزش اعتراضی در ایران، وزارت خارجه آمریکا اعلام کرد آکادمی راوین را به دلیل مشارکت پرسنلش در سرکوب معترضان، در فهرست تحریم قرار داده است. به دنبال آن، اتحادیه اروپا و بریتانیا نیز در سال ۲۰۲۳ این مؤسسه و مدیرانش را به‌خاطر نقض حقوق بشر و محدودسازی آزادی بیان تحریم کردند. مقام‌های اروپایی تصریح کردند هکرهای تربیت‌شده در راوین با حمله به زیرساخت‌های ارتباطی معترضان و قطع اینترنت آن‌ها، حق آزادی اعتراض و اظهار عقیده را مستقیماً هدف قرار داده‌اند. این سابقه نشان می‌دهد عملکرد آکادمی راوین صرفاً تهدیدی برای دولت‌های خارجی نیست بلکه حقوق شهروندان ایرانی را نیز نقض کرده و در سرکوب داخلی به‌کار گرفته شده است.

افزون بر تحریم نهاد، نام دو بنیان‌گذار راوین و چند عضو کلیدی آن نیز در فهرست‌های تحریمی آمریکا، کانادا، اروپا و بریتانیا قرار گرفته است. این اقدام عملاً تعاملات مالی و تجاری آن‌ها را محدود کرده و برای بسیاری از دانشجویان یا همکاران بین‌المللی، همکاری با راوین را پرریسک ساخته است. اکنون با نشت گسترده اطلاعات، انتظار می‌رود افراد حاضر در این لیست نیز ممکن است هدف تحقیقات امنیتی یا حتی اقدامات تنبیهی برخی کشورها قرار گیرند. ایجاد یک «سابقه دائمی» برای نام این افراد از تبعات مهم این افشاست، چرا که اکنون هر نامی در این پایگاه‌داده به یک موسسه تحریم‌شده و عامل حملات سایبری دولتی گره خورده است. این می‌تواند اعتبار حرفه‌ای برخی از این افراد (مثلا اعضای هیئت علمی یا متخصصان شاغل در غرب) را تحت تاثیر قرار دهد و حتی منجر به پیگرد قضایی آن‌ها در آینده شود.

از سوی دیگر، این رخداد ضعف امنیت عملیاتی خود رژیم را نیز آشکار کرد. اینکه یک نهاد مدعی آموزش امنیت نتوانسته از داده‌های حساس خود محافظت کند، به گفته کارشناسان «طنز تلخ ماجرا» است. این افشاگری نه تنها اعتبار عمومی آکادمی راوین را مخدوش کرد، بلکه اعتماد افرادی را که گمان می‌کردند در حال طی کردن یک برنامه توسعه حرفه‌ای مشروع هستند نیز از بین برد. بسیاری از شرکت‌کنندگان احتمالی اکنون متوجه شده‌اند که ثبت‌نام در دوره‌های یک مؤسسه تحت تحریم چه ریسک‌های امنیتی و حیثیتی به دنبال دارد. این خود می‌تواند روند جذب نیرو توسط راوین را در آینده با مشکل مواجه کند، چرا که سایه نظارت بین‌المللی پررنگ‌تر شده و هر حرکت این نهاد زیر ذره‌بین قرار گرفته است.

جمع‌بندی

مجموعه شواهد قدیمی و جدید همگی تصویر واحدی را ترسیم می‌کنند: آکادمی راوین سنگ بنای ارتش سایبری پنهان جمهوری اسلامی است. این موسسه در ظاهر یک آموزشگاه امنیت سایبری است اما در عمل به عنوان کارخانه تربیت هکرهای دولتی عمل می‌کند. راوین طی مدت کوتاهی توانسته نیروی انسانی متخصص برای پیشبرد اهداف سایبری حکومت تأمین کند و خود نیز در طراحی و پشتیبانی فنی عملیات‌های برون‌مرزی و سرکوب داخلی نقش‌آفرینی کرده است. انتشار داده‌های داخلی این آکادمی توسط فعالان سایبری، در کنار تحقیقات رسانه‌ای و گزارش‌های نهادهای اطلاعاتی، صحت این مدعا را با جزئیات دقیق اثبات کرده است.

راوین نمونه روشن راهبرد ترکیبی رژیم ایران در حوزه سایبری است: ایجاد ساختارهای به‌ظاهر قانونی (شرکت‌ها، آموزشگاه‌ها، تیم‌های مسابقاتی) که در زیر سطح، مستقیماً در خدمت دستگاه‌های اطلاعاتی و نظامی هستند. این راهبرد به حکومت امکان می‌دهد ضمن پرورش نسل تازه‌ای از هکرهای وفادار، انکارپذیری خود را در مجامع بین‌المللی حفظ کند و هزینه اقدامات تهاجمی را پایین نگه دارد. اما افشای اخیر نشان داد که حتی در دنیای به‌شدت امنیتی سایبری، هیچ پوششی پایدار نیست. اکنون که پشت‌پرده آکادمی راوین عیان شده، جامعه جهانی و ایرانیان آگاه بیش از پیش مراقب فعالیت‌های این‌چنین نهادهایی خواهند بود. واکنش‌های آتی، چه در قالب تحریم‌های بیشتر و چه پیگیرد حقوقی اعضای مرتبط، می‌تواند دور جدیدی از رویارویی سایبری میان ایران و غرب را رقم بزند. آنچه مسلم است، آکادمی راوین دیگر آن نهاد ناشناخته سابق نیست؛ بلکه به واسطه تلفیق گزارش‌های تحقیقی و نشت اطلاعات اخیر، به مثابه یک کیس‌استادی مهم در زمینه تهدیدات سایبری دولتی مورد بررسی و رصد دائمی قرار خواهد گرفت.

منابع

  • Ravin Academy | UANI - United Against Nuclear Iran, Link
  • Summary of Ravin Academy's Lovely Hackers Event, Link
  • A Muddy, Advanced Persistent Teacher, PwC, Link
  • Ravin Academy, OpenSanctions, Link
  • Advanced persistent threat (apt), Link