پروژه برداشت پسته : پیچیدگی حملات سایبری ایران

اندیشکده آمریکایی امریکن انترپرایز با انتشار پژوهشی که به تازگی توسط پروژه تهدیدات حیاتی این موسسه و شرکت نورس کورپوریشن (Norse Corporation) انجام گرفته است ردپای ایران در فضای مجازی را تشریح نموده و رویه‌های مهم موجود در حملات سایبری این کشور را شناسایی کرده است. داده‌های مربوط به سیستم‌های نورس در کنار اطلاعات منبع‌باز که توسط تحلیلگران تهدیدات سایبری جمع‌آوری شده‌اند به ما این امکان را می‌دهند تا برای اولین بار ماهیت و گستره واقعی تهدیدات سایبری ایران را مشاهده نموده و ترسیم کنیم.

در ماه فوریه، یک سال پس از آنکه شرکت لاس‌وگاس سندز در معرض یک حمله سایبری ویرانگر قرار گرفت و بسیاری از کامپیوترهایی که کازینوها و هتل‌های این شرکت را اداره می‌کردند از کار افتادند، «جیمز آر کلاپر» رئیس اداره اطلاعات ملی به طور علنی آنچه را که به ظاهر آشکار بود در کنگره بیان داشت: هکرهای ایرانی پشت این حمله بوده‌اند.

«شلدون جی آدلسون» میلیاردر و رئیس اجرایی شرکت لاس‌وگاس سندز که از حامیان عمده اسرائیل و مخالف سرسخت مذاکره با تهران است چند ماه قبل از وقوع حمله فوق رویکردی را در راستای پرداختن به مسئله ایران پیشنهاد کرده بود که تا آن زمان هیچکس در مقابل دوربین‌ها آن را بیان نکرده بود.

«آدلسون» در ماه اکتبر ۲۰۱۳ در دانشگاه یشیوا واقع در منهتن اظهار داشت: «آنچه من می‌خواهم بگویم این است: گوش کنید. آیا آن بیابان را می‌بینید؟ می‌خواهم چیزی را به شما نشان دهم.» وی سپس استدلال خود را ارائه داد در رابطه با منفجر کردن یک سلاح هسته‌ای در جایی که به هیچکس جز مارها، عقرب‌ها و امثال این‌ها آسیب نخواهد رساند. وی سپس افزود: «در آن صورت خواهید گفت: ببینید، بمب بعدی در مرکز تهران منفجر خواهد شد.»

در عوض تهران حمله خود را متوجه صحرای نوادا کرد. اکنون یک مطالعه جدید درباره فعالیت‌های سایبری ایران که توسط شرکت امنیت سایبری نورس و موسسه امریکن انترپرایز منتشر شده به این نتیجه رسیده است که ایران به‌جز حمله به شرکت لاس‌وگاس سندز همچنین بر مهارت‌ها و تعداد حملات سایبری خود به شدت افزوده است آن‌هم در حالی که بر سر محدود ساختن قابلیت‌های هسته‌ای خود با غرب مذاکره می‌کند.

«فردریک دبلیو کاگان» مدیر پروژه تهدیدات حیاتی که تلاش گسترده‌ای را جهت ردگیری فعالیت‌های سایبری ایران آغاز کرده است می‌گوید: فضای سایبری برخلاف فناوری هسته‌ای یک سلاح مفید و مؤثر در اختیار آنها قرار می‌دهد. فضای سایبری تا حدودی انکار باورپذیر [دخالت در هرگونه حمله] را ممکن می‌سازد و به همین خاطر برای بسیاری از کشورها جذابیت دارد.»

«کاگان» استدلال کرده است که اگر تحریم‌های ضد ایرانی بر اساس یک توافق هسته‌ای پیشنهادی تعلیق شوند ایران قادر خواهد بود تا درآمدهای حاصله از افزایش صادرات نفت را به سمت تسلیحات سایبری هدایت کند. اما مشخص نیست که ایران واقعاً دست به چنین کاری بزند.

اشاره «کلاپر» به نام ایران در پرونده حمله به شرکت لاس‌وگاس سندز یکی از معدود مواردی بود که آژانس‌های اطلاعاتی آمریکا از یک کشور مشخص نام می‌بردند که در راستای اهداف سیاسی دست به چنین حملاتی زده بود. اولین بار در ماه دسامبر بود که رئیس‌جمهور «اوباما» کره شمالی را به حمله سایبری به شرکت سونی پیکچرز متهم کرد. دیگر مقامات آمریکایی گفته‌اند که ایران در واکنش‌ها به تحریم‌ها دست به حملات سایبری علیه بانک‌های آمریکایی زده و همچنین کامپیوترهای شرکت نفت آرامکو عربستان را به خاطر روابط نزدیک این کشور با آمریکا تخریب کرده است. ‌

شواهد و قرائن موجود در گزارش شرکت نورس در کنار تحلیل‌های صورت گرفته توسط آژانس‌های اطلاعاتی آمریکا قویاً حکایت از آن دارند که ایران در طول یک سال گذشته علیرغم تحریم‌های بین‌المللی کاربرد سلاح‌های سایبری را افزایش داده است. حملات انجام گرفته اکثراً فعالیت‌های جاسوسی را شامل می‌شدند، اما چند مورد از حملات از جمله حمله به شرکت لاس‌وگاس سندز با هدف ایجاد تخریب صورت گرفتند.

در این گزارش راهبردی شرکت نورس ـ که همانند دیگر شرکت‌های امنیت سایبری به دنبال به تصویر کشیدن حملات سایبری است اما در زمینه ارتباط دادن این حملات به یک کشور خاص انگیزه چندانی ندارند ـ هزاران حمله سایبری صورت گرفته علیه اهداف واقع در آمریکا را ردگیری کرده و آنها را به هکرهای فعال در داخل ایران نسبت داده است.

این گزارش همانند گزارش دیگری که توسط شرکت امنیت سایبری سایلنس تحت عنوان «عملیات ساطور» منتشر شده به وضوح توضیح داده است که هکرهای ایرانی پا را از آن دسته حملات سایبری که با هدف بدنام کردن یا صرفاً از کار انداختن وب‌سایت‌ها صورت می‌گیرند فراتر گذاشته و به سمت حملات بی‌سروصداتری رفته‌اند که هدفشان شناسایی و جمع‌آوری اطلاعات است. این هکرها در برخی موارد نیز به جستجو و کاوش در سیستم‌های مربوط به زیرساخت‌های حیاتی می‌پردازند تا بدین ترتیب فرصت دست زدن به حملات خطرناک‌تر و مخرب‌تر را به دست آورند.

اما نورس و سایلنس در رابطه با اینکه آیا حملات ایران در ماه‌های اخیر تسریع شده‌اند یا اینکه آیا ممکن است تهران در جریان یک مقطع حساس از مذاکرات هسته‌ای از شدت حملات خود کاسته باشد با هم اختلاف‌نظر دارند.

شرکت نورس می‌گوید در راستای جمع‌آوری اطلاعات درباره شیوه‌های مورد استفاده مهاجمان دارای هزاران حسگر اینترنتی است و بر این نکته اصرار می‌ورزد که علائمی مبنی بر کاهش فعالیت‌های هکرهای ایرانی مشاهده نکرده است. در گزارش نورس آمده است که در فاصله زمانی بین ماه ژانویه ۲۰۱۴ و ماه قبل حسگرهای این شرکت افزایش ۱۱۵ درصدی حملات صورت گرفته از طرف آدرس‌های آی.پی ایرانی را ثبت کرده‌اند. شرکت نورس اظهار داشت که حسگرهایش در طول نیمه اول ماه مارس روزانه به طور میانگین بیش از ۹۰۰ حمله را کشف کرده‌اند.

شرکت سایلنس اما نتیجه‌گیری متفاوتی را حداقل در ارتباط با فعالیت‌های سایبری ایران در طول چند ماه گذشته و با نزدیک‌تر شدن مذاکرات به پایان خود ارائه نموده است. «استوارت مک‌کلور» رئیس ارشد اجرایی و مؤسس شرکت سایلنس گفته است که فعالیت‌های گروه‌های هکری ایرانی در طول چند ماه گذشته کاهش چشمگیری داشته است و این گروه‌ها در حال حاضر عمدتاً خاموش شده‌اند. شرکت سایلنس این گروه‌ها را تحت نظر داشته و ردگیری نموده است.

آژانس‌های اطلاعاتی آمریکا نیز این گروه‌ها را زیر نظر دارند، اما ارزیابی‌های خود از فعالیت‌های این گروه‌ها را به طور علنی منتشر نمی‌کنند. برآوردهای محرمانه اطلاعات ملی در طول پنج سال گذشته روسیه و چین را پیشرفته‌ترین و پرکارترین دشمنان آمریکا در فضای سایبری معرفی کرده‌اند.

با این حال، مقامات آمریکایی گفته‌اند که آنها بیش از همه نگران ایران و کره شمالی هستند و این نگرانی نه به خاطر پیچیدگی و پیشرفتگی حملات سایبری این کشورها بلکه به خاطر آن است که هدف از حملات مذکور ایجاد تخریب و ویرانی بیشتر است. چنین چیزی در جریان حمله سایبری به شرکت سونی پیکچرز مشاهده شد. ایران علاوه بر حمله به شرکت لاس‌وگاس سندز ـ که جزئیات آن را «کلاپر» علنی نکرد ـ همچنین به عنوان منشأ حمله سال ۲۰۱۲ به شرکت آرامکو عربستان شناسایی شده است. مهاجمان در جریان حمله به شرکت آرامکو داده‌های موجود بر روی ۳۰۰۰۰ کامپیوتر را پاک کردند و تصویر پرچم آتش‌گرفته آمریکا را بر روی این کامپیوترها قرار دادند.

مقامات اطلاعاتی آمریکا می‌گویند تعداد هکرهای پیشرفته ایران محدود است، اما این هکرها هم برای شرکت‌های صوری و هم برای دولت کار می‌کنند. این مقامات نگران آن هستند که افزایش حملات ویرانگر باعث گردد مهاجمان وسوسه شوند علیه آنچه دولت آمریکا «زیرساخت‌های حیاتی» می‌داند دست به حمله بزنند. از جمله این زیرساخت‌های حیاتی می‌توان به شبکه راه‌آهن، شبکه برق یا شبکه آب‌رسانی اشاره کرد.

برای مثال، محققان سایلنس بیان داشته‌اند که هکرهای ایرانی با بهره‌گیری از ابزارهایی تلاش کرده‌اند تا درباره سیستم‌های کنترل حیاتی و شبکه‌های کامپیوتری در آمریکا و همچنین در کشورهای کانادا، اسرائیل، عربستان، امارات و شماری از دیگر کشورها دست به جاسوسی بزنند و احتمالاً این سیستم‌ها را از کار بیندازند. اهداف آنها از جمله شامل شبکه‌ای می‌شد که تفنگداران دریایی و غیرنظامیان را در سرتاسر آمریکا پوشش می‌دهد. شبکه‌های متعلق به شرکت‌های نفتی، شرکت‌های هواپیمایی و فرودگاه‌های بزرگ نیز از جمله این اهداف بوده‌اند.

پژوهشگران نورس همچنین به حملاتی از طرف ایران اشاره کرده‌اند که سیستم‌های موسوم به اسکادا ـ مخفف عبارت سیستم‌های سرپرستی و گردآوری داده ـ را هدف قرار داده‌اند و مشابه حمله سایبری آمریکا و اسرائیل به تأسیسات غنی‌سازی هسته‌ای نطنز هستند که در جریان آن ۱۰۰۰ سانتریفیوژ با استفاده از یک کد تخریب شدند.

یکی از اسناد آژانس امنیت ملی که به تازگی توسط «ادوارد جی اسنودن» منتشر شده است نشان می‌دهد که حمله سایبری فوق‌الذکر که اغلب با عنوان حمله استاکس‌نت از آن یاد می‌شود شاید ایرانی‌ها را برانگیخته باشد تا مجموعه‌ای از حملات تلافی‌جویانه را آغاز کنند. شرکت نورس می‌گوید شواهد و مدارکی یافته مبنی بر اینکه هکرهای ایرانی به شبکه شرکت تلونت (Telvent) نفوذ کرده‌اند. این شرکت که اکنون متعلق به شرکت اشنایدر الکتریک است نرم‌افزارهایی را طراحی می‌کند که شرکت‌های انرژی و اپراتورهای شبکه برق را قادر می‌سازند تا سوپاپ‌ها و سوییچ‌های خود را از راه دور کنترل کنند.

سیستم‌های این شرکت در سال ۲۰۱۲ توسط هکرهای ارتش چین هک شدند. شرکت نورس می‌گوید دو سال بعد از آن شاهد ۶۲ حمله در یک بازه زمانی ۱۰ دقیقه‌ای بوده که از یک آدرس آی.پی در داخل ایران نشأت گرفته بودند و یکی از سیستم‌های شرکت تلونت که اساس کل زیرساخت اسکادای این شرکت را تشکیل می‌دادند هدف قرار داده بودند.

پژوهشگران شرکت نورس در این باره نوشته‌اند: «این اقدام را می‌توان تلاش ایران جهت ایجاد سرپل‌های سایبری در درون سیستم‌های زیرساخت‌های حیاتی آمریکا تفسیر نمود ـ سرپل‌های مذکور در واقع بدافزارهایی هستند که در درون سیستم غیرفعال می‌مانند اما به ایران امکان می‌دهند تا سیستم‌های مذکور را بعداً در معرض آسیب و نابودی قرار دهد.»

ایران در حال تبدیل شدن به یک تهدید سایبری قابل توجه برای آمریکا و هم‌پیمانانش است. حجم و پیچیدگی قابلیت‌های هک ایران در طول چند سال گذشته به طور قابل توجهی افزایش یافته است. این کشور پیشاپیش به شبکه‌های به خوبی محافظت‌شده در آمریکا و عربستان نفوذ کرده و اطلاعات و داده‌های حساس را سرقت کرده یا از بین برده است. رفع تحریم‌های اقتصادی در قالب یک چارچوب توافق هسته‌ای که اخیراً اعلام شده است باعث افزایش چشمگیر منابع در دسترس ایران خواهد شد و این کشور قادر می‌گردد منابع مذکور را در راستای گسترش زیرساخت حملات سایبری خود هزینه کند.

ما باید این‌گونه پیش‌بینی کنیم که تهدید سایبری ایران شاید با سرعت بسیار بیشتری به رشد خود ادامه دهد. با این وجود، ما باید از هرگونه واکنش احساسی به این تهدید که هنوز از کنترل خارج نشده اجتناب کنیم. اولین لازمه جهت شکل‌دهی یک واکنش مناسب درک ماهیت مشکل است و گزارش پیش روی نیز همین هدف را دنبال می‌کند.

پروژه برداشت پسته نام پروژه مشترکی است که توسط شرکت نورس کورپوریشن و پروژه تهدیدات حیاتی موسسه امریکن انترپرایز در راستای ترسیم ردپای ایران در فضای مجازی و شناسایی رویه‌های مهم حملات سایبری این کشور به اجرا درآمده است. این پروژه از داده‌های شبکه اطلاعاتی نورس بهره می‌گیرد. شبکه اطلاعاتی نورس متشکل از چند میلیون حسگر پیشرفته است که در سرتاسر دنیا توزیع شده‌اند. هر حسگر اساساً یک نمایه کامپیوتری است که شبیه یک وب‌سایت واقعی، یک پورتال ورودی ایمیل، یا سیستم اینترنت‌محور بانک‌ها، دانشگاه‌ها، نیروگاه‌ها، ایستگاه‌های سوییچ برق، یا دیگر سیستم‌های کامپیوتری عمومی و خصوصی که توجه هکرها را به خود جلب می‌کنند طراحی شده است. این حسگرها به گونه‌ای طراحی شده‌اند که به نظر برسد از امنیت پایینی برخوردارند. در این زمینه می‌توان به آسیب‌پذیری‌های شناخته‌شده و روز صفر جهت ترغیب هکرها به نفوذ به آنها اشاره کرد. احتمال اتصال تصادفی به حسگرهای نورس بسیار کم است. این حسگرها متعلق به شرکت‌های واقعی نیستند و توسط موتورهای جستجو نمایش داده نمی‌شوند. داده‌های مربوط به سیستم‌های نورس در کنار اطلاعات منبع‌باز که توسط تحلیلگران پروژه تهدیدات حیاتی جمع‌آوری شده‌اند به ما امکان داده‌اند تا برای اولین بار ماهیت واقعی و گستره تهدیدات سایبری ایران را مشاهده و ترسیم کنیم.

یک چالش ویژه این است که جمهوری اسلامی دارای دو مجموعه زیرساخت فناوری اطلاعات است ـ یکی از این زیرساخت‌ها در حال حاضر در حال ساخت در داخل ایران است و دیگری از غرب اجاره و خریداری شده است. هر دوی این زیرساخت‌ها به سیستم‌های کامپیوتری آمریکا و متحدانش حمله می‌کنند و هر دو تا حدودی تحت نفوذ حکومت و سرویس‌های امنیتی هستند. ما فکر نمی‌کنیم ردپای حملات سایبری ایران به خاک این کشور محدود شوند.

این واقعیت خطر بزرگی برای غرب به شمار می‌رود و در عین حال فرصت‌هایی نیز فراهم می‌آورد. شرکت‌های ایرانی از جمله شرکت‌های تحت تحریم و وابسته به سپاه پاسداران انقلاب اسلامی و سازمان‌های بین‌المللی نظیر حزب‌الله میزبان وب‌سایت‌ها، سرورهای ایمیلی، و دیگر سیستم‌های فناوری اطلاعات در آمریکا، کانادا، آلمان، انگلیس و دیگر نقاط دنیا هستند. سرویس‌های امنیتی و شهروندان عادی ایران می‌توانند با ثبت‌نام و پرداخت مبلغی به سیستم‌ها و نرم‌افزارهای کامپیوتری پیشرفته دسترسی یابند، سیستم‌ها و نرم‌افزارهایی که غرب تلاش دارد مانع دسترسی ایران به آنها شود. خبر بد این است که ایرانی‌ها با بهره‌گیری از کارآمدترین شیوه‌ها به سیستم‌ها و نرم‌افزارهای مذکور دسترسی پیدا کرده‌اند ـ یعنی از طریق اجاره آنچه نیاز دارند بدون آنکه زحمت ایجاد یا دزدیدن آن را به خود بدهند.

اما خبر خوب این است که شرکت‌های غربی مالک این سیستم‌ها هستند. این شرکت‌ها در صورتی که بخواهند می‌توانند مانع آن شوند که نهادهای ایرانی که به خاطر تروریسم یا نقض حقوق بشر تحریم شده‌اند به سیستم‌های مذکور دسترسی پیدا کنند. دولت‌های غربی در راستای تسهیل این کار می‌توانند ـ و باید ـ فهرست نهادهای مذکور و زیرساخت‌های سایبری متعلق به خود را تهیه و منتشر کنند. نهادهای میزبان این سیستم‌ها می‌توانند بدین طریق ضربات چشمگیری به ایران وارد کنند و در عین حال از خود و مشتریانشان در برابر حملات نشأت گرفته از سیستم‌های تحت اجاره ایران محافظت کنند.

اما جمهوری اسلامی همچنین از شبکه‌های موجود در داخل ایران جهت آماده‌سازی و انجام حملات سایبری پیشرفته بهره می‌گیرد. تحقیقات ما نشان داده‌اند که سپاه پاسداران با بهره‌گیری از سیستم‌های کامپیوتری خود تلاش کرده است تا با استفاده از تکنیک‌های پیشرفته کنترل کامپیوترهای موجود در آمریکا را در دست بگیرد. سیستم‌های سپاه در طول ماه‌ها پورت‌های دارای نقیصه‌های شناخته‌شده و خطرناک را از طریق سیستم‌های مختلف مورد حمله قرار داده‌اند. آنها همچنین صدها سیستم آمریکایی را در عرض چند ثانیه به کمک یک سرور ایرانی اسکن کردند. این حملات اگر زیرساخت‌های حسگری نورس را در بر نمی‌گرفتند در میان ترافیک معمولی شبکه گم می‌شدند، اما زیرساخت‌های نورس الگوهای این‌گونه حملات را برملا ساختند.

دانشگاه صنعتی شریف که یکی از دانشگاه‌های برتر ایران به شمار می‌رود دست به جستجوهای اتوماتیک مشابهی جهت یافتن زیرساخت‌های آسیب‌پذیر آمریکا زد و در راستای استتار فعالیت‌های خود از یک الگوریتم متفاوت بهره گرفت. یک آی.پی متعلق به دانشگاه شریف در عرض چند ثانیه دو بار تلاش کرد تا از طریق پورت ۴۴۵ به سیستم‌های هدف متصل شود. سپس یک آی.پی دیگر متعلق به دانشگاه شریف در عرض چند ثانیه دو بار تلاش کرد تا از طریق همین پورت به یک سیستم هدف دیگر متصل شود. همه آی.پی‌ها آشکارا متعلق به دانشگاه شریف بودند اما هیچیک از آنها سیستم‌های عمومی را میزبانی نمی‌کردند. این بار هم الگوی حملات تنها به این خاطر برملا شد که بسیاری از آنها زیرساخت‌های نورس را هدف قرار داده بودند.

حملات انجام گرفته توسط سیستم‌های سپاه و کامپیوترهای دانشگاه شریف ممکن بود به نفوذ به سیستم‌های آسیب‌پذیر و احتمالاً در اختیار گرفتن کنترل کامل این سیستم‌ها منجر شوند. مهاجمان می‌توانستند از طریق سیستم‌هایی که کنترلشان را در دست گرفته بودند به دیگر کامپیوترهای غرب حمله کنند و دخالت ایران در این حملات را تقریباً به طور کامل پنهان سازند. آنها همچنین می‌توانستند به سیستم‌های هک شده آسیب وارد کنند، سیستم‌هایی که ممکن بود متعلق به بانک‌ها، فرودگاه‌ها، نیروگاه‌های برق، یا دیگر زیرساخت‌های حیاتی باشند. ایرانی‌ها در حقیقت در تلاش‌اند تا سیستم‌های آسیب‌پذیر سرپرستی و گردآوری داده (اسکادا) نظیر سیستم‌هایی که شبکه‌های برق ما را تحت مدیریت و نظارت دارند شناسایی کنند. حسگرهای نورس که مشابه این سیستم‌ها هستند در طول دوره زمانی مطالعه ما چندین بار مورد جستجو قرار گرفتند. روشن است که عواملی در درون ایران تلاش دارند تا یک پایگاه داده‌ای متشکل از سیستم‌های آسیب‌پذیر موجود در آمریکا ایجاد کنند، سیستم‌هایی که در صورت آسیب دیدن می‌توانند به اقتصاد و شهروندان آمریکا صدمه بزنند.

در مجموع خبر خوب این است که ما می‌دانیم که همه حملات کشف‌شده توسط شرکت نورس ناموفق بوده‌اند ـ حسگرهای مورد حمله در واقع سیستم‌های واقعی نبودند و چیزی را کنترل نمی‌کردند. خبر بد اما این است که می‌توانیم با اطمینان بگوییم که این‌ها همه ی حملات نبودند و مطمئناً برخی از حملات دیگر موفقیت‌آمیز بوده‌اند.

تصور اینکه چارچوب توافق هسته‌ای اخیراً اعلام شده به همه این حملات خاتمه خواهد داد و یک دوره جدید تنش‌زدایی باعث پایان یافتن رقابت بر سر تسلیحات سایبری خواهد شد می‌تواند مایه تسلا باشد. اما متأسفانه دلیلی مبنی بر تحقق چنین چیزی وجود ندارد. هم کاخ سفید و هم رهبران ایران بارها تأکید کرده‌اند که توافق هسته‌ای مستقل از دیگر موضوعات مورد اختلاف میان آمریکا و ایران است. توافق به خودی خود تصریح می‌کند که آن دسته از تحریم‌ها که به خاطر حمایت ایران از تروریسم و نقض حقوق بشر وضع شده‌اند به قوت خود باقی خواهند ماند. رفتار ایران در عراق، سوریه، لبنان، یمن و تهران نشان می‌دهد که حمایت از تروریسم و نقض حقوق بشر همچنان ادامه خواهد داشت.

صرف‌نظر از پیامد نهایی مذاکرات هسته‌ای، ما باید منتظر آن باشیم که تهدید حملات سایبری از طرف ایران افزایش یابد. شاید صرفاً از زمان کافی جهت آماده شدن برای مقابله با این تهدیدات برخوردار باشیم.

منبع:ITSN.IR