عزم راسخ بر شناسایی مهاجمان فضای سایبری، کار سادهای نیست و نیازمند منابع و همکاریهای بینالمللی میباشد. بنابراین، مشکل است با اطمینان گفته شود که چه کسی در پشت پرده بسیاری از فعالیتهای فضای سایبر قرار گرفته است. با این حال، با استفاده از تشخیصهای ضمنی، معمولاً میتوان مسئولان این حملات را با درجات بالای اطمینان، شناسایی کرد. این مقاله بر سه رویداد متمرکز میشود: حمله به دو شرکت امنیت دادهها، با هدف سرقت مجوزهای امنیتی؛ حمله به مؤسسات مالی بزرگ در ایالات متحده؛ و حمله به شرکت نفت آرامکو عربستان سعودی.
■ جزییات حمله به شرکتهای کومودو و دیجی نوتر به چه شکل بوده و به چه کسانی منتسب شده است؟■
حمله به شرکتهای کومودو و دیجینوتر
در سال 2011، دو حمله علیه شرکتهایی که SSL (لایه سوکت امنیتی) تهیه میکردند صورت گرفت. اولین حمله، که در مارس 2011 رخ داد، شرکت امریکایی کومودو را هدف قرار داد. بسیاری از مجوزها به سرقت رفتند، که در میان آنها مجوزهای خدمات ایمیل اینترنت نظیر گوگل هم وجود داشت، اما پیش از آن که مورد استفاده سارق قرار گیرند، باز پس گرفته شدند. در واقع، کسی که مجوزهای mail. google. com را در اختیار داشته باشد، میتواند رمزهای عبور جیمیل را به سرقت برده و حسابهای کاربران را بدزدد. کسی که مجوز به سرقت رفته Microsoft. com را به دست آورد، میتواند نرمافزارهایی مخرب در کامپیوترهای قربانیان نصب کند. به گفته شرکت، نتایج زیر در خصوص این رویداد به دست آمدند:
الف. حمله فاقد ویژگیهای معمول یک جرم سایبری بود.
ب. حمله سازماندهی شده بود و مهاجمان پیش از حمله، دقیقاً میدانستند که به دنبال چه هستند و این نشانگر دخالت یک سازمان دولتی در حمله است.
پ. منبع اصلی حمله ایران بود (بر اساس شناسایی آدرسهای IP)
ت. وبسایتی که در آن مجوزهای به سرقت رفته مورد بررسی قرار گرفتند در ایران واقع شده بود و بلافاصله پس از آن که کومودو متوجه حمله شد، این وب سایت حذف شد.
حمله علیه شرکت کومودو به اهداف خود دست نیافت: چرا که پیش از آن که مجوزهای به سرقت رفته بکار گرفته شوند، شناسایی و خنثی شدند. هرچند، در مورد شرکت دیجینوتر، تأمینکننده اصلی SSL های هلندی، این گونه نشد. پایگاههای داده این شرکت در ژوئن الی آگوست 2011 تحت حمله قرار گرفتند. در طول این حمله، که با عنوان لاله سیاه معروف شد، گواهیهای تأیید وبسایتها، از جمله گواهی تأیید google. com به سرقت رفتند و در نتیجه مهاجمان موفق شدند هویت لازمه را به دست آورده و مسیر سرورهای گوگل را تغییر دهند.
تجزیه و تحلیلهایی که به خواسته شرکت دیجینوتر (که پس از حمله ورشکسته و تعطیل شد) انجام شد نشان میدهد که 531 گواهی به سرقت رفته و جعل شدند و اکثر مجوزهای به سرقت رفته جهت نفوذ به اکانتهای ایمیل کاربران خصوصاً در ایران، به کار گرفته شد. این تحلیلها همچنین نشان داد که این حمله باعث نفوذ به بیش از 300 هزار کامپیوتر، که اکثر آنها (بیش از 99 درصد) ایرانی بودند، شد. نمیتوان منبع حمله را با اطمینان کامل مشخص نمود اما کارشناسان بر این باورند که کار ایران بوده و به وضوح با اهداف امنیت درونی مورد استفاده قرار گرفته است. آنچه منجر به این نتیجهگیری شد، اهداف و تعداد کاربرانی بودند که مورد حمله قرار گرفتند و پیامهایی که در وب سایت شرکت گذاشته شد و حاکی از آن بود که ایران در این حمله دخالت داشته است.
حمله به مؤسسات مالی امریکا
گزارشی که در سپتامبر 2012 در ایالات متحده صادر شد نشان میدهد که حدوداً در همان زمان، چندین موسسه مالی امریکا، از جمله سایتهای متعلق به بانک آمریکا، مورگان چِیس، و سیتیگروپ نیز مورد حمله قرار گرفتند. نتیجه ارزیابیهای انجام شده توسط منابع امریکایی این بود که این حملات سایبری به صورت اتفاقی از جانب هکرها صورت نگرفته و به احتمال زیاد توسط ایران حمایت مالی میشده و به عنوان راهی برای انتقام گرفتن از تحریمهای اعمال شده علیه ایران، انجام گرفته است. در نتیجه، مرکز به اشتراک گذاری و تحلیل اطلاعات خدمات مالی، به بانکهای ایالات متحده در مورد حملات برنامهریزی شده برای سرقت هویتها از طریق ایمیل، تروجانها، و ابزارهای مخرب جهت اتصال به صفحه کلید و بازیابی نام و نام عبور کاربران و کارمندان، هشدار داد. با این که به بانکهای بزرگ هم حمله شده بود، اما بیشتر قربانیان این حملات را کسبوکارهای کوچک و متوسط، بانکهای کوچک، و مؤسسات اعتباری تشکیل میدادند.
گروهی با نام جنگجویان سایبری عز الدین القسام، مسئولیت حمله به بانک امریکا و بازار بورس نیویورک را بر عهده گرفتند و آن را اقدامی تلافیجویانه در اعتراض به فیلمی که در سپتامبر 2012 به نمایش درآمد و در آن به حضرت محمد(ص) بیاحترامی شده بود، دانستند. این حملات، همان طور که در هشدارها هم شرح داده شده بود، نشان میدهند که مهاجمان موفق شدند، حداقل در برخی موارد، حجم وسیعی از اطلاعات را از شبکههای بانکی به دست بیاورند و به مجوزهای ورودی کارکنان دست پیدا کنند و در نتیجه توانستند مکانیزمهای دفاعی را دور بزنند.
■آرامکو، شرکت نفت عربستان توسط ویروس «شامون» مورد حمله واقع شد■
حمله علیه آرامکو
در آگوست 2012، ظاهراً با کمک شخصی از درون شرکت، که به کامپیوترها دسترسی داشته، حدوداً 30000 کامپیوتر متعلق به آرامکو، شرکت نفت عربستان، و رِسگاز، شرکت گاز طبیعی قطر، از طریق ویروسی با نام «شامون» مورد حمله قرار گرفتند. کارشناسان معتقدند که این یکی از مخربترین حملاتی بوده که علیه یک شرکت صورت گرفته است. ویروس از طریق سرورهای شرکت انتشار یافت و به اطلاعات ذخیرهشده در آنها حمله کرد. کارشناسان کامپیوتر درون شرکت میگویند که میزان خسارتها به کامپیوترهای دفتر محدود بوده و بر سیستمهای کاربردی و کنترلی شرکت اثری نگذاشته است. شرکت سیمانتک برای نخستین بار این ویروس را در آگوست 2012 شناسایی کرد. تحلیلی که توسط کارشناسان آنها و دیگر شرکتهای امنیتی صورت گرفته، نتایج زیر را در بر داشته است:
الف. ویروس شامون به جای حمله به یک سیستم کنترلی، برای حمله به کامپیوترهای یک سیستم کامپیوتری سازمانی طراحی شده بود. ویروس از نوع ابزارهای جنگ سایبری پیچیدهای نظیر استاکسنت، که به برنامه هستهای ایران در 2012 حمله کرد، نیست.
ب. هدف از حمله ویروسی، جاسوسی یا جمعآوری اطلاعات نبود بلکه تخریب کامل و جامع دادههای کامپیوترهای هدف بود.
پ. به نظر نمیرسد سازندگان این کدهای مخرب به سطوح بالا تعلق داشته باشند (همان طور که برنامهنویسان استاکسنت و شعله چنین نبودند)، و نشانهها حاکی از آن است که افراد پشت آن، چندان سطح بالا و حرفهای نیستند، چرا که ویروس پر از اشتباهات برنامهنویسی است. از سوی دیگر، این کدها به اندازه کافی ماهرانه طراحی شده بود که بتواند یک ویروس مخرب مخصوص را ایجاد نماید.
ت. ویروس به کمک یک جاسوس داخلی که به کامپیوترها دسترسی مستقیم داشت، به شرکت نفوذ کرد. به نظر میرسد که آن شخص از یک دستگاه USB برای این هدف استفاده کرده باشد.
ث. برنامهنویسان این کدها از بخشی از تصویر یک پرچم در حال سوختن امریکا استفاده کردند تا مطالب را در فایلهای کامپیوترهای آلوده پنهان کنند، و این نشانگر یک وابستگی سیاسی و/یا دینی (اسلامی) است.
ج. در کدهای سازنده مکانیزم ویروس شامون، از کلمه وایپر استفاده شده بود. همین کلمه در کدهای ویروس شعله، که به شرکت نفت ایران حمله کرد، نیز وجود داشت. این مشابهت، سوءظنها در خصوص اینکه حمله به آرامکو یک اقدام انتقامجویانه از طرف ایران در برابر حمله ویروس شعله بوده را افزایش میدهد.
■ گروهی به نام شمشیر برنده عدالت، مسئولیت حمله آرامکو را بر عهده گرفتند■
گروهی به نام شمشیر برنده عدالت، مسئولیت حمله آرامکو را بر عهده گرفتند، و اظهار داشتند که هدف این حمله منبع اصلی درآمدهای عربستان سعودی، کشوری که متهم به انجام جرم و جنایت در سوریه و بحرین میباشد، بوده است. این گروه همچنین ادعا کرد که این ویروس به آنها اجازه دسترسی به رازهای زیادی را داده است، اما تا کنون هیچ گزارشی مرتبط با این ادعا منتشر نشده است. گزارشهای حاکی از حملاتی مشابه به شرکتهای نفت و گاز در خلیج فارس، شک و تردید در خصوص اینکه این حملات بر بخشی از تلاشهای ملی متمرکز بوده است را افزایش میدهد. لئون پانِتا، وزیر دفاع ایالات متحده، اخیراً به مشارکت ایران در این حمله اشاره داشته است. یکی از اعضای ارشد سابق دولت امریکا، زمانی که ادعا کرد که دولت امریکا بر این باور است که ایران در پشت حملههای خلیجفارس قرار دارد، به طور مستقیم از این موضوع صحبت کرد.
تحلیلی که از سوی «جفری کار»، کارشناس امریکایی امنیت فضای سایبر، صورت گرفته، ادعاهایی در خصوص ارتباط ایران با حمله را ارائه میکند. ایران تنها کشوری است که به کد وایپر اصلی دسترسی دارد، و به نظر میرسد این کد پایه ویروس شامون را شکل داده است. با استناد بر گزارشی که شرکت کسپراسکای ارائه کرده، کد وایپر که در آوریل 2012، در حمله علیه وزارت نیروی ایران به کار گرفته شد، توسط سازندگان ویروس شامون نیز به کار رفته است. ایران انگیزه زیادی در حمله به شرکت نفت عربستان سعودی دارد، چرا که تحریمهای سنگینی در زمینه انرژی علیه ایران اعمال شده است. علاوه بر این، سوءظنهایی حاکی از احتمال دخالت حزبالله در این حمله نیز مورد بررسی قرار گرفت، و چندین تن از کارکنان لبنانی آرامکو دستگیر شده و مورد بازجویی قرار گرفتند.
■ افزایش تواناییهای سایبری ایران، نگرانی اسرائیل و امریکا را به همراه داشته است■
نتیجهگیری
تواناییهای توسعه یافته و در حال توسعه ایران در زمینه جنگ سایبری، باید علاوه بر دیگر کشورهای غربی، باعث نگرانی اسرائیل و البته ایالات متحده نیز باشد. کارشناسان امریکایی احساس میکنند که مقاصد و تواناییهای ایران در جسارت حمله به زیرساختهای حیاتی ایالات متحده را نباید دست کم گرفت. همانطور که همه دنیا چنین گمان میکنند، ایران (که قربانی یکی از مخربترین حملات سایبری در تاریخ بوده) هم از حمله استاکسنت درسهایی گرفته و از پتانسیل ذاتی مخرب ساخت یک ابزار تهاجمی که میتواند به سیستمهای کنترل صنعتی خسارت وارد نماید و در نتیجه باعث تخریب فیزیکی گردد، آگاه است.
■برنامه سایبری ایران مشابه برنامه هستهای این کشور است■
توسعه استراتژی ایران و فرآیندهای ترویج نیرو، نشانگر آمادهسازیهای سیستماتیک و سازمانیافته به منظور تبدیل شدن به یک قدرت بزرگ در زمینه جنگهای سایبری میباشد. گزارشهای کارشناسان حاکی از پیشرفت مداوم در تواناییها و عملیات سایبری در ایران است. یک کارشناس، در پی گزارشهای منتشر شده از حمله سایبر علیه مؤسسات مالی امریکا که به ایران نسبت داده شد، چنین اظهار داشت: «[برنامه سایبری ایران] مشابه برنامه هستهای این کشور است: پیچیدگی خاصی ندارد اما هرسال پیشرفت میکند.» جدی نگرفتن تواناهایی تکنولوژیکی ایران کار اشتباهی خواهد بود. زیرساختهای علمی ایران توسعه زیادی داشته و تعداد زیادی نیروی انسانی ماهر و کارآمد وجود دارد. بنابراین میتوان چنین پنداشت که زمان درازی طول نخواهد کشید که ایران به یک تهدید مهم در این عرصه تبدیل شود.
این ارزیابی بعدها با حمله به آرامکو بیشتر تقویت شد. پس از آن حمله، جیمز لوئیس، متخصص در زمینه امنیت فضای سایبر، اظهار داشت که ایران در توسعه تواناییهای تهاجمی سریعتر عمل کرده و بیشتر از آنچه انتظار میرفت، در استفاده از آنها جسارت به خرج داده است. معمولاً فعالیتهایی که در معرض دید قرار میگیرند، تنها نوک کوه یخ هستند و دیگر فعالیتها از دیده پنهان هستند. علاوه بر این، رشد پیچیدگیهای دفاعی ایران نیازمند احزاب ذینفعی است که باید برای کار در فضای شبکههای جداگانه آماده باشند. با وجودی که احداث چنین شبکهای و دستیابی به انزوای کامل، برای ایران چالش بزرگی است، اما باز هم چنین فعالیتی قابل تشخیص است. در واقع این خط مشی دفاعی، بیانگر چالش بزرگی است برای هرکسی که علاقهای به فعالیت در فضای سایبر ایران داشته باشد.
در همین حال، با این که فعالیتهای شناساییشده نشاندهنده میزان مشخصی از برنامهریزیهای سازماندهی شده و سیستماتیک هستند، به نظر میرسد که ایران هنوز به زمان بیشتری برای رسیدن به حداکثر سطح پیچیدگی تکنولوژیکی و سازمانی نیاز دارد. با این حال، انگیزه کشور، ترویج نیرو، و تواناییهای تکنولوژیکی، ایران را قادر خواهد ساخت که گامهای بسیار سریعی در این جهت بردارد.
■ نگرانی مسئولان دفاعی در بسیاری از کشورها نسبت به افزایش روز افزون قدرت سایبری ایران■
حمله
علیه آرامکو نتایج بیشتری در اختیار قرار میدهد، اولین مورد این است که
دفاعهای قبلی علیه تهدیدهای اینترنتی کافی نیستند. اکثر کارشناسان بر این
باورند که شرکت باید سرمایهگذاری بیشتری در محافظت علیه تهدیدهای اینترنتی
انجام میداد. ویروس مخرب توسط سیستمهای حفاظت از ویروس شناسایی نشد.
سیستمهای محافظ استاندارد کنونی، برای حفاظت در برابر تهدیدهای متمرکز و
کدهای مخرب ناشناس ساخته نشدهاند. بنابراین، نیاز است که ابزارهایی که
قادر به ارائه حفاظتهای بهتر در برابر چنین تهدیدهایی هستند توسعه یابند.
چنین ابزارهایی میتوانند حتی پس از آنکه کدهای مخرب وارد کامپیوتر هدف
شدند، هم آنها را خنثی نمایند. دومین بینش مربوط به اهداف حملههاست، که
بیشتر تخریب بیرویه دادهها در دهها هزار از کامپیوترهای شرکت نفت
عربستان سعودی بود تا جمعآوری اطلاعات. شاید بتوان جمعآوری اطلاعات در
فضای سایبر را در مواردی مشروع دانست، اما تخریب گسترده اهداف غیرنظامی به
دست ایران، نشان گر اقدامات تلافیجویانه این کشور است. این امر باعث
نگرانی مسئولان دفاعی در بسیاری از کشورها خواهد شد.
به عنوان قربانی یکی از مخربترین حملات سایبری جهان، میتوان چنین پنداشت که ایران از پتانسیل ذاتی این حوزه به خوبی آگاه است و لذا برای توسعه چنین تواناییهایی تلاش خواهد کرد. در این صورت، ساخت نیروی سیستماتیک که در این مقاله تشریح شد، به سرعت ایران را تبدیل به یکی از بازیکنان اصلی در این زمینه خواهد کرد؛ و این یعنی حمله به زیرساختهای حیاتی کشورهای دشمن مثل امریکا و اسرائیل. ایران از جوامع هکرها استفاده میکند تا فاصلهای میان فعالیتهای سایبری و سازمانهای حکومتی و رسمی ایران ایجاد نماید. چنین رویکردی در سایر دنیا، نظیر چین و روسیه هم به کار میرود و به این کشورها اجازه میدهد که مسئولیت حملات را تکذیب نمایند. بنابراین ارتباط دادن ایران به تهاجمات سایبری همچنان چالش بزرگی خواهد بود. تمرکز ایران بر فعالیتهای سایبری در اسرائیل و دیگر کشورهای غربی نیازمند واکنشهای دفاعی برنامهریزی شده است. تمامی کشورهای مربوطه باید از خط مشیهای به روز در زمینههای حفاظتی و دفاع سایبری استفاده کنند. بنابراین، در پی فرآیندهای توسعهای ایران، اسرائیل باید فضای سایبر ایران را در صدر فهرست اولویتهای اطلاعاتی خود قرار دهد و تهاجمات آنها را پیش از به کار گرفته شدن مهار نماید. همانند برنامه هستهای ایران، این چالش نیز تنها متوجه اسرائیل نیست بلکه به بسیاری از کشورهای غربی و حوزه خلیجفارس نیز مربوط میشود. از این رو، همکاریهای بینالمللی باید در زمینه اطلاعات و پیشگیری از فعالیتهای سایبری ایران صورت گیرد. در همین حین، اسرائیل باید به ساخت تواناییهای دفاعی موثر خود ادامه داده و بر سه لایه ملی مربوط به فضای سایبر تمرکز کند. اولین مورد، امنیت سازمانهاست. دومین مورد مربوط به شبکه زیرساختهای حیاتی است. در اینجا هم، چالش اصلی، فعالیت مداوم خصوصاً در زمینه آگاهی از خطرات، واکنشهای مربوط به آنها و به اشتراکگذاری اطلاعات میان نهادهای مختلف است. مورد نهایی این است که نباید تواناییهای ایران و تلاشهای احتمالی آن در صدمه زدن به تجارت و صنعت غیردولتی را دست کم گرفت. شرکتهای تجاری و صنعتی بخش خصوصی، معمولاً اقداماتی در جهت حفاظت از دادههای خود انجام میدهند. اما نمیتوان از آنها انتظار داشت که بتوانند در برابر حملات سایبری احتمالی از جانب کشورهای خارجی نظیر ایران، از خود حفاظت کنند. از این رو، نقش اصلی ستاد ملی فضای سایبری که اخیراً تاسیس شده، فرآیندهای ترویج مقررات، و به اشتراکگذاری اطلاعات، بر اساس تهدیدهای در حال تغییر و تحول، میباشد.