با وجود اظهارنظر بسیاری از کاشناسان، هنوز این پرسشها باقی است که گروه The Shadow Brokers چه کسانی هستند و چگونه موفق شدند به کارگزار مخوفترین عملیات سایبری دنیا نفوذ کنند.
به گزارش پایداری ملی ، ممکن است گزارشهایی در مورد نفوذهای اخیر علیه NSA شنیدهباشید که موجب ایجاد بحثهای بزرگی در مورد تواناییهای سازمانهای اطلاعاتی ایالاتمتحده و همچنین امنیت خود شدهباشند.
هفته گذشته در اخبار اعلام شد که یک گروه مرموز از نفوذگران با عنوان The Shadow Brokers ادعا میکنند که موفق شدهاند به یک گروه مرتبط با NSA نفوذ کنند و برخی از ابزارهای نفوذگری NSA را منتشر کرده و وعده فروش این ابزارها را پس از اینکه بیشتر شخصی شدند به قیمتی بالاتر دادهاند.
این گروه مجموعهای از ابزارهای نفوذ از عملیات Equation Group که مربوط به یک واحد نخبه حملات سایبری و وابسته به NSA است روی وبسایتهای GitHub و Tumblr منتشر کردهاند.
عملیات Equation Group یکی از پیشرفتهترین حملات سایبری است که بیش از 10سال ناشناخته باقی ماندهبود و سال گذشته توسط کسپرسکی شناسایی شد.
گروه نفوذگران The Shadow Brokers دادههای نفوذ خود را در دو بخش منتشر کردهاند؛ یکی از آنها شامل بسیاری از ابزارهای نفوذ است که برای تزریق بدافزار در کارگزارهای متعدد طراحی شدهاست و دیگری یک پرونده رمزگذاری شده حاوی «بهترین پروندهها» است و این گروه آن را به قیمت یکمیلیون بیت کوین عرضه کردهاند.
بااینحال، خدمات گیتهاب، پروندهها را از صفحات خود حذف کردهاست؛ نه بهخاطر اینکه تحتفشار دولت قرار داشتهاست، بلکه بهخاطر اینکه نفوذگران برای انتشار دادههای بیشتر مطالبه پول کردند و سیاستگذاری این وبسایت به آن اجازه نمیدهد که به دیگران اجازه دهد تا به مزایده یا فروش اموال سرقت شده در این بستر مدیریت کدهای منبع بپردازند.
نفوذ به NSA موجب ایجاد چندین پرسش مهم شده ازجمله اینکه آیا Equation Group یک واحد حمله سایبری مرتبط با سازمان امنیت ملی آمریکا است؟ آیا نفوذ به Equation Group و نشت اطلاعات از آن قانونی بودهاست؟ اگر چنین است آیا این ابزارهای نفوذ پیشرفته واقعاً متعلق به Equation Group بودهاند؟ و چه کسی پشت این نفوذ است؟ آیا روسیه در این میان نقشی داشتهاست؟
کسپرسکی تأیید کرد که ابزارهای نفوذ منتشر شده متعلق به گروه مرتبط با NSA بودهاست. بنا به یک گزارش فنی منتشر شده توسط لابراتوار امنیتی کسپرسکی، ابزارهای نفوذ پیشرفته منتشر شده شامل نوعی از امضاهای دیجیتال بودهاند که منحصر به بدافزارها و نرمافزارهای نفوذ به کارگرفته توسط Equation Group در گذشته است.
محققان کسپرسکی در وبلاگ گزارش دادهاند: «درحالیکه ما نمیتوانیم هویت مهاجم یا انگیزه او را مشخص کنیم و نمیتوانیم مشخص کنیم که کجا و چگونه این گنجینه به سرقت رفته است؛ اما میتوانیم اظهار کنیم که ابزار نشت دادهشده نشاندهنده یک ارتباط قوی با یافتههای قبلی ما از Equation Group هستند».
بیش از ۳۰۰ پرونده رایانهای یافت شده در آرشیو گروه The Shadow Brokers دارای یک الگوریتم رمزنگاری RC۵ و RC۶ هستند که بهصورت گسترده توسط Equation Group استفاده میشدهاند. همچنین پیادهسازی الگوریتمهای رمزنگاری نیز کاملاً شبیه به کد RC۵ و RC۶ در بدافزار Equation Group است.
محققان نوشتهاند: «بیش از ۳۰۰ پرونده در آرشیو گروه The Shadow Brokers موجود است که نوع خاصی از روشهای RC۵ و RC۶ بوده و احتمال تقلبی بودن یا مهندسی شدن همه اینها بسیار ضعیف است. شباهت بسیار زیاد کدها ما را بهاحتمال بسیار زیادی قانع میکند که باور کنیم ابزارهایی که در نشت گروه The Shadow Brokers بهسرقت رفتهاند مربوط به بدافزارهایی از Equation Group هستند.»
در اینجا مقایسهای میان کدهای RC۶ و کدهایی که از این نشت جدید گرفته شدهاند قرار داده میشود تا نشان دهد که عملکرد یکسانی دارند و مشخصات و ویژگیهای مشابهی را پیادهسازی میکنند.
آزمایشگاه کسپرسکی در گذشته Equation Group را به NSA مربوط دانسته و توضیح دادهبود که «یک گروه تهدید است که در مسائلی مانند نظیر پیچیدگی و پختگی تکنیکها سرآمد هستند و برای دو دهه است که به فعالیت میپردازند».
این شرکت امنیتی همچنین ادعا کردهاست که Equation Group در پشت مجموعهای از انواع بدافزارها بودهاست که شامل Stuxnet و Flame میشوند و در حملات سایبری که توسط ایالات متحده آمریکا سازماندهی شدهاند بهکار میرفتهاند.
ادوارد اسنودن یکی از بزرگترین افشاگران تاریخ و کارمند سابق NSA نیز صحت اطلاعات منتشر شده را تایید کردهاست.
اکنون با اضافهشدن دلایل بیشتری برای اثبات این امکان و گمانهزنیهای قویتر برخی از کارمندان سابق NSA میگویند که ابزارهای نفوذ نشت دادهشده قانونی بوده و با NSA پیوند دارند.
یکی از کارمندان سابق آژانس امنیت ملی آمریکا که در بخش خاص نفوذ بهعنوان عملیات TAO مشغول به کار بودهاست به واشنگتنپست گفت که «بدون شک این کلیدها متعلق به پادشاهی NSA هستند».
این کارمند سابق TAO که خواسته نامش برده نشود، گفته است: «ابزارهایی که شما درباره آن صحبت میکنید به تضعیف امنیت بسیاری از دولتها و شبکههای تجاری هم در درون و هم برون کشور پرداختهاند.»
همچنین یکی دیگر از کارکنان سابق TAO که این پروندههای منتشر شده را دیده است میگوید: «با توجه به آن چیزی که من دیدهام شکی ندارم که این ابزارها قانونی و مربوط به NSA هستند.»
بنابراین پس از تجزیهوتحلیل آزمایشگاه کسپرسکی و اظهارات روشن و صریح کارکنان سابق TAO مشخص میشود که ابزارهای نفوذ به سرقت رفته NSA قانونی هستند.
نفوذ یا کار افراد داخلی
علاوهبر این شایعه شدهاست که نفوذ به NSA همچنان که مت سوییچی، بنیانگذار شرکت امنیت مستقر در امارات متحده عربی، بعد از بحث درباره این رخداد با یکی از کارکنان سابق آژانس امنیت ملی آمریکا و TAO گفتهاست، کار افرادی از داخل بودهباشد.
سوییچی در وبلاگ خود نوشته است: «این مخزن حاوی جعبهابزار NSA TAO است که بر روی شبکه فیزیکی و تفکیکشده ذخیره شدهاست و به اینترنت متصل نمیشود و دلیلی هم برای این کار وجود ندارد (به یاد داشتهباشید که این یک مخزن ابزار است). دلیلی وجود ندارد که این پروندهها بر روی کارگزار قرار گرفتهباشند مگر اینکه کسی به عمد و باهدف مشخصی این کار را انجام داده باشد. سلسلهمراتب پروندهها و نامگذاری بدون تغییر پرونده بهوضوح میگویند که این پروندهها مستقیماً از منبع خود رونوشتبرداری شدهاند».
کارشناسان و اسنودن به نقش روسها در این نفوذ معتقدند
بسیاری از کارشناسان امنیت سایبری و همچنین پیمانکار و کارمند سابق NSA معتقدند که روسها در پشت این نفوذ به NSA قرار دارند. در چند هفته گذشته، ویکیلیکس و یک نفوذگر ناشناخته که از نام مستعار Guccifer 2.0 استفاده میکند، تعداد زیادی از اسناد را منتشر کردهاند که از نفوذ به کمیته ملی حزب دموکرات (DNC) و یک نفوذ جداگانه دیگر به کمیته مبارزاتی کنگره حزب دموکرات (DCCC) بهدست آمده بود.
چندنفر از مقامات سازمانهای اطلاعاتی آمریکا و شرکتهای امنیتی انگشت اتهام خود را به سمت روسیه بهخاطر انجام این نفوذها در حزب دموکرات قرار دادند با وجودی که روسیه هرگونه مداخلهای را در این کار انکار کردهاست.
در گزارش والاستریت ژورنال آمده است: «اداره تحقیقات ملی و آژانسهای اطلاعاتی آمریکا مشغول مطالعه بر روی نفوذ به حزب دموکرات هستند و بهنظر چندین نفر از مقامات این کار به یقین توسط نفوذگران وابسته به روسیه انجام شدهاست. روسیه هرگونه مداخلهای را انکار کردهاست اما چندین شرکت امنیت سایبری گزارشهایی را منتشر کردهاند که این نفوذ را به نفوذگران روسی مرتبط میکند».
اکنون هم اسنودن و هم دیو آیتل که یک کارشناس امنیتی است و ۶ سال را بهعنوان پژوهشگر امنیتی NSA گذراندهاست، حدس میزنند که آخرین نشت صورتگرفته توسط گروه The Shadow Brokers در پاسخ به تنش ایجاد شده بین ایالات متحده آمریکا و روسیه در مورد نفوذ به حزب دموکرات باشد.
اسنودن گفت که این نفوذ احتمالاً منشأ روسی دارد و افزود: «هیچکس نمیداند؛ اما من شک دارم که این نفوذ بیشتر به دیپلماسی مربوط به تشدید بحران نفوذ به حزب دموکرات مربوط باشد تا هوش اطلاعاتی».
این اظهارنظر ارائهشده از سوی اسنودن بودهاست: «شواهد برآمده از شرایط و عقل سلیم نشان میدهد که این کار روسیه است و به همین دلیل است که این کار قابلتوجه و بااهمیت است؛ این نشت بهاحتمال زیاد یک هشدار است که کسی میتواند مسئولیت آمریکا را برای انجام هرگونه حمله که از سوی این کارگزار بدافزاری صورت گرفتهاست، اثبات کند. این کار میتواند عواقب مهمی در سیاست خارجی داشتهباشد. بهخصوص که اگر یکی از این عملیاتها، یکی از متحدان آمریکا را هدف قرار داده باشند و بهخصوص که اگر یکی از این عملیاتها انتخابات را نشانه رفتهباشند. بر این اساس این نفوذ میتواند تلاشی برای تأثیر بر روی محاسبات تصمیمگیرندگانی باشد که میخواهند بهتندی در برابر نفوذ به حزب دموکرات واکنش نشاندهند. به نظر میرسد که در این نشت کسی میخواستهاست پیامی ارسال کند که تشدید این وضعیت میتواند بهسرعت موجب ایجاد یک بازی کثیف شود. »
در پی توییتهای اسنودن، آیتل نیز یک پست در وبلاگ خود منتشر کرد و در آن گفت که روسیه بهاحتمال زیاد مظنون اصلی نفوذها به حزب دموکرات و آخرین نشت ابزارهای جاسوسی NSA است.
جدای از این حدس و گمانها، ویکیلیکس نیز که قبلاً روشن کردهاست با انتشار اسناد به شانس هیلاری کلینتون برای تبدیل به رئیسجمهور ایالت متحده لطمه زدهاست، گفت که درحالحاضر پروندههای خود را از گروه The Shadow Brokers دارد و آنها را بنا به عللی منتشر خواهدکرد.
بااینحال هنوز بسیاری از پرسشها بدون پاسخ ماندهاست که گروه The Shadow Brokers چه کسانی هستند و چگونه موفق شدند به کارگزار مربوط به مخوفترین عملیات سایبری دنیا، یعنی Equation Group نفوذ کنند و ابزارهای نفوذ و بدافزارهای آنها را بهسرقت ببرند و آیا واقعاً این گروه میخواهد تا پروندهها را برای یکمیلیون بیت کوین به حراج گذارد یا اینکه این موضوع فقط برای انحراف افکار بیان شدهاست؟