زوایایی پنهان از حمله سایبری به آمریکا و سرقت ابزارهای محرمانه

حدودا ۱۰ روز قبل شرکت امنیتی FireEye خبر کشف حمله گسترده و عمیقی به شبکه‌اش را منتشر کرد که ظاهرا دامنه آن حمله بسیار گسترده‌تر شده و سازمان‌های دولتی زیادی در آمریکا درگیر این ماجرا شده‌اند. این در حالی است که شرکت Fireeye بزرگ‌ترین شرکت فعال در زمینه امنیت شبکه آمریکا بوده و تعداد بسیار زیادی از شرکت‌های بزرگ آمریکا از خدمات این شرکت فعال در زمینه موارد امنیتی استفاده می‌کنند.

پس از این حمله جامعه اطلاعاتی آمریکا در بیانیه‌ای مشترک اعلام کرد گروهی ویژه برای هماهنگی پاسخ دولت به حمله گسترده سایبری تشکیل شده است.

جامعه اطلاعاتی آمریکا با صدور بیانیه‌ای اعلام کرد: این گروه ویژه، «گروه یکپارچه هماهنگی سایبری» را حمایت می‌کند. این گروه دفتر تحقیقات فدرال (اف بی آی) و آژانس امنیت زیربنایی و دفتر مدیر امنیت ملی را شامل می‌شود.

اما ظاهرا حمله هکرها به سازمان‌های بزرگ آمریکا به شرکت Fireeye محدود نشده بود و چند روز پیش خبر نفوذ هکرها به زیرساخت‌های آمریکا منتشر شد که طی این حمله هکر‌ی، وزارت انرژی، وزارت دفاع، وزارت امور خارجه آمریکا و سازمان امنیت هسته‌ای این کشور هدف جمله سایبری قرار گرفت؛ این سازمان یکی از سازمان‌های فدرال آمریکاست که وظیفه آن نظارت بر زرادخانه‌های تسلیحات هسته‌ای ایالات متحده است.

هنوز مدتی از نفوذ هکرها به زیرساخت‌های آمریکا نگذشته بود که خبر حمله سایبری به غول فناوری جهان یعنی شرکت مایکروسافت منتشر شد. چند مقام آمریکایی در این باره گفتند: محصولات امنیت سایبری تولید شده توسط شرکت مایکروسافت در تشدید عملیات هکری علیه دیگر نهاد‌ها استفاده شده است. روشن نیست چند کاربر مایکروسافت هدف این محصولات آلوده قرار گرفته اند. واشنگتن پست در رابطه با این هک مدعی شد هکر‌های روس به دست داشتن در این هک متهم هستند، هیچ مدرکی در این پیام ارائه نشده است. این در حالی است که روسیه این اتهامات را رد کرده و آن‌ها را بی‌اساس خوانده است.

وزارت امنیت داخلی آمریکا که پیشتر گفته بود هکر‌ها از چند روش در این حمله استفاده کرده‌اند در حال تحقیق درباره کاربران مایکروسافت است که در این عملیات آلوده شده‌اند.

پس از این حملات «دونالد ترامپ» رئیس‌جمهور کنونی آمریکا، روز شنبه در رشته پیامی توئیتری نسبت به حملات سایبری به ایالات متحده واکنش نشان داد. ترامپ در این پیام نوشت: «رسانه‌های جعلی در حمله سایبری اخیر بزرگنمایی بسیاری داشتند. من توضیحات کامل را دادم و همه چیز تحت کنترل است.» در ادامه این مقام ارشد آمریکا نوشت: «روسیه، روسیه، روسیه تنها چیزی است که رسانه‌های جریان اصلی درباره آن حرف می‌زنند، زیرا به دلایل اقتصادی از بحث درباره اینکه می‌تواند کار چین باشد واهمه دارند (که امری محتمل است.)»

با علی کیائی فر،کارشناس و تحلیلگر امنیت سایبری در رابطه با این حملات هکری گفتگویی داشتیم که در ادامه آن را مشاهده می‌کنید.

تحلیل شما از این حمله سایبری چیست؟

واقعیت این است که این حمله آغازگر فصل جدیدی در حوزه امنیت اطلاعات در دنیا است. چنین حملاتی با این روش در دنیا بی سابقه بوده و حتما در روز‌های آینده خبر‌های آن ادامه خواهد داشت. این حملات هم در سطح و هم در عمق بسیار گسترده بوده و هنوز ابعاد آن به طور کامل شفاف نشده است.



تفاوت این حمله با حملات قبلی در چیست؟

هکر‌ها تصمیم می‌گیرند به مقاصدی در دولت آمریکا حمله کنند. عبور از لایه‌های امنیتی این سازمان‌ها کار بسیار سختی است. هکر‌ها تصمیم می‌گیرند از روش جدیدی استفاده کنند. آن‌ها به جای حمله مستقیم به هدف، به دنبال تامین کنندگان نرم افزار‌های آن سازمان می‌گردند. متوجه می‌شوند که شرکتی به نام SolarWinds که تولید کننده محصولات مانیتورینگ و مدیریت شبکه است مشتریان زیادی در دستگاه‌های دولتی آمریکا دارد. هکر‌ها موفق می‌شوند به شبکه شرکت SolarWinds نفوذ کنند و به کد‌های نرم افزار‌های این شرکت دسترسی پیدا کنند. هکر‌ها در کد‌های نرم افزار‌های این شرکت یک درب پشتی (Backdoor) تزریق می‌کنند و منتظر می‌مانند.

شرکت SolarWinds طبق رویه‌های معمولی خود بعد از مدتی اقدام به بروزرسانی محصولات خود می‌کند. غافل از اینکه کد‌های محصولات به یک درب پشتی توسط هکر‌ها آلوده شده است. این شرکت در دنیا بیش از ۳۳ هزار مشتری داشته و بر اساس اطلاعیه این شرکت ۱۸ هزار مشتری این آپدیت‌های آلوده را نصب می‌کنند. توجه کنید که بیش از ۴۰۰ شرکت از ۵۰۰ شرکت برتر دنیا که اکثر آن‌ها هم آمریکایی هستند از مشتریان SolarWinds بوده‌اند و هکر‌ها با این روش که Supply Chain Attack نامیده می‌شود موفق شده‌اند به شبکه‌های آن‌ها نفوذ کنند.

در کنار این مشتریان می‌توان به پنتاگون، سازمان ملی امنیت هسته‌ای آمریکا، وزارت خزانه‌داری، وزارت انرژی، وزارت تجارت، وزارت امنیت داخلی و وزارت خارجه آمریکا اشاره کرد که هک شدن آن‌ها تایید شده است. ابعاد این هک آنقدر گسترده است که می‌توان آن را بی سابقه‌ترین حمله سایبری تاریخ آمریکا نامید.



این Backdoor چه عملیات مخربی می‌تواند انجام دهد؟

شما وقتی بتوانید یک Backdoor را در کامپیوتر هدف به اجرا در آورید می‌توانید هر کاری را در آنجا انجام دهید. از جمله: انتقال فایل‌ها، اجرای فایل‌ها، حتی متوقف کردن برنامه‌ها و سرویس‌ها، ساخت کاربر جدید با دسترسی‌های بالا و ...

از نظر فنی چرا چنین حمله‌ای می‌تواند اینقدر پیامد داشته باشد؟

ببینید شرکت SolarWinds نرم افزار‌های نظارتی و مدیریتی شبکه تولید می‌کند. این نرم افزار‌ها برای کارکرد درست خود باید در نقطه‌ای نصب شوند که بتوانند به Probe‌ها و Agent‌ها و تجهیزات در Zone‌های مختلف دسترسی داشته باشد. این دسترسی‌ها هم معمولا از نوع سطح بالا است. چون این سیستم‌ها باید بتوانند فاکتور‌های مهم را در سطح سیستم عامل نظارت و مدیریت کنند. حتی در مواردی که المان‌های مانیتورینگ از طریق SNMP خوانده می‌شود ممکن است دسترسی‌ها از نوع Write تعریف شده باشد. در برخی نقاط بنا به ضرورت ممکن است سرویس‌هایی با دسترسی Administrator توسط نرم افزار مانیتورینگ اجرا شود.

به طور خلاصه اینگونه نرم افزار‌ها دارای سطح دسترسی نسبتا بالایی در شبکه هستند و از طرفی در نقطه‌ای نصب می‌شوند که به Zone‌های زیادی به صورت مستقیم یا غیرمستقیم دسترسی دارد. این باعث می‌شود که Inject کردن یک Backdoor داخل آن‌ها قدرت بسیار زیادی به هکر بدهد! توجه کنید که لازم نیست سرور‌های SolarWinds روی اینترنت Publish شده باشند. حتی نیاز نیست به اینترنت متصل شده باشند. Backdoor به زیبایی کار خودش انجام می‌دهد و راه ارتباط با اینترنت را از طریق Agent‌ها و Probe‌ها پیدا می‌کند! این باعث می‌شود که ریسک این Backdoor به شدت زیاد باشد.



هدف هکر‌ها از این حمله چه بوده است؟

هکر‌ها بین ۶ تا ۹ ماه در این سازمان‌ها نفوذ داشته‌اند و می‌توانسته‌اند هر اطلاعاتی را که نیاز دارند بردارند. شرکت FireEye که یکی از بزرگترین شرکت‌های امنیتی دنیا است خودش قربانی این حمله شده و اعلام کرده که ابزار‌های محرمانه‌اش که برای بررسی آسیب پذیری‌های سازمان‌های دیگر به کار می‌رود و بسیار هم محرمانه نگهداری می‌شده توسط هکر‌ها به سرقت رفته است. وقتی که شرکت بزرگی مثل FireEye وضعیتش این است معلوم است که عمق فاجعه تا کجا می‌تواند باشد!

تصور کنید هکر‌ها در یک مدت ۹ ماهه در شبکه‌های حساس و فوق محرمانه دولت آمریکا جا خوش کرده بودند و به همه چیز دسترسی داشته‌اند و هر سند و مدرکی را که خواسته‌اند از عمق سرورهای محرمانه دولت آمریکا استخراج کرده‌اند! سازمان ملی امنیت هسته‌ای آمریکا و پنتاگون هم مورد هک واقع شده‌اند و هنوز اعلام نشده که هکر‌ها به چه مستندات ارزشمندی دست یافته اند، ولی می‌شود حدس زد که آمریکایی‌ها چقدر باید بابت این حملات نگران باشند. این حملات هم در سطح و هم در عمق بسیار عمیق بوده است و هنوز هم ابعاد ناشناخته بسیاری دارد که با گذشت زمان شفاف خواهد شد.



به نظر شما چه کسی پشت این حملات است؟

یکی از ویژگی‌های جنگ‌های سایبری این است که مکان و هویت مهاجم غالبا ناشناس است و لذا انتساب این هکر‌ها به دولت‌ها غالبا از روی قرائن است. بر اساس قرائن به دست آمده یک گروه هکری حرفه‌ای با پشتوانه دولتی مسئول انجام این حملات هستند. مقامات آمریکا اعلام کرده‌اند که شواهد نشان می‌دهد روسیه پشت حملات سایبری اخیر به آمریکا بوده است گرچه روسیه و شخص پوتین این ادعا را تکذیب کرده است.

به نظر شما واکنش آمریکا به این حملات چه خواهد بود؟

آمریکا در دکترین دفاعی خود، انجام حملات سایبری دولتی علیه کشورش را معادل اعلان جنگ نظامی می‌داند؛ لذا این حق را برای خودش قائل است که جواب یک حمله سایبری را با حمله نظامی بدهد. اما از آنجا که دولت قدرتمند روسیه متهم شماره یک این حملات است و از طرفی دولت فعلی آمریکا هم روز‌های پایانی خود را می‌گذراند احتمال رویایی نظامی وجود ندارد.

اما آمریکا هم از قدرت و امکانات لازم برای رویایی و مقابله به مثل کردن برخودار است. آنچه مهم است این است که آمریکا ضربه سهمگینی در این حملات خورده و هنوز دقیقا نمی‌داند چه بر سرش آمده است؛ لذا انتظار واکنش فوری هم از آمریکا بعید به نظر می‌رسد. کاخ سفید فعلا درحال بررسی ابعاد ماجراست و تیمی متشکل از FBI و وزارت امنیت داخلی و آژانس امنیت ملی برای بررسی موضوع تشکیل داده است.



گویا پای شرکت مایکروسافت هم به این ماجرا باز شده، نظر شما چیست؟

مایکروسافت تایید کرده که باینری‌های آلوده این حمله را در شبکه خود مشاهده کرده، اما تاکید کرده این کد‌ها در شبکه‌ای ایزوله از سیستم‌های عملیاتی مایکروسافت بوده‌اند و شواهدی مبنی بر دسترسی هکر‌ها به سیستم‌های عملیاتی این شرکت پیدا نشده است. مایکروسافت تایید کرده حداقل ۴۰ تا از مشتریانش در سراسر دنیا مورد حمله قرار گرفته‌اند که ۸۰ درصد آن‌ها در آمریکا بوده‌اند .

آیا شواهدی از اینکه ایران هم مورد حمله قرار گرفته وجود دارد؟

نرم افزار‌های SolarWinds در ایران موارد استفاده زیادی داشته‌اند. در نقشه‌ای که مایکروسافت از حملات اخیر منتشر کرده آثار حمله در ایران هم مشاهده می‌شود.

ضروری است کسانی که در ایران از محصولات این شرکت آمریکایی استفاده می‌کرده‌اند ابتدا ارتباط آن را با شبکه قطع کرده و برای حل مشکل به توصیه‌های ارائه شده توسط مراکز افتا و ماهر مراجعه کنند.