احمد باطبی
بیش از ده سال است که اصطلاح «هکرهای حکومتی» یا «هکرهای وابسته به جمهوری اسلامی» به ادبیات سایبری وارد شده است. اگرچه در سالهای آغازین، کسی هکرهای وابسته به حکومت ایران را جدی نمیگرفت، اما به اعتراف بسیاری از دولتها و شرکتهای معتبر فعال در صنعت امنیت سایبری، امروز هکرهای وابسته به جمهوری اسلامی یکی از خطرناکترین مجموعههای موسوم به «تهدید پیشرفته مدام» (APT) هستند.
(APT) یا (Advanced Persistent Threat) در صنعت سایبری اصطلاحی است برای مخاطب قراردادن تهدیدهای مستمر و هدفمند سایبری، که از سوی هکرهای تحت حمایت دولتها سازماندهی و اجرا میشود، تا به اهدافی مانند دولتهای دشمن و یا رقیب، مخالفان حکومت، سازمانها و نهادهای تاثیرگذار، شرکتهای تجاری و مراکز علمی حمله کنند. هدف اصلی گروههای تهدید پیشرفته مدام که با علامت اختصاری (APT) و ارقام منتسب به آن شناخته میشوند، اخلال در روند فعالیت عادی قربانی و یا سرقت اطلاعات و سرمایههای معنوی آن است. (APT33) ،(APT34) ،(APT39) ازجمله گروه ایرانی تهدید پیشرفته مدام هستند که تحت حمایت جمهوری اسلامی به فعالیتهای مجرمانه اینترنتی مشغولند. شرکتهای امنیتی رصدکننده (APT) معتقدند که گروههای هکری «هولمیوم» (HOLMIUM) و «ال فین» (Elfin) متعلق به (APT33) هستند. براساس شواهد موجود، این مجموعه از سال ۲۰۱۳ فعالیت خود را آغاز کرده و تا کنون به اهداف متعددی در آمریکا، عربستان سعودی و کره جنوبی حمله کرده است. (APT33) علاقه ویژهای به اهداف مرتبط با صنعت هواپیمایی دارد.
(APT34) نیز مجموعهای است از گروههای مستقل هکری، مانند «بچهگربههای جذاب» (Charming Kitten)، تیم امنیتی «آژاکس» (Ajax)، «فسفروس» (Phosphorous) و چند نام دیگر که از سال ۲۰۱۴ گرد هم آمده و تاکنون مراکز متعددی در حوزههای مالی، دولتی، انرژی، شیمیایی، ارتباطات و سایر صنایع را در سراسر جهان هدف قرار دادهاند.
(APT39) هم مانند (APT34) در سال ۲۰۱۴ ظهور کرد. این مجموعه زیر نظر وزارت اطلاعات ایران و با پوشش شرکتی به نام «رایانش هوشمند رانا»، گروههایی مانند «ریمیکس کیتن» (REMIX KITTEN)، «آی تی جی ۰۷» (ITG07) و «چفر»(Chafer) را گرد هم آورده و از آن سال تاکنون، حملههای متعددی را به اهدافی در آسیا، آفریقا و آمریکای شمالی صورت داده است.
یکی از شاخصهای اصلی برای مقایسه قدرت و توسعهیافتگی گروههای (APT) با یکدیگر، توان آنها در کشف و بهرهبرداری از ضعفهای امنیتی موسوم به «روز صفر» (zero-day) است. روز صفر به آسیبپذیریهایی گفته میشود که تاکنون کشف نشده و هکر و یا هکرهای کاشف آن، تا زمانی که قربانی از آن مطلع نشده و اقدام به ترمیم آن نکرده باشد، میتوانند آزادانه از آن استفاده و به سیستم قربانی نفوذ کنند. یافتن آسیبپذیریهای روز صفر، در صنعت سایبری امری بسیاری پیچیده محسوب میشود و کشف آن، چه با هدف ترمیم آسیبپذیری و چه به منظور سوءاستفاده سایبری نیازمند زمان، هزینه و تخصص فراوان است.
با این شاخص، گروههای تهدید پیشرفته مدام ایران که تا به حال، به ندرت از آسیبپذیریهای روز صفر استفاده کردهاند، در مقایسه با گروههایی مانند (APT28) متعلق به روسیه و (APT12) متعلق به چین، از توسعهیافتگی کمتری برخوردارند. اما در عوض، سابقه گروههای (APT) ایرانی نشان میدهد که آنها این ضعف خود را با افزایش فعالیتهای خود در حوزه «مهندسی اجتماعی» (Social engineering) جبران کردهاند.
گزارشهای منتشر شده توسط دولتها و شرکتهای بزرگ فعال در حوزه امنیت سایبری، بیانگر طیف گستردهای از حملات سایبری گروههای (APT) ایرانی است که اساس آن مهندسی اجتماعی و فریب قربانی بوده و از مهارتها و پیچیدگیهای منحصربه فردی برخوردار است.
«امیلهاگبرت» (Emiel Haeghebaert)، تحلیلگر شرکت امنیتی (Mandiant Cyber Threat Intelligence | FireEye) در اظهار نظری گفت که ایران جامعهای از هکرهای زیرزمینی در پایینترین سطح از طیفمهارتها دارد که برخی از آنها با انگیزههای سیاسی و یا هدف اخلال در عملکرد عادی دشمنان اقدام به فعالیتهای سایبری میکنند، و یا لایههای میانی جامعه ایرانیان در تبعید را هدف حملات هکری قرار میدهند. بنیان کار این هکرها، حملات نوع فیشینگ، مهندسی اجتماعی و ارسال پیامهای کوتاه آلوده است که این رفتار آنها، با شیوه «تاکتیکها ، تکنیکها و رویهها» (Tactics, Techniques, and Procedures) (TTPs) قابل تحلیل است.
(TTPs) یکی از موضوعات بنیادین در بحث تروریسم سایبری محسوب میشود که در آن، با تحلیل و بررسی تاکتیکها ، تکنیکها و رویههای مورد استفاده مهاجمان، اهداف، ابزار، استراتژی و خصوصیات دیگر تروریستهای سایبری مشخص میشود.
(APT34) نسبت به دیگر گروههای تهدید پیشرفته مدام، از ابزار و توانمندیهای به روزتری برخوردار است. این گروه به شکل مستمر ابزارهای خود را سفارشی کرده و و آن را با جدیدترین الگوها و شیوههای موجود در عالم مجازی به روزرسانی میکند. یکی از شاخصهای عملکرد این گروه نسبت به گروههای دیگر ایرانی و غیرایرانی، انجام طیف گستردهای از حملات سایبری برای سرقت (DNS) وبسایتها و بهره برداری از آنها است. اگرچه گروههای (APT) روسی و چینی با ابزار، مهارت و امنیت عملیاتی بالاتری نسبت به هکرهای ایرانی حملات (DNS hijacking) را انجام میدهند، اما به استناد گفتههای «امیلهاگبرت»، برتری روسها و چینیها به این معنا نیست که گروههای (APT) ایرانی در برای سرقت (DNS) وبسایتها ناموفق هستند.
«راف پیلینگ»، محقق ارشد امنیت اطلاعات در موسسه (Secureworks) نیز به نشریه «دیلی سوئینگ» (The Daily Swig) گفت که طیف گستردهای از هکرهای ایرانی وجود دارند که برخی از آنها با تیمهای امنیتی شرکتهای تجاری همکاری کرده و برخی دیگر نیز گاه بدافزارهای با کیفیتی تولید و با احتیاط در فضای مجازی منتشر میکنند. اگرچه تاکنون حملات نوع «تزریق به دیتابیس» (SQL injection) و یا «بهرهبرداری از ضعفهای امنیتی وبسایتها»ی (web exploits) متعددی از هکرهای ایرانی به ثبت رسیده است، اما تاکنون مورد خاصی از نوع حملات روز صفر را از آنها شاهد نبودیم. با اینحال آنها در بهرهبرداری فوری از ضعفهای امنیتی افشا شده، مانند آسیبپذیریهای (VPN)، (Citrix) و (RDP) موفق بودهاند.
حمله به تلفنهای همراه و ایمیلها، دو شیوه مورد علاقه هکرهای ایرانی محسوب میشود. آنها با استفاده از مهندسی اجتماعی و فریب قربانی تلاش میکنند، کنترل ایمیلهای آنان را به دست گرفته و یا روی تلفنهای همراهشان، بدافزارهای جاسوسی نصب کنند.
«جاستین آلبرشت» (Justin Albrecht) مهندس امنیت اطلاعات و متخصص امنیت موبایل میگوید، بررسی بدافزارها مورد استفاده هکرهای ایرانی نشان میدهد که آنها علاقه فراوانی به کدهای لو رفته و منابع متنباز موجود در اینترنت دارند. اما بسیاری از بدافزارهای آنها، با وجود داشتن ویژگی «دسترسی از راه دور تروجان» (Remote Access Trojan) (RAT)، فاقد عناصر محبوب پیشرفته، مانند امکان «بهرهبرداری از دسترسی به خدمات» (The abuse of accessibility services)، «مبهمسازی پیشرفته» (Heavy Obfuscation) و یا بستهبندی محتوا است. با این وجود، این بدافزارها معمولا در کار خود موفق هستند.
آغاز سازمانیافتگی و توسعه گروههای تهدید پیشرفته مدام ایرانی، به بعد از حملات سایبری به تاسیسات اتمی ایران، موسوم به «استاکسنت» (Stuxnet) در سال ۲۰۱۰ بازمیگردد. سپاه پاسداران انقلاب اسلامی و وزارت اطلاعات جمهوری اسلامی، دو نهاد اصلی فعال در حوزه تاسیس، سازماندهی و بهرهبرداری از گروههای هکری تحت حمایت حکومت هستند. این دو سازمان، علاوه بر استخدام نیرو و آموزش فنی آنها، بسیاری از هکرهای مستعد و توانمند را با پیشنهاد مالی و یا تهدید و فشار، به خدمت خود درآوردهاند. این دو نهاد حتی شرکتهای خصوصی به ظاهر مستقل تاسیس کرده و یا سازمانهای مستقل را به استخدام خود درمی آورند، تا عملیاتهای مورد نظر خود را در صورت نیاز به آنها سپرده و در اصطلاح برونسپاری کنند.
جرایم سایبری حکومت ایران ابتدا با عنوان «ارتش سایبری ایران» انجام میشد. با گذشت زمان و با توجه به سرمایهگذاریهای بیشتر و تدوین اولویتهای استراتژیک جمهوری اسلامی، این فعالیتها با نامهای دیگری پیوند خورده و از تکامل و پیچیدگی بیشتری بهرهمند شد.
تقسیم کار، تلاش برای همترازی فنی و حرفهای با گروههای مشابه در دنیا، تولید بدافزارهای اختصاصی و توسعه و خصوصیسازی بدافزارهای شناخته شده، از جمله اقداماتی است که در سالهای اخیر در عملکرد این گروهها دیده شده است.
جمهوری اسلامی همچنین بهکارگیری گروههای هکری نیابتی و جعلی را در کارنامه خود دارد که حمله تخریبی سال ۲۰۱۲ با بدافزاری بنام «شامون» (Shamoon) به اهدافی در عربستان سعودی، به اسم گروه هکری «ضربت شمشیر عدالت» (Cutting Sword of Justice) از آن جمله است.
گروههای تهدید پیشرفته مدام ایرانی تقریبا به سراسر جهان حمله کردهاند؛ اما در این میان ایالات متحده آمریکا، اسراییل، عربستان سعودی و امارات به عنوان کشورهای رقیب و یا دشمن، چهار هدف اصلی هکرهای وابسته به جمهوری اسلامی بودهاند.
حمله سال ۲۰۱۲ به تاسیسات نفت و گاز عربستان سعودی موسوم به حمله «شامون»، حمله به سیستمهای کنترل صنعتی (ICS) سد بومن نیویورک در سال ۲۰۱۳، حملات موسوم به (OpAbabil) در سال ۲۰۱۲ و ۲۰۱۳ در آن بانکهای غربی مورد حمله نوع (DDoS) قرارگفتهاند، حمله به دانشگاههای غربی برای سرقت اطلاعات معنوی و سرمایههای علمی، حمله به مخالفان و دولتها برای جاسوسی، و دهها مورد از این دست نشان میدهد که جمهوری اسلامی از مجموعه فعالیتهای مخرب سایبری سه هدف را دنبال میکند: «تخریب، اخلال و جاسوسی»
استراتژی جمهوری اسلامی در حوزه سایبری، دیده شدن و جدی گرفته شدن توسط جامعه جهانی به عنوان یک تهدید بالقوه و یک حکومت توانمند در فضای مجازی است. توانمندی سایبری همان استراتژی است که بسیاری از کشورها آن را دنبال میکنند. اما عموم آنها از این توانایی به صورت دفاعی بهره میبرند. اما جمهوری اسلامی ظاهرا همان استراتژی که در دنیای واقعی در پیش گرفته، به دنیای مجازی نیز منتقل کرده است.
مطالب مرتبط:
گرفتاری دوباره صدها سازمان در جهان به نسخه تازه باجافزار ریویل
نهادها، دانشگاهها و شرکتهای فناوری ایران، هدف بدافزار «گلسمیوم»
هشدارنهادهای اطلاعاتی آلمان در مورد افزایش توانایی حملات سایبری ایران
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر