پروژه برداشت پسته : پیچیدگی حملات سایبری ایران + دانلود
به گزارش بولتن نیوز، اندیشکده آمریکایی امریکن انترپرایز با انتشار پژوهشی که به تازگی توسط پروژه تهدیدات حیاتی این موسسه و شرکت نورس کورپوریشن (Norse Corporation) انجام گرفته است ردپای ایران در فضای مجازی را تشریح نموده و رویههای مهم موجود در حملات سایبری این کشور را شناسایی کرده است. دادههای مربوط به سیستمهای نورس در کنار اطلاعات منبعباز که توسط تحلیلگران تهدیدات سایبری جمعآوری شدهاند به ما این امکان را میدهند تا برای اولین بار ماهیت و گستره واقعی تهدیدات سایبری ایران را مشاهده نموده و ترسیم کنیم.
■ ایران بر مهارتها و تعداد حملات سایبری خود به شدت افزوده است■
در ماه فوریه، یک سال پس از آنکه شرکت لاسوگاس سندز در معرض یک حمله سایبری ویرانگر قرار گرفت و بسیاری از کامپیوترهایی که کازینوها و هتلهای این شرکت را اداره میکردند از کار افتادند، «جیمز آر کلاپر» رئیس اداره اطلاعات ملی به طور علنی آنچه را که به ظاهر آشکار بود در کنگره بیان داشت: هکرهای ایرانی پشت این حمله بودهاند.
«شلدون جی آدلسون» میلیاردر و رئیس اجرایی شرکت لاسوگاس سندز که از حامیان عمده اسرائیل و مخالف سرسخت مذاکره با تهران است چند ماه قبل از وقوع حمله فوق رویکردی را در راستای پرداختن به مسئله ایران پیشنهاد کرده بود که تا آن زمان هیچکس در مقابل دوربینها آن را بیان نکرده بود.
«آدلسون» در ماه اکتبر ۲۰۱۳ در دانشگاه یشیوا واقع در منهتن اظهار داشت: «آنچه من میخواهم بگویم این است: گوش کنید. آیا آن بیابان را میبینید؟ میخواهم چیزی را به شما نشان دهم.» وی سپس استدلال خود را ارائه داد در رابطه با منفجر کردن یک سلاح هستهای در جایی که به هیچکس جز مارها، عقربها و امثال اینها آسیب نخواهد رساند. وی سپس افزود: «در آن صورت خواهید گفت: ببینید، بمب بعدی در مرکز تهران منفجر خواهد شد.»
در عوض تهران حمله خود را متوجه صحرای نوادا کرد. اکنون یک مطالعه جدید درباره فعالیتهای سایبری ایران که توسط شرکت امنیت سایبری نورس و موسسه امریکن انترپرایز منتشر شده به این نتیجه رسیده است که ایران بهجز حمله به شرکت لاسوگاس سندز همچنین بر مهارتها و تعداد حملات سایبری خود به شدت افزوده است آنهم در حالی که بر سر محدود ساختن قابلیتهای هستهای خود با غرب مذاکره میکند.
■ فضای سایبری یک سلاح مفید و مؤثر برای ایران■
«فردریک دبلیو کاگان» مدیر پروژه تهدیدات حیاتی که تلاش گستردهای را جهت ردگیری فعالیتهای سایبری ایران آغاز کرده است میگوید: فضای سایبری برخلاف فناوری هستهای یک سلاح مفید و مؤثر در اختیار آنها قرار میدهد. فضای سایبری تا حدودی انکار باورپذیر [دخالت در هرگونه حمله] را ممکن میسازد و به همین خاطر برای بسیاری از کشورها جذابیت دارد.»
«کاگان» استدلال کرده است که اگر تحریمهای ضد ایرانی بر اساس یک توافق هستهای پیشنهادی تعلیق شوند ایران قادر خواهد بود تا درآمدهای حاصله از افزایش صادرات نفت را به سمت تسلیحات سایبری هدایت کند. اما مشخص نیست که ایران واقعاً دست به چنین کاری بزند.
■ ایران در طول یک سال گذشته کاربرد سلاحهای سایبری را افزایش داده است■
اشاره «کلاپر» به نام ایران در پرونده حمله به شرکت لاسوگاس سندز یکی از معدود مواردی بود که آژانسهای اطلاعاتی آمریکا از یک کشور مشخص نام میبردند که در راستای اهداف سیاسی دست به چنین حملاتی زده بود. اولین بار در ماه دسامبر بود که رئیسجمهور «اوباما» کره شمالی را به حمله سایبری به شرکت سونی پیکچرز متهم کرد. دیگر مقامات آمریکایی گفتهاند که ایران در واکنشها به تحریمها دست به حملات سایبری علیه بانکهای آمریکایی زده و همچنین کامپیوترهای شرکت نفت آرامکو عربستان را به خاطر روابط نزدیک این کشور با آمریکا تخریب کرده است.
شواهد و قرائن موجود در گزارش شرکت نورس در کنار تحلیلهای صورت گرفته توسط آژانسهای اطلاعاتی آمریکا قویاً حکایت از آن دارند که ایران در طول یک سال گذشته علیرغم تحریمهای بینالمللی کاربرد سلاحهای سایبری را افزایش داده است. حملات انجام گرفته اکثراً فعالیتهای جاسوسی را شامل میشدند، اما چند مورد از حملات از جمله حمله به شرکت لاسوگاس سندز با هدف ایجاد تخریب صورت گرفتند.
■ عملیات جدید سایبری ایران■
در این گزارش راهبردی شرکت نورس ـ که همانند دیگر شرکتهای امنیت سایبری به دنبال به تصویر کشیدن حملات سایبری است اما در زمینه ارتباط دادن این حملات به یک کشور خاص انگیزه چندانی ندارند ـ هزاران حمله سایبری صورت گرفته علیه اهداف واقع در آمریکا را ردگیری کرده و آنها را به هکرهای فعال در داخل ایران نسبت داده است.
این گزارش همانند گزارش دیگری که توسط شرکت امنیت سایبری سایلنس تحت عنوان «عملیات ساطور» منتشر شده به وضوح توضیح داده است که هکرهای ایرانی پا را از آن دسته حملات سایبری که با هدف بدنام کردن یا صرفاً از کار انداختن وبسایتها صورت میگیرند فراتر گذاشته و به سمت حملات بیسروصداتری رفتهاند که هدفشان شناسایی و جمعآوری اطلاعات است. این هکرها در برخی موارد نیز به جستجو و کاوش در سیستمهای مربوط به زیرساختهای حیاتی میپردازند تا بدین ترتیب فرصت دست زدن به حملات خطرناکتر و مخربتر را به دست آورند.
■ اختلاف نظر در آمار و شدت حملات سایبری ایران■
اما نورس و سایلنس در رابطه با اینکه آیا حملات ایران در ماههای اخیر تسریع شدهاند یا اینکه آیا ممکن است تهران در جریان یک مقطع حساس از مذاکرات هستهای از شدت حملات خود کاسته باشد با هم اختلافنظر دارند.
شرکت نورس میگوید در راستای جمعآوری اطلاعات درباره شیوههای مورد استفاده مهاجمان دارای هزاران حسگر اینترنتی است و بر این نکته اصرار میورزد که علائمی مبنی بر کاهش فعالیتهای هکرهای ایرانی مشاهده نکرده است. در گزارش نورس آمده است که در فاصله زمانی بین ماه ژانویه ۲۰۱۴ و ماه قبل حسگرهای این شرکت افزایش ۱۱۵ درصدی حملات صورت گرفته از طرف آدرسهای آی.پی ایرانی را ثبت کردهاند. شرکت نورس اظهار داشت که حسگرهایش در طول نیمه اول ماه مارس روزانه به طور میانگین بیش از ۹۰۰ حمله را کشف کردهاند.
شرکت سایلنس اما نتیجهگیری متفاوتی را حداقل در ارتباط با فعالیتهای سایبری ایران در طول چند ماه گذشته و با نزدیکتر شدن مذاکرات به پایان خود ارائه نموده است. «استوارت مککلور» رئیس ارشد اجرایی و مؤسس شرکت سایلنس گفته است که فعالیتهای گروههای هکری ایرانی در طول چند ماه گذشته کاهش چشمگیری داشته است و این گروهها در حال حاضر عمدتاً خاموش شدهاند. شرکت سایلنس این گروهها را تحت نظر داشته و ردگیری نموده است.
آژانسهای اطلاعاتی آمریکا نیز این گروهها را زیر نظر دارند، اما ارزیابیهای خود از فعالیتهای این گروهها را به طور علنی منتشر نمیکنند. برآوردهای محرمانه اطلاعات ملی در طول پنج سال گذشته روسیه و چین را پیشرفتهترین و پرکارترین دشمنان آمریکا در فضای سایبری معرفی کردهاند.
با این حال، مقامات آمریکایی گفتهاند که آنها بیش از همه نگران ایران و کره شمالی هستند و این نگرانی نه به خاطر پیچیدگی و پیشرفتگی حملات سایبری این کشورها بلکه به خاطر آن است که هدف از حملات مذکور ایجاد تخریب و ویرانی بیشتر است. چنین چیزی در جریان حمله سایبری به شرکت سونی پیکچرز مشاهده شد. ایران علاوه بر حمله به شرکت لاسوگاس سندز ـ که جزئیات آن را «کلاپر» علنی نکرد ـ همچنین به عنوان منشأ حمله سال ۲۰۱۲ به شرکت آرامکو عربستان شناسایی شده است. مهاجمان در جریان حمله به شرکت آرامکو دادههای موجود بر روی ۳۰۰۰۰ کامپیوتر را پاک کردند و تصویر پرچم آتشگرفته آمریکا را بر روی این کامپیوترها قرار دادند.
■ ایران به دنبال جمعآوری اطلاعات زیرساختهای حیاتی■
مقامات اطلاعاتی آمریکا میگویند تعداد هکرهای پیشرفته ایران محدود است، اما این هکرها هم برای شرکتهای صوری و هم برای دولت کار میکنند. این مقامات نگران آن هستند که افزایش حملات ویرانگر باعث گردد مهاجمان وسوسه شوند علیه آنچه دولت آمریکا «زیرساختهای حیاتی» میداند دست به حمله بزنند. از جمله این زیرساختهای حیاتی میتوان به شبکه راهآهن، شبکه برق یا شبکه آبرسانی اشاره کرد.
برای مثال، محققان سایلنس بیان داشتهاند که هکرهای ایرانی با بهرهگیری از ابزارهایی تلاش کردهاند تا درباره سیستمهای کنترل حیاتی و شبکههای کامپیوتری در آمریکا و همچنین در کشورهای کانادا، اسرائیل، عربستان، امارات و شماری از دیگر کشورها دست به جاسوسی بزنند و احتمالاً این سیستمها را از کار بیندازند. اهداف آنها از جمله شامل شبکهای میشد که تفنگداران دریایی و غیرنظامیان را در سرتاسر آمریکا پوشش میدهد. شبکههای متعلق به شرکتهای نفتی، شرکتهای هواپیمایی و فرودگاههای بزرگ نیز از جمله این اهداف بودهاند.
پژوهشگران نورس همچنین به حملاتی از طرف ایران اشاره کردهاند که سیستمهای موسوم به اسکادا ـ مخفف عبارت سیستمهای سرپرستی و گردآوری داده ـ را هدف قرار دادهاند و مشابه حمله سایبری آمریکا و اسرائیل به تأسیسات غنیسازی هستهای نطنز هستند که در جریان آن ۱۰۰۰ سانتریفیوژ با استفاده از یک کد تخریب شدند.
یکی از اسناد آژانس امنیت ملی که به تازگی توسط «ادوارد جی اسنودن» منتشر شده است نشان میدهد که حمله سایبری فوقالذکر که اغلب با عنوان حمله استاکسنت از آن یاد میشود شاید ایرانیها را برانگیخته باشد تا مجموعهای از حملات تلافیجویانه را آغاز کنند. شرکت نورس میگوید شواهد و مدارکی یافته مبنی بر اینکه هکرهای ایرانی به شبکه شرکت تلونت (Telvent) نفوذ کردهاند. این شرکت که اکنون متعلق به شرکت اشنایدر الکتریک است نرمافزارهایی را طراحی میکند که شرکتهای انرژی و اپراتورهای شبکه برق را قادر میسازند تا سوپاپها و سوییچهای خود را از راه دور کنترل کنند.
سیستمهای این شرکت در سال ۲۰۱۲ توسط هکرهای ارتش چین هک شدند. شرکت نورس میگوید دو سال بعد از آن شاهد ۶۲ حمله در یک بازه زمانی ۱۰ دقیقهای بوده که از یک آدرس آی.پی در داخل ایران نشأت گرفته بودند و یکی از سیستمهای شرکت تلونت که اساس کل زیرساخت اسکادای این شرکت را تشکیل میدادند هدف قرار داده بودند.
■ تلاش ایران برای ایجاد سرپلهای سایبری در سیستمهای زیرساختهای حیاتی آمریکا■
پژوهشگران شرکت نورس در این باره نوشتهاند: «این اقدام را میتوان تلاش ایران جهت ایجاد سرپلهای سایبری در درون سیستمهای زیرساختهای حیاتی آمریکا تفسیر نمود ـ سرپلهای مذکور در واقع بدافزارهایی هستند که در درون سیستم غیرفعال میمانند اما به ایران امکان میدهند تا سیستمهای مذکور را بعداً در معرض آسیب و نابودی قرار دهد.»
ایران در حال تبدیل شدن به یک تهدید سایبری قابل توجه برای آمریکا و همپیمانانش است. حجم و پیچیدگی قابلیتهای هک ایران در طول چند سال گذشته به طور قابل توجهی افزایش یافته است. این کشور پیشاپیش به شبکههای به خوبی محافظتشده در آمریکا و عربستان نفوذ کرده و اطلاعات و دادههای حساس را سرقت کرده یا از بین برده است. رفع تحریمهای اقتصادی در قالب یک چارچوب توافق هستهای که اخیراً اعلام شده است باعث افزایش چشمگیر منابع در دسترس ایران خواهد شد و این کشور قادر میگردد منابع مذکور را در راستای گسترش زیرساخت حملات سایبری خود هزینه کند.
ما باید اینگونه پیشبینی کنیم که تهدید سایبری ایران شاید با سرعت بسیار بیشتری به رشد خود ادامه دهد. با این وجود، ما باید از هرگونه واکنش احساسی به این تهدید که هنوز از کنترل خارج نشده اجتناب کنیم. اولین لازمه جهت شکلدهی یک واکنش مناسب درک ماهیت مشکل است و گزارش پیش روی نیز همین هدف را دنبال میکند.
■ پروژه برداشت پسته ■
پروژه برداشت پسته نام پروژه مشترکی است که توسط شرکت نورس کورپوریشن و پروژه تهدیدات حیاتی موسسه امریکن انترپرایز در راستای ترسیم ردپای ایران در فضای مجازی و شناسایی رویههای مهم حملات سایبری این کشور به اجرا درآمده است. این پروژه از دادههای شبکه اطلاعاتی نورس بهره میگیرد. شبکه اطلاعاتی نورس متشکل از چند میلیون حسگر پیشرفته است که در سرتاسر دنیا توزیع شدهاند. هر حسگر اساساً یک نمایه کامپیوتری است که شبیه یک وبسایت واقعی، یک پورتال ورودی ایمیل، یا سیستم اینترنتمحور بانکها، دانشگاهها، نیروگاهها، ایستگاههای سوییچ برق، یا دیگر سیستمهای کامپیوتری عمومی و خصوصی که توجه هکرها را به خود جلب میکنند طراحی شده است. این حسگرها به گونهای طراحی شدهاند که به نظر برسد از امنیت پایینی برخوردارند. در این زمینه میتوان به آسیبپذیریهای شناختهشده و روز صفر جهت ترغیب هکرها به نفوذ به آنها اشاره کرد. احتمال اتصال تصادفی به حسگرهای نورس بسیار کم است. این حسگرها متعلق به شرکتهای واقعی نیستند و توسط موتورهای جستجو نمایش داده نمیشوند. دادههای مربوط به سیستمهای نورس در کنار اطلاعات منبعباز که توسط تحلیلگران پروژه تهدیدات حیاتی جمعآوری شدهاند به ما امکان دادهاند تا برای اولین بار ماهیت واقعی و گستره تهدیدات سایبری ایران را مشاهده و ترسیم کنیم.
■ شیوههای ایران برای دور زدن تحریمها■
یک چالش ویژه این است که جمهوری اسلامی دارای دو مجموعه زیرساخت فناوری اطلاعات است ـ یکی از این زیرساختها در حال حاضر در حال ساخت در داخل ایران است و دیگری از غرب اجاره و خریداری شده است. هر دوی این زیرساختها به سیستمهای کامپیوتری آمریکا و متحدانش حمله میکنند و هر دو تا حدودی تحت نفوذ حکومت و سرویسهای امنیتی هستند. ما فکر نمیکنیم ردپای حملات سایبری ایران به خاک این کشور محدود شوند.
این واقعیت خطر بزرگی برای غرب به شمار میرود و در عین حال فرصتهایی نیز فراهم میآورد. شرکتهای ایرانی از جمله شرکتهای تحت تحریم و وابسته به سپاه پاسداران انقلاب اسلامی و سازمانهای بینالمللی نظیر حزبالله میزبان وبسایتها، سرورهای ایمیلی، و دیگر سیستمهای فناوری اطلاعات در آمریکا، کانادا، آلمان، انگلیس و دیگر نقاط دنیا هستند. سرویسهای امنیتی و شهروندان عادی ایران میتوانند با ثبتنام و پرداخت مبلغی به سیستمها و نرمافزارهای کامپیوتری پیشرفته دسترسی یابند، سیستمها و نرمافزارهایی که غرب تلاش دارد مانع دسترسی ایران به آنها شود. خبر بد این است که ایرانیها با بهرهگیری از کارآمدترین شیوهها به سیستمها و نرمافزارهای مذکور دسترسی پیدا کردهاند ـ یعنی از طریق اجاره آنچه نیاز دارند بدون آنکه زحمت ایجاد یا دزدیدن آن را به خود بدهند.
اما خبر خوب این است که شرکتهای غربی مالک این سیستمها هستند. این شرکتها در صورتی که بخواهند میتوانند مانع آن شوند که نهادهای ایرانی که به خاطر تروریسم یا نقض حقوق بشر تحریم شدهاند به سیستمهای مذکور دسترسی پیدا کنند. دولتهای غربی در راستای تسهیل این کار میتوانند ـ و باید ـ فهرست نهادهای مذکور و زیرساختهای سایبری متعلق به خود را تهیه و منتشر کنند. نهادهای میزبان این سیستمها میتوانند بدین طریق ضربات چشمگیری به ایران وارد کنند و در عین حال از خود و مشتریانشان در برابر حملات نشأت گرفته از سیستمهای تحت اجاره ایران محافظت کنند.
■ ایرانیها به دنبال شناسایی سیستمهای آسیبپذیر هستند■
اما جمهوری اسلامی همچنین از شبکههای موجود در داخل ایران جهت آمادهسازی و انجام حملات سایبری پیشرفته بهره میگیرد. تحقیقات ما نشان دادهاند که سپاه پاسداران با بهرهگیری از سیستمهای کامپیوتری خود تلاش کرده است تا با استفاده از تکنیکهای پیشرفته کنترل کامپیوترهای موجود در آمریکا را در دست بگیرد. سیستمهای سپاه در طول ماهها پورتهای دارای نقیصههای شناختهشده و خطرناک را از طریق سیستمهای مختلف مورد حمله قرار دادهاند. آنها همچنین صدها سیستم آمریکایی را در عرض چند ثانیه به کمک یک سرور ایرانی اسکن کردند. این حملات اگر زیرساختهای حسگری نورس را در بر نمیگرفتند در میان ترافیک معمولی شبکه گم میشدند، اما زیرساختهای نورس الگوهای اینگونه حملات را برملا ساختند.
دانشگاه صنعتی شریف که یکی از دانشگاههای برتر ایران به شمار میرود دست به جستجوهای اتوماتیک مشابهی جهت یافتن زیرساختهای آسیبپذیر آمریکا زد و در راستای استتار فعالیتهای خود از یک الگوریتم متفاوت بهره گرفت. یک آی.پی متعلق به دانشگاه شریف در عرض چند ثانیه دو بار تلاش کرد تا از طریق پورت ۴۴۵ به سیستمهای هدف متصل شود. سپس یک آی.پی دیگر متعلق به دانشگاه شریف در عرض چند ثانیه دو بار تلاش کرد تا از طریق همین پورت به یک سیستم هدف دیگر متصل شود. همه آی.پیها آشکارا متعلق به دانشگاه شریف بودند اما هیچیک از آنها سیستمهای عمومی را میزبانی نمیکردند. این بار هم الگوی حملات تنها به این خاطر برملا شد که بسیاری از آنها زیرساختهای نورس را هدف قرار داده بودند.
حملات انجام گرفته توسط سیستمهای سپاه و کامپیوترهای دانشگاه شریف ممکن بود به نفوذ به سیستمهای آسیبپذیر و احتمالاً در اختیار گرفتن کنترل کامل این سیستمها منجر شوند. مهاجمان میتوانستند از طریق سیستمهایی که کنترلشان را در دست گرفته بودند به دیگر کامپیوترهای غرب حمله کنند و دخالت ایران در این حملات را تقریباً به طور کامل پنهان سازند. آنها همچنین میتوانستند به سیستمهای هک شده آسیب وارد کنند، سیستمهایی که ممکن بود متعلق به بانکها، فرودگاهها، نیروگاههای برق، یا دیگر زیرساختهای حیاتی باشند. ایرانیها در حقیقت در تلاشاند تا سیستمهای آسیبپذیر سرپرستی و گردآوری داده (اسکادا) نظیر سیستمهایی که شبکههای برق ما را تحت مدیریت و نظارت دارند شناسایی کنند. حسگرهای نورس که مشابه این سیستمها هستند در طول دوره زمانی مطالعه ما چندین بار مورد جستجو قرار گرفتند. روشن است که عواملی در درون ایران تلاش دارند تا یک پایگاه دادهای متشکل از سیستمهای آسیبپذیر موجود در آمریکا ایجاد کنند، سیستمهایی که در صورت آسیب دیدن میتوانند به اقتصاد و شهروندان آمریکا صدمه بزنند.
در مجموع خبر خوب این است که ما میدانیم که همه حملات کشفشده توسط شرکت نورس ناموفق بودهاند ـ حسگرهای مورد حمله در واقع سیستمهای واقعی نبودند و چیزی را کنترل نمیکردند. خبر بد اما این است که میتوانیم با اطمینان بگوییم که اینها همه ی حملات نبودند و مطمئناً برخی از حملات دیگر موفقیتآمیز بودهاند.
تصور اینکه چارچوب توافق هستهای اخیراً اعلام شده به همه این حملات خاتمه خواهد داد و یک دوره جدید تنشزدایی باعث پایان یافتن رقابت بر سر تسلیحات سایبری خواهد شد میتواند مایه تسلا باشد. اما متأسفانه دلیلی مبنی بر تحقق چنین چیزی وجود ندارد. هم کاخ سفید و هم رهبران ایران بارها تأکید کردهاند که توافق هستهای مستقل از دیگر موضوعات مورد اختلاف میان آمریکا و ایران است. توافق به خودی خود تصریح میکند که آن دسته از تحریمها که به خاطر حمایت ایران از تروریسم و نقض حقوق بشر وضع شدهاند به قوت خود باقی خواهند ماند. رفتار ایران در عراق، سوریه، لبنان، یمن و تهران نشان میدهد که حمایت از تروریسم و نقض حقوق بشر همچنان ادامه خواهد داشت.
صرفنظر از پیامد نهایی مذاکرات هستهای، ما باید منتظر آن باشیم که تهدید حملات سایبری از طرف ایران افزایش یابد. شاید صرفاً از زمان کافی جهت آماده شدن برای مقابله با این تهدیدات برخوردار باشیم.
لازم به ذکر است مرکز اشراف این گزارش را ترجمه کرده و آماده فروش است.
متن کامل این گزارش راهبردی را میتوانید از لینک زیر دانلود نمایید:
شما می توانید مطالب و تصاویر خود را به آدرس زیر ارسال فرمایید.
bultannews@gmail.com
