افزایش حملات سایبری ایران در دنیا
علی شمیرانی – هفته قبل انتشار گزارشی از سوی مایکروسافت با به روزرسانی گزارش قبلی خود بر اساس یافتههای جدید، انتشار گزارشی از سوی شرکت متا و همچنین گزارشی دیگر از سوی چک پوینت، اتهامات جدیدی متوجه ایران شد
و در این گزارشها که تقریبا همزمان منتشر شدند، این ادعا مطرح شد که فعالیتهای خرابکارانه و تهاجمی سایبری ایران به دیگر کشورها به سرعت در حال افزایش است.
اگرچه تجربه سالها حملات سایبری انجام شده در دنیا از سوی کشورهایی نظیر آمریکا و اسراییل به ویژه در ماجرای حمله به تاسیسات اتمی ایران که از طریق استاکسنت انجام شد و بعدها از آن با عنوان نخستین سلاح سایبری دنیا نام برده شد، دو موضوع را روشن و لاینحل باقی گذاشت.
نخست آنکه تعیین دقیق و عامل حملات سایبری در دنیا یک موضوع لاینحل و تقریبا غیر قابل اثبات است و متخاصمان میتوانند با انتساب خود به کشورهای مختلف، عملیات نفوذ و هک را پیش ببرند و از هر گونه عقوبت و پیگیری و جبرانی در امان باشند.
نکته دوم آنکه نهادها و مراجع بینالمللی نیز همچنان در نحوه مواجهه و ورود به پدیده حملات و جنگهای سایبری کاملا بلاتکلیف و دست بسته هستند. خواه این عملیاتهای خطرناک به وسعت ویروس استاکسنت باشد و خواه در حد تخریب و دستکاری در سایتهای دولتی کشورها باشد.
با تمام این تفاسیر یک رویه در تمامی گزارشهای منابع اطلاعاتی و شرکتهای مستقر در آمریکا و کشورهای غربی و متحد آمریکا، به کرات و به شکلی واحد در حال پمپاژ در رسانههاست و آن اینکه هر کجا اسمی از حملات و خرابکاریهای سایبری شنیده میشود، بدون ارایه مستنداتی، معمولا نام چهار کشور در کنار یکدیگر تکرار میشوند:
چین، روسیه، ایران و کره شمالی.
به عبارت دیگر در سالهای اخیر یک کمپین گسترده و جهانی در حال پیشبرد است که ایران و سه کشور دیگر را محور و عامل تمامی تهدیدهای سایبری دنیا معرفی میکنند.
موضوعی که نیازمند توجه متولیان عرصه سایبری، دیپلماسی و رسانهای کشور است تا نسبت به رویه مذکور و پنهان شدن سایر کشورها در پس حملات منتسب به کشور اقدامات لازم را به عمل آورند.
با این مقدمه ابتدا باید نگاهی به گزارش مایکروسافت و طرح اتهاماتی به ایران پرداخت.
- گزارش مایکروسافت
بنا به ادعای مایکروسافت که گزارش چند هفته پیش خود را به روزرسانی و بازنشر کرده است، ایران همچنان یک عامل تهدیدکننده مهم در حوزه سایبری است و اکنون در حال تکمیل حملات سنتی خود با مدلهای بازی جدید است.
در ادامه گزارش مایکروسافت با طرح اتهاماتی آمده است: «ایران از عملیات نفوذ سایبری (IO)، برای دستیابی به اهداف ژئوپلیتیکی خود استفاده میکند.
مایکروسافت اعلام کرده که از ژوئن 2022 به سرعت فعالیتهای ایران را شناسایی کرده است.
طبق ادعای این شرکت، در سال گذشته میلادی، 24 عملیات نفوذ سایبری منحصربهفرد به دولت ایران نسبت داده میشود؛ 17 مورد این عملیات از ژوئن تا دسامبر 2022 صورت گرفته، در مقایسه با تنها 7 مورد که مربوط به سال 2021 بوده است.
ارزیابی مایکروسافت نشان میدهد بیشتر عملیات سایبری فعال در ایران، عملیات نفوذ است که توسط Emennet Pasargad مدیریت میشود.
از این گروه به عنوان طوفان شن پنبهای (Cotton Sandstorm) یا نپتونیوم سابق (NEPTUNIUM) یاد میشود؛ یک بازیگر منتسب به دولت ایران که به دلیل تلاش برای تضعیف یکپارچگی انتخابات ریاست جمهوری (2020)، توسط وزارت خزانهداری ایالات متحده تحریم شده است.
طبق گزارش مایکروسافت، اگرچه ممکن است تکنیکهای ایران تغییر کرده باشد اما اهداف آن تغییر نکرده است. این عملیات همچنان بر اسرائیل، شخصیتها و گروههای اپوزیسیون برجسته ایرانی و نیز دشمنان این کشور در خلیج فارس تمرکز دارد.
در ادامه این گزارش ادعا شده: به طور کلی، ایران نزدیک به یک چهارم (23 درصد) عملیات سایبری خود را بین اکتبر 2022 تا مارس 2023 علیه اسرائیل انجام داد و ایالات متحده، امارات متحده عربی و عربستان سعودی نیز بیشترین دفعات این عملیات را متحمل شده و تجربه کردند.
بازیگران سایبری ایران در خط مقدم IO فعالیت سایبری بودهاند. آنها عملیات سایبری تهاجمی را با عملیات نفوذ چندجانبه ترکیب میکنند تا تغییرات ژئوپلیتیکی را در راستای اهداف حکومت تقویت کنند.
طبق ادعای مایکروسافت، اهداف IO با قابلیت سایبری در ایران، شامل تلاش برای تقویت مقاومت فلسطین، دامن زدن به ناآرامی در بحرین و مقابله با عادیسازی مداوم روابط اعراب و اسرائیل، با تمرکز ویژه بر ایجاد وحشت و ترس در بین شهروندان اسرائیلی است.
ایران همچنین از IO فعال سایبری استفاده کرده تا با افشای اطلاعاتی که هدف آن شرمسار کردن چهرههای برجسته اپوزیسیون حکومت یا افشای روابط «فاسد» آنهاست، شتاب اعتراضات را کاهش دهد.
بیشتر این عملیات نفوذ، بازیهای قابل پیشبینی هستند که در آن، ایران از یک شخصیت سایبری برای تبلیغ و اغراق یک حمله سایبری که ساده است، استفاده میکند. شخصیتهای آنلاین ظاهرا نامرتبط، تاثیر حملات را تقویت کرده و غالبا بیشتر تبلیغات میکنند.
همچنین تکنیکهای جدید نفوذ ایران، شامل استفاده از پیامک و جعل هویت قربانی برای افزایش اثربخشی تقویت پیامهاست.
اینها تعدادی از مواردی است که در گزارش جدید اطلاعات تهدیدات مایکروسافت درباره IO با قابلیت سایبری ایران ذکر شده است.
این گزارش نشان می دهد که چگونه ایران از عملیات نفوذ برای مقابله به مثل در برابر تهدیدهای خارجی و داخلی به طور موثر استفاده میکند.
گزارش مایکروسافت همچنین به بررسی اقداماتی میپردازد که ممکن است در ماههای آینده از جانب ایران صورت گیرد مانند افزایش سرعت عملیاتی کردن اکسپلویتها (کدهای مخرب) گزارششده جدید. از آنجا که برخی از گروههای تهدیدکننده ایرانی به IO فعال سایبری روی آوردهاند، کاهش مشابه استفاده ایران از باجافزار یا حملات حذفکننده طی دو سال گذشته، که بسیار پرکار بوده، شناسایی شده است.
در عین حال، تهدید آتی حملات سایبری ویرانگر فزاینده ایران، به ویژه علیه اسرائیل و ایالات متحده همچنان وجود دارد، زیرا برخی از گروههای ایرانی، احتمالا به دنبال قابلیتهای حمله سایبری، علیه سیستمهای کنترل صنعتی هستند. حملات سایبری و عملیات نفوذ ایران، احتمالا بر تلافی حملات سایبری خارجی و موارد مربوط به تحریک اعتراضات داخل ایران، متمرکز خواهد بود.
مایکروسافت در ردیابی و اشتراکگذاری اطلاعات در IO با قابلیت سایبری ایرانی سرمایهگذاری میکند تا به ادعای این شرکت، مشتریان و کشورهای دموکراتیک در سراسر جهان، در برابر حملات ایران از خود محافظت کنند.
مایکروسافت اعلام کرده بهروزرسانیهای نیمه سالانه را درباره این بازیگران و سایر بازیگران دولت- ملت منتشر میکند تا به زعم خود، به مشتریان و جامعه جهانی درباره تهدید ناشی از این عملیات هشدار دهد و بخشها و مناطق خاص را که در معرض خطر هستند، بیشتر شناسایی کند.
- گزارش متا
همزمان با به روزرسانی گزارش مایکروسافت، شرکت متا که مالکیت پلتفورمهایی نظیر فیسبوک، اینستاگرام و واتساپ را در اختیار دارد نیز با اشاره به انتشار «گزارش تهدیدات خصمانه»، سهماهه اول 2023 اعلام کرد این شرکت، علیه سه عملیات جاسوسی سایبری جداگانه در جنوب آسیا اقدام کرده است: گروه اول، هکرهای معروف در صنعت امنیت به نام Bahamut APT، گروه دوم به نام Patchwork APT و گروه سوم بازیگران مرتبط با دولت پاکستان.
طبق اعلام متا، این شرکت، همچنین شش شبکه رفتار غیراصیل هماهنگ (CIB) را از بین برده است. بنا به اعلام متا، این شبکهها در ایالات متحده، ونزوئلا، ایران، چین، گرجستان، بورکینافاسو و توگو بودهاند که مردم جهان و بسیاری از خدمات حوزه اینترنت را هدف قرار دادهاند.
در حال حاضر، بخشی از گزارش سهماهه تهدیدها و بهروزرسانی امنیتی، از جمله «گزارش تهدیدات خصمانه» سهماهه اول 2023 و اطلاعاتی درباره فعالیت علیه کمپینهای بدافزار ارایه شده است.
البته در طول پنج سال گذشته، یافتهها درباره تهدیدهایی که در فناوریها، شناسایی و از بین برده شده، اشتراکگذاری شده است.
در این گزارش، اطلاعاتی درباره سه عملیات جاسوسی سایبری و نیز شش شبکه ارایه شده که به دلیل نقض خطمشیها و رفتار غیراصیل هماهنگ (CIB) از بین برده شدهاند.
در گزارش تهدیدات خصمانه سهماهه اول 2023، همچنین اطلاعاتی درباره یافتهها با شرکای صنعتی، محققان و سیاستگذاران، اشتراکگذاری شده است. در ادامه آن، بینشهای کلیدی گزارش ذکر شده است.
متا علیه سه عملیات جاسوسی سایبری در جنوب آسیا اقدام کرده که عبارتند از:
اول- گروهی از هکرها که در صنعت امنیت به نام Bahamut APT (تهدید دائمی پیشرفته) شناخته میشوند.
دوم: گروهی به نام Patchwork APT
سوم: گروه مرتبط با بازیگران وابسته به دولت پاکستان.
- تنوع بخشیدن به تلاشهای مهندسی اجتماعی
این تهدیدات دائمی پیشرفته (APTها)، بهشدت متکی بر مهندسی اجتماعی بودند. از اینرو، برای برخی از حسابهای جعلی که در اینترنت ایجاد کردهاند تا با استفاده از شخصیتهای ساختگی، خود را متنوعتر و پیچیدهتر جلوه دهند، سرمایهگذاری فراوانی انجام دادند.
بنابراین آنها میتوانند در برابر بررسی دقیق پلتفرمها و محققان اهداف خود مقاومت میکنند. تهدیدات دائمی پیشرفته، در حالی که همچنان به استفاده از فریبهای سنتی مانند زنانی که به دنبال یک رابطه عاشقانه هستند، ادامه میدهند، همچنین به عنوان استخدامکننده، روزنامهنگار یا پرسنل نظامی ظاهر میشوند.
- اتکای مداوم به بدافزارهای ساده
این سرمایهگذاری در مهندسی اجتماعی به این معناست که بازیگران تهدید، چندان مجبور به سرمایهگذاری در بدافزارها نیستند. بررسی درباره APTها نشان داد بدافزار ارزانتر و سادهتر میتواند همراه با مهندسی اجتماعی، برای هدف قرار دادن افراد موثر باشد. برای دو مورد از این عملیات، کاهش قابلیتهای مخرب در برنامههای آنها مشاهده شد. با این اقدام، احتمالا اطمینان حاصل میشود که میتوان آنها را در اپلیکیشنهای فروشگاههای معتبر منتشر کرد.
- تأثیر اختلالات عمومی و گزارشدهی تهدید
اینAPTها، در پاسخ به ادامه اختلال اجتماع امنیتی، مجبور به راهاندازی زیرساختهای جدید، تغییر تاکتیکها و سرمایهگذاری بیشتر در مخفی کردن و تنوع بخشیدن به عملیات خود شدهاند تا همچنان حضور داشته باشند.
طبق اعلام متا، این مجموعه همچنین شش عملیات نفوذ مخفی را به دلیل نقض خطمشیها و فعالیت در زمینه رفتار غیراصیل هماهنگ (CIB) از بین برد.
این شبکههای CIB غیرمرتبط، از ایالات متحده، ونزوئلا، ایران، چین، گرجستان، بورکینافاسو و توگو سرچشمه میگرفتند و بیش از نیمی از آنها، مخاطبان خارج از کشور خود را هدف قرار میدادند. بیشتر این عملیاتها، قبل از اینکه مخاطبان معتبری ایجاد کنند، حذف شدند و از بین رفتند. در اینجا خلاصه ای از تحقیقات مرتبط با تهدید برجسته شده است:
- ایجاد نهادهای ساختگی در سراسر اینترنت
تقریبا همه عملیاتها، به منظور کسب اعتبار، در عرصه ایجاد نهادهای جعلی مانند سازمانهای رسانههای خبری، گروههای هکری و سازمانهای غیردولتی سرمایهگذاری کردند. آنها در بسیاری از سرویسهای شبکههای اجتماعی مانند فیسبوک، توییتر، تلگرام، یوتیوب، مدیوم، تیکتاک، بلاگاسپات، ردیت، وردپرس، فریلنسر دات کام، انجمنهای هک و وبسایتهای خود فعالیت کردند.
- هکرهای جعلی ایران
این عملیاتها از ایران، ادعاهایی را منتشر کرد که بیانگر هک سازمانها در اسرائیل، بحرین و فرانسه، در حوزه رسانههای خبری، شرکتهای لجستیک و حملونقل، موسسات آموزشی، یک فرودگاه، یک سرویس دوستیابی و یک موسسه دولتی بود.
این، اولین بار نیست که یک عملیات که ایران مبدأ آن است، ادعا میکند سیستمهای دولتی را هک کرده است؛ ادعای مشابهی توسط شبکه CIB دیگر که قبل از انتخابات 2020 ایالات متحده از بین برده شد، نیز مطرح شده است.
- عملیات در پوشش استخدام
در ادامه این گزارش آمده است: همانطور که در گزارشهای قبلی متا اشاره شده، همچنان شاهد سازمانهای استخدامی در پشت عملیات نفوذ مخفی در سراسر جهان هستیم. نیمی از شبکههای موجود در این گزارش، به نهادهای خصوصی نسبت داده شده است.
این امر، یک شرکت فناوری اطلاعات در چین، یک شرکت بازاریابی در آمریکا و یک مشاوره بازاریابی سیاسی در جمهوری آفریقای مرکزی را شامل میشود.
- سیر تکاملی عملیات با مبدأ چین
در این گزارش، همچنین تمام شبکههای CIB چینی که از سال 2017 از بین برده شده، ارایه شده است. این شبکهها، به شش مورد رسید که نیمی از آنها در هفت ماه گذشته گزارش شدهاند.
آخرین حذفها، نشاندهنده تغییر در ماهیت فعالیت CIB مستقر در چین است. اکنون با عوامل تهدید جدید، هدفگیری جغرافیایی جدید و تاکتیکهای متخاصم جدید مواجه هستیم. با این حال، متا همچنان به یافتن و حذف این شبکهها، قبل از اینکه مخاطب خود را پیدا کنند، ادامه میدهد.
این شبکهها، طیفی از تاکتیکها را آزمایش کردهاند که قبلا در عملیاتهای مستقر در چین مشاهده نشده بود؛ اگرچه سالها پیش در نقاط دیگر دیده شده است مانند جمله در عملیاتهای مرتبط با troll farmsو شرکتهای بازاریابی و روابط عمومی.
- شرکت رسانهای با استخدام نویسندگان فریلنسر
آخرین گروه، ایجاد یک شرکت رسانهای در غرب، در زمینه استخدام نویسندگان آزاد فریلنسر در سراسر جهان را شامل میشود که پیشنهاد استخدام معترضان و همکاری با یک سازمان غیردولتی در آفریقا را داده است.
بدیهی است تهدیدات خصمانه در پاسخ به واکنشهای متا، به تکامل خود ادامه میدهند و رفتارهای بدخواهانه جدید ظاهر میشوند. با این حال، متا همچنان به اصلاح مقررات خود ادامه میدهد و یافتههایش را به اشتراک عمومی میگذارد. این، یک تلاش مداوم است و ما متعهد به بهبود مستمر فعالیتها هستیم تا پیشتاز و رو به جلو بمانیم.
- گزارش چک پوینت
قبل از ورود به محتوای گزارش چک پوینت که در آن به ادعای تکنیکهای منحصربهفرد گروههای هکری ایران برای هدف قرار دادن اسرائیل اشاره شده است، باید گفت چک پوینت یک ارایه دهنده چند ملیتی آمریکایی-اسرائیلی نرمافزار و محصولات سخت افزاری و نرم افزاری ترکیبی برای امنیت فناوری اطلاعات، از جمله امنیت شبکه، امنیت نقطه پایانی، امنیت ابر، امنیت تلفن همراه، امنیت داده ها و مدیریت امنیت است. این شرکت از سال 2021، تقریباً 6000 کارمند در سراسر جهان دارد.
در گزارش اخیر این شرکت نیز ادعا شده که بررسیهای چکپوینت (Check Point) از کشف تکنیکهای منحصربهفردی حکایت دارد که عوامل تهدید وابسته به ایران، برای هدف قرار دادن نهادهای اسرائیلی استفاده میکنند.
طبق پژوهشCheck Point Research (CPR) ، یافتههای جدید از فعالیتهای یک گروه نزدیک به هکرهای Phosphorusخبر میدهد. این پژوهش زنجیرهای از یک ویروس جدید و بهبودیافته را ارایه میدهد که توسط مهاجمان استفاده میشود.
پژوهش چکپوینت، با دنبال کردن مسیر حمله، توانست با Phosphorusبه عنوان گروه تهدیدکننده مستقر در ایران که در آمریکای شمالی و خاورمیانه فعالیت میکند، ارتباط برقرار کند. این گروه قبلا با طیف وسیعی از فعالیتها، از باجافزار گرفته تا فیشینگ نیزهای، از افرادی با مشخصات یادشده مرتبط بوده است.
حملات شرحدادهشده در این گزارش، نشان میدهد عامل تهدید، مکانیسمهای خود را به طور قابلتوجهی بهبود بخشیده و از تکنیکهای بسیار نادر استفاده میکند مانند بهرهمندی از فایلهای باینری داتنت ایجادشده در حالت ترکیبی با کد اسمبلی. نسخه جدید کشفشده احتمالا برای حملات فیشینگ متمرکز در عراق، با استفاده از یک فایل ISO برای شروع زنجیره، لحاظ شده است.
سایر اسناد داخل فایل ISO به زبانهای عبری و عربی بود که نشان میدهد این تلهها به سمت اهداف اسرائیلی بوده است. واحد پژوهش چکپوینت، تصمیم گرفت این خوشه فعالیت را با عنوان Educated Manticore دنبال کند.
از سال 2021، مجموعه جدیدی از فعالیتها که پیوند مشخصی با ایران دارد، توجه جامعه هوشمند تهدید (threat intelligence community) را به خود جلب کرده است. ماهیت تهاجمی تهدید جدید، در ترکیب با پیوند آنها با استقرار باجافزار، منجر به تجزیه و تحلیل کامل فعالیتها شد.
با تکامل فعالیتها، ایجاد پیوند بین خوشههای مختلف سختتر شده است. در حالی که دو سر طیف این فعالیتها به طور قابل توجهی متفاوت است، جامعه هوشمند تهدید حتی یک بار به فعالیتی برخورد نکرده که به راحتی با خوشههای شناختهشده مطابقت داشته باشد.
گزارش قبلی CPR، یکی از نمونهها و همپوشانیهای بهرهبرداری Log4J را با یک برنامه اندرویدی که قبلا به APT35 مرتبط بود، توصیف کرد. گونهای که در این گزارش توضیح داده شده، با استفاده از فایلهای ISO تحویل داده شده که این امر نشان میدهد احتمالا ناقل ویروس اولیه است.
در پایان این گزارش نیز آمده است: از آنجا که نسخه بهروزشده، بدافزاری است که قبلا گزارش شده، این نوع ویروس (PowerLess)، مرتبط با برخی عملیات باجافزار phosphorousممکن است تنها مراحل اولیه آلودگی را نشان دهد و بخش قابل توجهی از فعالیتهای پس از آلودگی، هنوز کشفنشده باقی بماند. (منبع:عصرارتباط)