ITanalyze

سمیه مهدوی‌پیام – رویدادهای ورزشی بین‌المللی بزرگ، اهداف جذابی برای مجرمان سایبری با انگیزه مالی هستند. حملات فیشینگ مربوط به مسابقات از فریب‌های مختلفی مانند اعطای بلیت، خدمات پخش رایگان برای تماشای بازی‌ها، وب‌سایت‌های شرط‌بندی جعلی و موارد جانبی مسابقات مانند ویزا و سفر، رزرو هتل و رستوران استفاده می‌کنند.

سایر تهدیدهای مجرمانه سایبری که البته محدود به موارد زیر نیستند، عبارتند از: برنامه‌های موبایلی جعلی در این رویداد که می‌توانند بدافزار توزیع کرده و داده‌های کاربر را جمع‌آوری کنند یا فروش بلیت‌های تقلبی، اعتبارنامه‌ها و مدارک در معرض خطر در بازارهای دارک‌وب، مغازه‌ها و حملات باج‌افزاری که احتمالا به دنبال هدف قرار دادن قربانیان بر اساس دسترسی، فرصت‌ها و عواملی مانند توانایی پرداخت مقادیر زیادی باج هستند.

با توجه به برگزاری مسابقات جام جهانی از 20 نوامبر 2022 (29 آبان 1401)، RecordedFuture در گزارشی بسیار جامع و مبسوط چشم‌انداز تهدیدات سایبری جام جهانی 2022 قطر، تجزیه و تحلیل کرده است. این تهدیدات، عملیات سایبری تحت حمایت دولت، تهیدات با انگیزه مالی، عملیات نفوذ و تهدیدات امنیتی فیزیکی را شامل می‌شود. مخاطب اصلی این مطلب، سازمان‌ها یا افرادی هستند که به عنوان میزبان، دست‌اندرکار اجرا، اسپانسر یا شرکت‌کننده در این مسابقات حضور دارند.

البته این گزارش به بررسی انگیزه‌های برخی کشورها برای نفوذ یا حملات سایبری به بازی‌های جام جهانی قطر نیز پرداخته و با تحلیل روابط ایران و قطر، به این نتیجه رسیده که ایران انگیزه‌ای برای این مساله ندارد و فعلا ظن بیشتر به سمت گروه‌های هکری حامی روسیه است.

هفته نامه عصر ارتباط به بخش‌هایی از این گزارش پرداخته که در پی می‌خوانید.

از جام جهانی تا محیط جاسوسی سایبری
کل طیف تهدیدهای جام جهانی فوتبال 2022 قطر، عمدتا به دلیل موقعیت ژئوپلیتیک و منحصربه‌فرد قطر، در صحنه مناقشه‌برانگیز جهانی مشخص می‌شود، زیرا این کشور از روابط خوبی با قدرت‌های بزرگ مانند ایالات متحده، اروپا، چین و ایران برخوردار است.

در این گزارش آمده، ما هیچ عملیات سایبری قریب‌الوقوع، برنامه‌ریزی‌شده موردحمایت دولت یا عملیات جاری مرتبط با گروه‌های تهدید پایدار پیشرفته (APT) که جام جهانی قطر یا سازمان‌دهندگان، حامیان مالی یا زیرساخت‌های مرتبط را هدف قرار دهند، شناسایی نکرده‌ایم.

بعید است چین، ایران و کره‌شمالی، حمله‌ مخربی علیه مسابقات انجام دهند، زیرا آنها به دلیل روابط با قطر، مشارکت در برنامه‌ریزی و اجرای بازی‌ها یا سایر اولویت‌های ملی انگیزه‌ای برای این کار ندارند. با این وجود، گروه‌های APT تحت حمایت دولت که وظیفه جمع‌آوری اطلاعات خارجی را برعهده دارند، احتمالا جام جهانی فوتبال 2022 را یک محیط غنی برای جاسوسی سایبری و نظارت بر مقامات عالی و تجار می‌دانند.

قطر و حمله سایبری در جام جهانی
بنا به ادعای recordedfuture، فعالیت‌های نفوذ ایران، چین و روسیه مربوط به جام جهانی فوتبال 2022، عمدتا از طریق سازمان‌های رسانه‌ای دولتی انجام می‌شود که بر روابط دوجانبه با قطر، تاکید و ترویج می‌کنند. ایران و روسیه همچنین به دنبال برجسته کردن اختلافات و تشدید تنش بین قطر و کشورهای غربی هستند که به دلیل نگرانی‌های حقوق بشری در قطر از میزبانی این مسابقات توسط این کشور انتقاد کرده‌اند.

به طور مشابه، عملیات نفوذ ایران به نام «Endless Mayfly» که توسطCitizen Lab در می ۲۰۱۹ شناسایی شد، شامل نمونه‌ای از اطلاعات نادرست درباره جام جهانی ۲۰۲۲ بود که به دنبال تشدید تنش‌های ژئوپلیتیکی بین قطر و سایر کشورهای عربی پس از بحران دیپلماتیک قطر در ژوئن ۲۰۱۷ رخ داد.

اگرچه بعید است قطر در طول جام جهانی با تهدید امنیتی فیزیکی بزرگی مواجه شود.

عوامل مختلفی برای این استدلال وجود دارد. از جمله می‌توان به این موارد اشاره کرد:

–             قطر کشوری است که در سال‌های اخیر، حداقل حوادث تروریستی را داشته است.

–             کاهش توانایی گروه‌های تروریستی که به احتمال زیاد، مسابقات را هدف قرار می‌دهند، از جمله داعش و القاعده

–             تقویت وضعیت امنیتی قطر با کمک‌ کشورهایی مانند ایالات متحده، بریتانیا، فرانسه، ایتالیا، ترکیه و پاکستان

–             موقعیت جغرافیایی قطر.

البته سیستم‌های هوایی بدون سرنشین (UAS)، یک تهدید مخرب منحصربه‌فرد است که مقامات قطری در تلاش برای کاهش آن با کمک‌های امنیتی خارجی هستند. تهدیدات سایبری تحت حمایت دولت و رویدادهای ورزشی بین‌المللی بزرگ مانند بازی‌های المپیک یا جام جهانی، اهداف جذابی برای مجرمان سایبری هستند.

رویدادهایی مانند جام جهانی فوتبال، اغلب سال‌ها در حال آماده‌سازی زیرساخت‌ها هستند که می‌تواند شامل سرمایه‌گذاری میلیاردها دلار باشد.

این تورنمنت‌ها، اعتبار قابل‌توجهی برای کشور میزبان در صحنه بین‌المللی به ارمغان می‌آورند و طیف وسیعی از تماشاگران، از جمله مقامات بلندپایه دولتی و تجار را به خود جذب می‌کنند.

در نتیجه، اختلال در این رویداد می‌تواند برای دولت میزبان و سازمان‌دهندگان شرم‌آور باشد، در حالی که فعالیت‌های جاسوسی سایبری و نظارت بر گردآوری اطلاعات سنتی با توجه به محیط مساعد برای این هدف، احتمالا سودآور هستند.

برای کاهش این خطر، مسافرانی که برای جام جهانی فوتبال 2022 به قطر می‌روند باید اقدامات احتیاطی بیشتری درباره ارتباطات دیجیتالی خود انجام دهند. مانند استفاده از برنامه‌های ارتباطی رمزگذاری‌شده در صورت امکان، احتیاط در هنگام اتصال به شبکه‌های وای‌فای ناشناخته و عمومی (از جمله در هتل‌ها) و استفاده از دستگاه های موبایل burner در طول سفر به جای دستگاه‌های شخصی یا شرکتی.

فعالیت‌های تهدیدآمیز می‌تواند شامل حملاتی شود که ممکن است ماهیت مخرب داشته باشند (مانند حملات انکار سرویس توزیع‌شده (DDoS) یا بدافزار پاک‌کن) یا عملیات‌های متمرکز بر جاسوسی. علاوه بر این، ما ایجاد زیرساخت شبکه منتسب به گروه‌های APT تحت حمایت دولت را مشاهده نکرده‌ایم که برای تسهیل عملیات شبکه رایانه‌ای علیه جام جهانی یا سازمان‌های وابسته به آن یا شرکت‌کنندگان لحاظ شده باشد.

اکنون محرک‌های احتمالی برای هدف قرار دادن گروه‌های APT تحت حمایت دولت در جام جهانی فوتبال 2022 با تمرکز بر برجسته‌ترین بازیگران تهدید دولتی که به چین، روسیه، ایران و کره‌شمالی مرتبط هستند، بررسی شده‌اند.

روسیه حمله سایبری می‌کند؟
در این میان، روسیه تقریبا یک کشور منزوی است و به احتمال زیاد، دارای مجموعه انگیزه‌های قوی از نارضایتی‌ها برای هدف قرار دادن جام جهانی فوتبال 2022 است زیرا ممکن است بخواهد قطر را به عنوان کشور میزبان جام جهانی، به دلیل جانبداری از ائتلاف کشورهای حامی تمامیت ارضی اوکراین و همچنین انتقام محرومیت روسیه از حضور در مسابقات دچار مشکل و شرمساری کند.

در همین حال سابقه تاریخی در زمینه حملات سایبری روسیه علیه رویدادهای ورزشی مهم وجود دارد.

اگرچه گروه‌های APT روسیه، به احتمال زیاد از جنگ این کشور علیه اوکراین پریشان شده‌اند اما بعید است حمله مخربی علیه جام جهانی 2022 انجام دهند. با این حال، محتمل است دولت روسیه چنین حملاتی را که توسط گروه‌های هکتیویست ملی‌گرای روسی یا اپراتورهای باج‌افزار انجام می‌شود، تشویق یا تایید کند.

ایران و حمله سایبری در جام جهانی
در بخش دیگری از این گزارش به طرح ادعاها و اتهاماتی نسبت به ایران نیز پرداخت شده و آمده است: در حالی که گروه‌های APT تحت حمایت دولت ایران، اغلب نهادهای دولتی و خصوصی را در سراسر خاورمیانه در کمپین‌های مخرب و جاسوسی هدف قرار می‌دهند اما به دلیل اجرای حملات هکتیویستی علیه فدراسیون‌های ورزشی بین‌المللی شناخته‌شده نیستند.

همچنین با توجه به روابط قوی تجاری و دیپلماتیک دو کشور، حضور ایران در جام جهانی علی‌رغم درخواست ممنوعیت حضور این کشور به دلیل شرایط داخلی، بعید است ایران به دنبال استفاده از حملات سایبری برای ایجاد اختلال در بازی‌ها باشد.

این موضوع، هیچ منفعت آشکاری برای دولت ایران ندارد و در مقابل، خطر ناراحتی یک شریک منطقه‌ای کلیدی یعنی قطر را به همراه دارد.

بنا به ادعای recordedfuture، این امر، فعالیت جاسوسی مرتبط با وزارت اطلاعات یا نهادهای نظامی در داخل ایران را رد نمی‌کند اما احتمالا علیه شرکت‌کنندگان خارجی برجسته و مخالفان یا منتقدان انجام می‌شود.

چنین گروه‌های منتسب به ایران به طور معمول عملیات جاسوسی را علیه دولت‌های خاورمیانه، غرب و شرکت‌های بخش خصوصی در حمایت از اهداف اقتصادی، سیاسی و نظامی تهران انجام می‌دهند.

در این گزارش همچنین ادعا شده یکی از این گروه‌ها به دنبال اطلاعات استراتژیک و تاکتیکی است و به دستور نهادهای نظامی ایران، عملیات ضد جاسوسی از جمله در حملات علیه کنفرانس‌های بین‌المللی و سازمان‌های مرتبط مانند کنفرانس امنیتی مونیخ و نشست Think20 در عربستان سعودی انجام داده است.

همچنین درباره یک گروه دیگر منتسب به ایران نیز گزارش شده بر ضد جاسوسی و فعالیت‌های جاسوسی طولانی‌مدت تمرکز دارد.

ایران و قطر با توجه به عضویت این کشور در بلوک منطقه‌ای شورای همکاری خلیج‌فارس (GCC)، روابط نزدیک دارند و دوحه به دقت، اتحاد خود با ایالات متحده و روابط اقتصادی و امنیتی خود با تهران را متعادل می‌کند. این روابط پس از بحران دیپلماتیک قطر در سال 2017 تقویت شد که در آن دوحه به دنبال جایگزینی شرکای تجاری سنتی خود -که تحریم‌هایی علیه این کشور برقرار کردند- از طریق واردات از ایران و ترکیه بود.

موقعیت جغرافیایی قطر در خلیج فارس و اشتراک آن با ایران در بزرگ‌ترین میدان گاز طبیعی جهان، علی‌رغم ناراحتی ایران از میزبانی قطر از بزرگ‌ترین پایگاه نظامی آمریکا در منطقه در العدید، دو کشور را به روابط نزدیک‌تر وادار می‌کند. روابط ایران و قطر به قدری صمیمانه شده که ایران برای میزبانی صدها هزار نفر از بازدیدکنندگان جام جهانی در جزیره کیش، پیشنهاد کمک کرد و قطر هم پذیرفت. به این ترتیب، ایران یک سهم اقتصادی و سیاسی در جام جهانی را به خود اختصاص داد.

مجموع مسایل فوق نشان می‌دهد که ایران احتمالا منابع کمی به عملیات سایبری خارجی در طول جام جهانی اختصاص دهد، حتی اگر ایران، انگیزه لازم برای انجام این کار را داشته باشد.

تهدیدات مجرمانه سایبری
رویدادهای ورزشی بین‌المللی بزرگ مانند جام جهانی فوتبال 2022، اهداف جذابی برای مجرمان سایبری با انگیزه مالی هستند. تهدیدهای مجرمانه سایبری، مواردی مانند حملات فیشینگ مرتبط با مسابقات، برنامه‌های موبایلی جعلی که می‌توانند بدافزار را توزیع و داده‌های کاربران را جمع‌آوری کنند، فروش در بازارهای دارک‌وب و خرید بلیت‌های تقلبی و تهدیدات باج‌افزار را شامل می‌شود اما محدود به آن نمی‌شود.

فیشینگ و کلاهبرداری
مجرمان سایبری، از جام جهانی به عنوان فریب در حملات فیشینگ و سایر فعالیت‌های کلاهبردارانه استفاده می‌کنند. این مجرمان، احتمالا وب‌سایت‌های جعلی مرتبط با جام جهانی فوتبال 2022 ایجاد می‌کنند که می‌تواند در کمپین‌های فیشینگ برای جمع‌آوری PII از قربانیان، از جمله اطلاعات مالی مانند جزییات کارت پرداخت یا توزیع بدافزار استفاده شود.

فعالیت دارک‌وب
ما بین روزهای 31 اکتبر 2021 تا 31 اکتبر 2022، تعداد 277 منبع مرتبط با جام جهانی فوتبال 2022 را در تالارهای گفتمان دسترسی ویژه دارک‌وب شناسایی و مباحثی را درباره افرادی که ادعا می‌کردند بلیت‌های جام جهانی را می‌فروشند و همچنین افراد دیگر مشاهده کردیم. ما همچنین مشاهده کردیم فردی جزییات ورود احتمالی به خطر افتاده دو حساب را برای beIN CONNECT، یک شبکه جهانی ورزش و سرگرمی دولتی که مقر آن در دوحه پایتخت قطر است، به اشتراک گذاشت و «ذخیره برای جام جهانی» را اعلام کرد.

باج‌افزار
ما هیچ تهدید خاصی از سوی گروه‌های باج‌افزاری که قصد دارند جام جهانی فوتبال ۲۰۲۲ را هدف قرار دهند، شناسایی نکرده‌ایم. اگرچه انتظار نداریم چنین مکالماتی در فضای باز ظاهر شود.

مشابه آنچه در گزارش تهدیدات بازی‌های المپیک زمستانی 2022 توضیح دادیم، جام جهانی 2022 با توجه به پتانسیل کسب سود قابل توجه، ممکن است به عنوان یک هدف جذاب برای حملات باج‌افزار لحاظ شود، زیرا سازمان‌های درگیر در این مسابقات می‌خواهند از برگزاری آن اطمینان حاصل کنند.

اهداف بالقوه می‌تواند شامل سازمان‌هایی باشد که از جام جهانی 2022 حمایت می‌کنند، از جمله سازمان‌هایی که در بخش‌های حمل‌ونقل، رسانه، مراقبت‌های بهداشتی، تدارکات و امنیت هستند. با این حال، احتمال بیشتری وجود دارد که اپراتورهای باج‌افزار، بر اساس دسترسی، فرصت‌ها و عواملی مانند توانایی پرداخت مقادیر زیاد باج، به ‌جای انجام یک حمله هماهنگ‌شده در مقیاس بزرگ، قربانیان را هدف قرار دهند.

ما ده‌ها بسته طعمه برای خانواده‌های باج‌افزار ایجاد کرده‌ایم که می‌توان از آنها برای شناسایی نمونه‌ها و رفتار باج‌افزار استفاده کرد.

گروه Endless Mayfly
این گروه تخصص ویژه‌ای در ایران برای استفاده از عملیات نفوذ به منظور تلاش برای ایجاد اختلاف بین قطر، شرکای بین‌المللی و همسایگان منطقه‌ای آن دارد، مانند عملیات نفوذ  Endless Mayflyکه توسط Citizen Lab در می 2019 کشف شد. این عملیات نفوذ یک شبکه همسو از ‌سایت‌های غیرمعتبر و پرسوناهای آنلاین بود که حداقل از اوایل سال 2016 با انتشار اطلاعات نادرست و تفرقه‌انگیز انتقادی از عربستان سعودی، ایالات متحده و اسرائیل، برای تقویت تنش‌های ژئوپلیتیکی استفاده می‌شد.

عملیات نفوذ بی‌پایان Mayfly
این عملیات، شامل یک مورد از اطلاعات نادرست، به طور خاص مربوط به جام جهانی بود.

در این رابطه، شش کشور عربی از فیفا خواسته بودند حق میزبانی جام جهانی فوتبال در سال 2022 را از قطر سلب کند. پس از بحران دیپلماتیک قطر در ژوئن 2017، کشورهای حوزه خلیج فارس و سایر کشورهای عربی از جمله عربستان سعودی، امارات، مصر، بحرین و سایرین، روابط دیپلماتیک خود را با قطر قطع کردند و این کشور را به دلیل «در آغوش گرفتن تروریست‌های مختلف» مقصر دانستند.

منظور آنها، گروه‌های فرقه‌ای با هدف بی‌ثبات کردن منطقه، از جمله اخوان‌ المسلمین، القاعده، دولت اسلامی و گروه‌های نیابتی موردحمایت ایران در کشورهای خلیج فارس است.

اولین نمونه اطلاعات نادرست مربوط به جام جهانی 2022، بخشی از 11 مقاله غیرمعتبر شناسایی‌شده توسط Citizen Lab با هدف تشدید تنش‌های عربستان و قطر بود. چشم‌انداز موقعیت منحصربه‌فرد ژئوپلیتیکی قطر در صحنه مناقشه‌برانگیز جهانی به این معناست که بعید است گروه‌های APT تحت حمایت دولت از چین، روسیه، ایران و کره شمالی حمله‌ای مخرب علیه جام جهانی فوتبال 2022 انجام دهند، هرچند روسیه بیشترین انگیزه را برای انجام این کار دارد.

گروه‌های هکتیویست ملی‌گرای روسی یا اپراتورهای باج‌افزار می‌توانند حملات مخربی علیه مسابقات انجام دهند که مشکلات فراوانی برای کرملین فراهم کند.

حملات فیشینگ
حملات فیشینگ توسط مجرمان سایبری، قبل از اینکه پایان مسابقات پراکنده شوند، تقریبا به طور قطع در سراسر مسابقات جام جهانی فوتبال 2022 ادامه خواهد داشت. با توجه به آغاز مسابقات، بسیار بعید است که حملات فیشینگ با مضمون مسابقاتی که مشاغل را هدف قرار می‌دهند، همچنان از فریب‌هایی استفاده کنند که قربانیان را به پیشنهاد قرارداد یا عرضه کالا یا خدمات دعوت کند.

این احتمال وجود دارد که ایران و روسیه، همچنان بر اختلافات و تشدید تنش بین قطر و کشورهای غربی که منتقد میزبانی این مسابقات در قطر هستند، ادامه داده و در عین حال روابط دوجانبه خود را نیز ارتقا دهند.

ایران، چین و روسیه، احتمالا از جام جهانی فوتبال 2022، برای عملیات نفوذ آتی استفاده خواهند کرد.

به عنوان نمونه، از جایی که غرب به دنبال تحمیل «ارزش‌های غربی» بر سایر کشورها بوده است. بر اساس عوامل مختلف، بعید است قطر در طول جام جهانی 2022 با یک تهدید امنیتی فیزیکی بزرگ مواجه شود.

اگرچه ایران، چین و روسیه بر روابط دوجانبه با قطر از طریق گفتمان، تاکید و ترویج می‌کنند اما کشورهایی مانند آمریکا، انگلیس، فرانسه، ایتالیا، ترکیه و سایر کشورها برای برگزاری این مسابقات به قطر کمک‌های امنیتی مادی می‌کنند. این کمک‌های امنیتی، بر پایه سایر همکاری‌های امنیتی، علاوه بر اینکه باعث شد  ایالات متحده رسما قطر را به عنوان «متحد اصلی غیرناتو» در مارس 2022 معرفی کند، احتمالا منجر به همکاری امنیتی بیشتر بین قطر و کشورهای غربی خواهد شد.