استفاده ایران از عملیات سایبری برای هدایت حملات موشکی

به گزارش csoonline، ‌سایت معتبر حوزه امنیت سایبری، مدیریت ریسک و تهدیدات دیجیتال، طبق ادعای تیم اطلاعات تهدید آمازون، که این حوادث را بیانگر افزایش استفاده از عملیات سایبری در حمایت از حملات فیزیکی می‌دانند، فعالیت‌های سایبری دو بازیگر تهدید مرتبط با ایران، نقش کلیدی در حملات موشکی پرسروصدای بعدی داشته‌اند.

سی‌جی موزِس (CJ Moses)، مدیر امنیت اطلاعات (CISO) آمازون در پست وبلاگی درباره این دو حادثه نوشت: «ما بر این باوریم که هدف‌گیری مبتنی بر سایبری در عملیات فیزیکی، به‌طور فزاینده‌ای در بین دشمنان مختلف رایج خواهد شد. بازیگران دولتی به تأثیر ضربتی ترکیب شناسایی دیجیتال با حملات فیزیکی پی برده‌اند. این روند، نشان‌دهنده تحول بنیادین در جنگ است؛ جایی که مرزهای سنتی بین عملیات سایبری و فیزیکی، در حال محو شدن هستند.»

اگرچه این موضوع در عصر جنگ ترکیبی جدید نیست، اما حوادثی که آمازون مستندسازی کرده، روشن می‌کند چگونه حملات موشکی در دریای سرخ و اسرائیل، مستقیماً توسط عملیات جاسوسی سایبری برای جمع‌آوری اطلاعات هدف، پشتیبانی شده‌اند.

حملات Imperial Kitten به سیستم ردیابی کشتی‌ها

یکی از حملات فیزیکی که آمازون توانست آن را با عملیات سایبری مرتبط کند، اوایل فوریه ۲۰۲۴ رخ داد؛ زمانی که گروه حوثی‌های یمن، موشک‌هایی به یک کشتی تجاری در دریای سرخ شلیک کردند تا مسیرهای دریایی منطقه را مختل کنند.

این حمله، موفقیت‌آمیز نبود و فرماندهی مرکزی آمریکا، اول فوریه گزارش داد که دو موشک شلیک‌شده توسط حوثی‌ها به کشتی اصابت نکردند و هیچ صدمه یا آسیبی گزارش نشد. بااین‌حال، اکنون داده‌های اطلاعات تهدید آمازون نشان می‌دهد یک گروه APT به نامImperial Kitten ، چند روز قبل از این حمله، داده‌های موقعیت‌یابی سیستم شناسایی خودکار (AIS) همان کشتی را بررسی کرده است.

این گروه، که از حداقل سال ۲۰۱۷ فعال بوده و با نام‌های Tortoiseshell یا TA456 نیز شناخته می‌شود، یک بازیگر تهدید است که ادعا می‌شود با ایران مرتبط است. این گروه، طی سال‌ها، صنایع دریایی از جمله کشتی‌سازی و سازمان‌های لجستیک دریایی را هدف قرار داده و به صنایع دیگر مانند دفاع، فناوری، مخابرات و انرژی نیز حمله کرده است.

بر اساس گزارش آمازون، این گروه در دسامبر ۲۰۲۱، به پلتفرم AIS یک کشتی نفوذ کرده و در سال ۲۰۲۲ نیز حملاتی به سیستم‌های دیگر کشتی‌ها، از جمله دوربین‌های مداربسته روی یک کشتی انجام داده است.

گفتنی استAIS یک سیستم ردیابی خودکار است که با استفاده از رادیوی VHF، اطلاعاتی درباره شناسه، موقعیت، سرعت و مسیر کشتی را با ایستگاه‌های ساحلی و دیگر کشتی‌ها تبادل می‌کند. دسترسی به پلتفرم AIS یک کشتی، به هکرها اجازه می‌دهد کشتی‌های دیگر را نیز جست‌وجو کنند.

از آنجا که حوثی‌ها، تحت حمایت ایران هستند و یک APT شناخته‌شده مرتبط با دولت ایران چند روز قبل از هدف‌گیری کشتی، داده‌های AIS آن را بررسی کرده بود، آمازون مدعی است این همبستگی، «غیرقابل انکار» است.

در همین زمینه، موزس از آمازون گفت: «این مورد، نشان می‌دهد چگونه عملیات سایبری می‌تواند اطلاعات دقیقی را برای دشمنان فراهم کند تا حملات فیزیکی هدفمند، علیه زیرساخت‌های دریایی، که بخش حیاتی تجارت جهانی و لجستیک نظامی است، انجام دهد.»

استفاده از دوربین‌های مدار‌بسته برای هدایت موشک‌ها

آمازون همچنین شواهد اطلاعات تهدید پشتیبان یک حادثه دیگر مرتبط با ایران را دریافته که جاسوسی سایبری و حملات موشکی را شامل می‌شود و بخشی از آن، رسماً تأیید شده است.

پس از حملات آمریکا علیه تأسیسات هسته‌ای ایران در ماه ژوئن، ایران، در پاسخ، مجموعه‌ای از حملات موشکی را علیه اسرائیل انجام داد که طی آن شهرهایی مانند تل‌آویو و اورشلیم، هدف قرار گرفتند. یک مقام پیشین امنیت سایبری اسرائیل ادعا کرد که عوامل ایرانی تلاش داشتند به دوربین‌های نظارتی خصوصی دسترسی پیدا کنند تا تأثیر حملات‌شان را ارزیابی نمایند و دقت آنها را افزایش دهند.

مدیریت ملی سایبری اسرائیل نیز تقریباً در همان زمان در گفت‌وگو با بلومبرگ تأیید کرد که سیستم‌های دوربین مداربسته به‌طور فزاینده‌ای، هدف هکرهای ایرانی قرار گرفته‌اند.

داده‌های آمازون نشان می‌دهد گروه تهدید مودی‌واتر (MuddyWater)، که ادعا می‌شود به یک شرکت ایرانی وابسته است، چند روز پیش از حمله موشکی گسترده ایران علیه اورشلیم، به یک سرور آلوده که شامل پخش زنده دوربین‌های مداربسته از این شهر بوده، دسترسی پیدا کرده است.

این دسترسی به سرور آلوده دوربین‌های مداربسته از طریق زیرساخت سروری انجام شد که مودی‌واتر در ماه مه، برای عملیات سایبری خود ایجاد کرده بود و این موضوع، ارتباط مستقیم این گروه به ایران را نشان می‌دهد.

اما هدف قرار دادن دوربین‌های مداربسته برای جمع‌آوری اطلاعات در حمایت از عملیات نظامی، منحصر به ایران نیست.

در ماه مه ۲۰۲۴، سازمان‌های اطلاعاتی آمریکا و چند کشور عضو ناتو، طی هشدار مشترک اعلام کردند که سازمان اطلاعات نظامی روسیه (GRU)، دوربین‌هایی را در نقاط کلیدی، مانند نزدیکی گذرگاه‌های مرزی، تأسیسات نظامی و ایستگاه‌های راه‌آهن، در اوکراین و کشورهای همسایه، هک کرده است. هدف هک این بوده که حرکت محموله‌های ارسالی به‌عنوان کمک به اوکراین ردیابی شود.

موزس مدیر امنیت اطلاعات آمازون گفت: « این تحقیق، برای جامعه امنیت سایبری، هم یک هشدار است و هم یک فراخوان برای اقدام. مدافعان باید استراتژی‌های خود را برای مقابله با تهدیداتی که حوزه‌های دیجیتال و فیزیکی را شامل می‌شوند، تطبیق دهند. سازمان‌هایی که در گذشته تصور می‌کردند برای عاملان تهدید جذابیت ندارند، اکنون ممکن است به‌عنوان منبع اطلاعات تاکتیکی، هدف قرار گیرند.»

آمازون پیشنهاد می‌کند سازمان‌ها، مدل‌سازی تهدید خود را گسترش دهند تا بتوانند درنظر بگیرند سیستم‌های فناوری اطلاعات آسیب‌دیده آنها چگونه می‌تواند برای پشتیبانی از حملات فیزیکی مورد استفاده قرار گیرد. این موارد، به‌ویژه اپراتورهای زیرساخت‌های حیاتی، سیستم‌های دریایی، شبکه‌های نظارتی شهری و سایر منابع داده‌ای را که می‌توانند به هدف‌گیری در عملیات فیزیکی کمک کنند، شامل می‌شود.

این شرکت، اصطلاح «هدف‌گیری حمله فیزیکی مبتنی بر عملیات سایبری» (cyber-enabled kinetic targeting) را برای عملیات سایبری‌ای به کار می‌برد که هدف آن، تسهیل و تقویت عملیات نظامی فیزیکی است.