روز دوشنبه ۲۷ آذر ۱۴۰۲، بسیاری از جایگاههای سوخت در ایران از کار افتادند و توزیع سوخت با مشکل مواجه شد. به دنبال از کار افتادن این جایگاهها، گروه هکری «گنجشک درنده» مسئولیت این حمله را برعهده گرفت و اعلام کرد که «این حمله سایبری به شکل کنترلشده انجام شد تا به خدمات اضطراری آسیب نرسد. با وجود اینکه توانایی مختل کردن کامل پمپبنزینها وجود داشت، تعدادی از جایگاهها در سراسر ایران سالم ماندهاند».
ابراهیم رئیسی پس از هک شدن سامانه سوخترسانی، در پلتفرم فیلترشده اکس (توییتر سابق) از وزیر نفت خواست برای رفع اختلال فورا اقدام کند. سازمان پدافند غیرعامل هم اعلام کرد که در خصوص این اختلال، تمام گزینههای محتمل از جمله نفوذ و هک را در دست بررسی دارد، اما نمیتواند ادعاهای مطرحشده از سوی «دشمن» را تایید کند.
شواهد هک سامانه سوخترسانی بیانگر چیست؟
گروه گنجشک درنده درباره این نفوذ تصاویر و اسناد محدودی منتشر کرد اما همین اسناد محدود نشان میدهند که همچون نمونههای قبلی نفوذ و هک سامانههای حکومتی، استفاده از نرمافزارها و ابزارهای قدیمی و نامعتبر میتواند عامل اصلی نفوذ باشد.
بر اساس تصاویر منتشرشده، سامانه سوخترسانی روی ویندوزسرور ۲۰۱۲ بوده که مایکروسافت پشتیبانی از آن را متوقف کرده است و برای این نسخه ویندوزسرور بهروزرسانی منتشر نمیشود. به عبارت دیگر، مایکروسافت آسیبپذیریها و حفرههای امنیتی این نسخه را رفع و ترمیم نمیکند. علاوه بر آن، نسخهای که در سامانه سوخت استفاده شده، یک نسخه غیرفعال بوده است.
بعد از هک صنایع فولاد هم مشخص شد برخی ابزارهایی که شرکت ارائهدهنده خدمات امنیتی صنایع فولاد استفاده میکرد، از سال ۲۰۱۷ بهروزرسانی نشده بودند. در جریان هک شهرداری تهران هم معلوم شد تعداد زیادی از سیستمها مدت طولانی بهروزرسانی نشده بودند و در میان سرورهای شهرداری تهران، تعداد زیادی سرور VMware ۵.۵ به چشم میخورد که از سال ۲۰۱۸ پشتیبانی از آن سرویس متوقف شده است.
برخی افرادی که همزمان با حمله سایبری در پمپبنزینها حضور داشتند، میگویند نمایشگر تعدادی از جایگاههای سوخت برای مدتی کوتاه، پیام دانلود نرمافزار را نشان داد و سپس از کار افتاد. این اظهارات در کنار اعلام گروه هکری مبنی بر اینکه اگرچه توانایی داشتند، همه جایگاهها را از دسترس خارج نکردند، نشان میدهد که گروه هکری به زیرساخت دسترسی گسترده داشته و میتوانسته است تکتک جایگاهها را کنترل کند.
Read More
This section contains relevant reference points, placed in (Inner related node field)
مهاجمان احتمالا یک نسخه مخرب میانافزار را روی دستگاههای کارت سوخت بارگذاری کردهاند. برای این کار، آنها ابتدا باید به شبکه یا سامانههایی که دستگاههای کارت سوخت را کنترل میکنند، دسترسی پیدا کنند.
مهاجمان با شناخت عملکرد سامانه میتوانند یک نسخه اصلاحشده از میانافزار ایجاد کنند که قانونی به نظر میرسد اما حاوی کد مخرب است. این کد میتواند برای غیرفعال کردن دستگاه، تداخل در عملکرد آن یا حتی ایجاد یک در پشتی برای دسترسی در آینده طراحی شود. سپس مهاجمان باید این میانافزار مخرب را روی دستگاههای موردنظر نصب کنند.
اگر آنها به شبکه دسترسی داشته باشند و دستگاهها برای پذیرش بهروزرسانیهای از راه دور پیکربندی شده باشند، میتوان این کار را از راه دور انجام داد. آنها همچنین میتوانند از طریق مهندسی اجتماعی، ادمینها را فریب دهند تا فایل مخرب را نصب کنند یا آنکه از طریق دسترسی مستقیم به سامانه، میانافزار جعلی را نصب کنند. پس از نصب، میانافزار کدی را که مهاجمان طراحی کردهاند، اجرا میکند.
از طرف دیگر، اظهارات رئیس صنف جایگاهداران اعتبار بیشتری به این سناریو میبخشد. به گفته قلیزاده، «۳۵ درصد جایگاهها در کل کشور در حال فعالیتاند و جایگاههایی که دچار اختلال شدهاند، بهتدریج به صورت دستی فعال میشوند.»
آیا ایزوله کردن یک سامانه از هک شدن آن جلوگیری میکند؟
مسئولان جمهوری اسلامی همواره یکی از اهداف اینترنت ملی یا همان شبکه ملی اطلاعات را جلوگیری از حملات سایبری با منشا خارجی عنوان میکنند. با وجود پیشرفت فناوری و همچنین روشهای مهندسی اجتماعی، دیدگاه ایزوله کردن و قطع دسترسی رویکردی شکست خورده است؛ کما اینکه در یکی دو سال اخیر با افزایش هک سامانههای غیرمتصل به اینترنت، این موضوع ثابت شده است.
ممکن است برای بسیاری از افراد این سوال مطرح میشود که وقتی یک سامانه به اینترنت متصل نیست، چگونه میتوان به آن نفوذ کرد؟
یکی از شایعترین و سادهترین روشها دسترسی فیزیکی است. اگر مهاجم بتواند به شبکه یا دستگاهها دسترسی فیزیکی داشته باشد، میتواند به طور مستقیم نرمافزار یا سختافزار مخرب را نصب کند. این کار را میتواند یک نیروی نفوذی انجام دهد یا از طریق مهندسی اجتماعی و فریب دادن اپراتور برای اقدامی خاص صورت گیرد.
حملات زنجیره تامین شکل پیچیدهتری از نفوذ سایبریاند. در این روش، مهاجمان به جای حمله مستقیم به یک هدف محافظتشده، از آسیبپذیریهای زنجیره تامین برای دسترسی به هدف اولیه سوءاستفاده میکنند.
حمله زنجیره تامین زمانی رخ میدهد که مهاجم از طریق نفوذ به ارائهدهنده سختافزار یا نرمافزار به سیستمها و دادههای هدف نفوذ کند. مهاجمان ممکن است کدهای مخرب را قبل از اینکه یک سرویس بین مشتریان توزیع شود، به آن سرویس تزریق کنند و پس از نصب آن، به هدفشان نفوذ کنند. یکی از نمونههای شناختهشده این حمله مربوط به شرکت «سولار ویندز» است که در سال ۲۰۲۰ کشف شد. در این حمله کدهای مخرب در یک بهروزرسانی این پلتفرم مدیریتی درج شد و هزاران سازمان را تحت تاثیر قرار داد.
علاوه بر موارد ذکرشده، روشهای مدرنتر و پیچیدهتری نیز وجود دارند که نفوذ از طریق امواج بیسیم و روشهای الکترومغناطیسی و نوری انجام میشود.
