جنگ سایبری میان ایران و آمریکا، در ابعادی بیسابقه ادامه دارد. در حالی که مقامهای جمهوری اسلامی در هفته گذشته اعلام کردند که ایران زیر بار شدیدترین و گستردهترین حملات سایبری تاریخ کشور بوده که با هدف فلج کردن زیرساختهای ارتباطی کشور انجام شده و افتی ۲۵ درصدی در میزان دسترسی شهروندان به اینترنت جهانی پدید آورده، حالا کمپانی امنیتی «کلیر اسکای» (ClearSky) مستقر در لندن با انتشار بیانیهای اعلام کرده در حملات سایبری پیوستهای که از تابستان ۲۰۱۹ آغاز شده، رد گروههای هکری تحت حمایت حکومت ایران را یافته است.
هکرهای ایرانی در این کمپین حملات پنهان سایبری که ساعاتی پس از کشف آسیبپذیریهای امنیتی در سرورهای ویپیان و پروتکل «ریموتدسکتاپ» (RDP) در سپتامبر ۲۰۱۹ آغاز شدهاند، سازمانها و شرکتهای گوناگون فعال در حوزههایی نظیر امنیت، فنآوری اطلاعات، نفت و گاز، صنایع هوا و فضا و بخشهای دولتی را در نقاط مختلفی از جهان، از اسرائیل گرفته تا آمریکا، هدف قرار دادهاند.
«کلیر اسکای» این حملات را «عملیات بچهروباهها» نام نهاده و میگوید غولهایی از حوزه امنیت شبکه در جهان، از جمله «پالسسکیور» و «فورتینت» و «پالوآلتو نتورکس» که هرسه در آمریکا مستقرند، از مهمترین اهداف و قربانیان این حملات بودهاند.
ترسیم تصویری روشنتر از گروههای هکری تحت حمایت ایران
«کلیر اسکای» میگوید یافتههای آنها این باور رایج در دنیای متخصصان امنیت که «هکرهای ایرانی نسبت به همتاهای خود در روسیه، چین و کره شمالی از توان عملیاتی کمتری برخوردارند» را با تردیدهای جدی روبرو میکند.
یافتههای جدید نشان میدهد که هکرهای ایرانی تنها چند ساعت پس از کشف آسیبپذیریهای امنیتی موجود در سرورهای ویپیان و دیگر پروتکلهای دسترسی از راه دور، کدهای مخرب را آماده حمله کردند و بر خلاف تجربههای پیشین که دست یک گروه در کار بود، این بار سه گروه مختلف از هکرهای ایرانی، در همآهنگی با یکدیگر این حملات را در بازه زمانی بزرگتر و با برنامهریزی بلندمدت اجرا کردهاند.
Read More
This section contains relevant reference points, placed in (Inner related node field)
هکرهای تحت حمایت دولتها که به صورت اختصاری از آنها با عنوان APT یاد میشود (Advanced Persistent Threat) از مجموعهای از ابزارها برای پیشبرد اهداف مخرب خود بهره میگیرند. هکرهای ایرانی هم برای اجرای این حملات هم از ابزارهای متنباز (اوپنسورس) بهره گرفتهاند، هم برخی از کدهای مخرب را خودشان برنامهنویسی و اجرا کردهاند.
آنها پس از ورود به سرورها، فرآیند پالایش و فیلترینگ دادهها برای جداسازی دادههای ارزشمند و حساس از دادههای هرز را با دقت و موشکافانه انجام دادهاند و عملیات نفوذ را با موفقیت به پیش بردهاند و با تعبیه «در پشتی» (Backdoor) مسیرهای آلترناتیو برای ورود به سیستم در آینده را هم ایجاد کردهاند تا کنترلشان بر شبکههای هدف، پایدار بماند.
تا اینجای کار برای متخصصان امنیت روشن است، اما اینکه نیت آنها از این پس چه بوده و با دسترسی بلندمدتی که به این سرورها و شبکهها داشتهاند، در آینده چه خواهند کرد، پرسشی است که پاسخ دادن به آن بسیار دشوار و یکی از چالشهای جدی در جنگهای سایبری است.
هراس از پاکسازی گسترده دادهها به دست هکرهای ایرانی
یکی از گزینههای محتمل که میتواند ضررهای هنگفتی به قربانیان تحمیل کند، استفاده هکرهای ایرانی از ابزارهایی موسوم به «دیتا وایپر» برای پاکسازی گسترده دادههای حساس است. از سپتامبر ۲۰۱۹ تا کنون دستکم دو بدافزار دیتا وایپر مختلف با نامهای ZeroCleare و Dustman کشف شدهاند که به گفته تحلیلگران امنیت در «زد دی نت» به احتمال قریب به یقین از تولیدات هکرهای ایرانیاند.
آنها تلاش کردند تا با بهرهگیری از همین ابزارها، همه اطلاعات موجود در سرورهای شرکت ملی نفت بحرین را پاک کنند. تلاشی که البته با کشف بهموقع، ناکام ماند.
گزینه محتمل دیگر تلاش هکرهای ایرانی برای ایجاد اختلال در فعالیت زیرساختهای حیاتی آمریکا، از جمله نیروگاههای برق در این کشور است. راب لی، از تحلیلگران ارشد «آژانس امنیت ملی آمریکا» (NSA) و بنیانگذار کمپانی امنیتی «دراگوس» در گفتوگو با مجله «وایرد» هشدار داده که با توجه به مهارتهای ویژهای که نفوذ به نرمافزارهای کنترلکننده نیروگاهها لازم دارد، بیشتر باید نگران دسترسیهایی بود که هکرهای ایرانی تا کنون پیدا کردهاند. آنها با همین دسترسیها میتوانند تا مدتها برای طیف گستردهای از شرکتها، مشکلاتی بزرگ به وجود بیاورند.
