بدافزار شمعون و بازی رسانه‌ای عربستان + تحلیل

به گزارش واحد امنیت سایبربان؛ عربستان در ادامه هیاهو بر سر بدافزار موسوم به شمعون، ادعا کرده است که این بدافزار در قالب جدیدی به صحنه بازگشته است. این ادعا در پی آن صورت گرفت که وزارت کار عربستان گزارش داد مورد حمله بدافزار قرار گرفته است.

گفته می‌شود که شمعون 2، درست شبیه نسخه اولیه، به سادگی کار تخریبی خود را انجام می‌دهد؛ به این صورت که بوت سکتورهای هارد سامانه هدف را پاک کرده و امکان راه‌اندازی دوباره سامانه را غیرفعال می‌کند. مدیرعامل آپریو سیستمز - شرکت فعال در زمینه ایمن‌سازی سامانه‌های کنترل حیاتی- مایکل شالیت (Michael Shalyt)، اظهار داشته است: «یکی از معیارهایی که تعیین‌کننده شدت حمله سایبری است، مدت زمانی است که طول می‌کشد عملیات عادی دوباره از سر گرفته شود. برای مثال، به محض این که حمله انکار سرویس توزیع‌شده رخ می‌دهد، سامانه‌ای که مورد حمله قرار گرفته بتواند تقریبا بی‌درنگ فعالیت خود را از سر گیرد. بدافزاری که بخش‌هایی از سامانه را تخریب کند یا پیکربندی آن را به هم بریزد، موجب می‌شود کارکنان بخش فناوری اطلاعات به زمان و منابع بیشتری برای بازگرداندن اوضاع به حالت عادی نیاز داشته باشند.»

شالیت می‌افزاید: «شعمون یک نمونه افراطی از این گونه بدافزارهاست که بوت سکتور هاردهای رایانه را تخریب می‌کند – سامانه با این کار کاملا غیرقابل استفاده می‌شود – و بدین ترتیب، کاربر مجبور به فرمت کردن کامل هارد و نصب دوباره کلیه اجزای هک‌شده می‌شود. این بدترین کاری است که یک هکر می‌تواند برای مختل کردن عملیات، بر روی لایه دیجیتال انجام دهد.»

این‌طور ادعا می‌شود که بدافزار شمعون به راحتی کنترل راه‌انداز بوت سامانه هدف‌گیری شده را در دست گرفته و محتویات آن را پاک می‌کند. البته شمعون برای انجام این کار ابتدا باید دسترسی لازم را به دست آورد. شرکت سیمنتک احتمال می‌دهد که بین گروهی که از بدافزار شمعون استفاده می‌کند و گروه دیگری موسوم به گرین‌باگ (Greenbug) رابطه‌ای وجود داشته باشد؛ چراکه به تازگی در سایت خود، به حضور گرین باگ در سازمانی که بعدها مورد هدف شمعون قرار گرفت، اشاره کرده بود.

شرکت امنیت سایبری کروداسترایک (Crowdstrike) ادعا می‌کند هکرها ایرانی بوده‌اند. به زعم برخی کارشناسان امنیتی، ایران و عربستان رقیب منطقه‌ای به شمار می‌روند و عجیب نیست که بخواهند در امور یکدیگر دخالت کنند. عضو ارشد موسسه رویال یونایتد سرویسز که در بخش اثرگذاری نظامی همکاری می‌کند، رقابت ایران و عربستان را رقابتی می‌داند که به ندرت به‌طور مستقیم صورت می‌گیرد. او در گفتگو با شرکت سیمنتک اظهار داشته است: «این رقابت اغلب به شکل نیابتی انجام می‌شود؛ مثلا ایران متهم است که از مخالفان در بحرین و جنبش حوثی‌ها در یمن پشتیبانی می‌کند. به‌طور مکرر اتهاماتی درباره حملات سایبری بین دو کشور به گوش می‌رسد و ادعا می‌شود که این حملات با حمایت دولت‌ها انجام می‌شود. یکی از معروف‌ترین این اتهامات، ادعای حمله هکرهای ایرانی به شرکت آرامکو (شرکت ملی نفت عربستان) است و برخی آن را با پیغام ایران به امریکا بعد از حمله استاکس‌نت/ المپیک گیمز مرتبط می‌دانند.»

بدافزار شمعون، بعد از حمله به شرکت ملی نفت عربستان در سال 2012 بر سر زبان‌ها افتاد. شمعون در آن حمله موجب نابودی بوت سکتورهای تقریبا چهل هزار رایانه شد. در اواخر سال 2016، شمعون دوباره در صحنه ظاهر شد و این بار به شش سازمان دیگر عربستانی حمله کرد. در این حملات، تصویر آلان کردی، کودک پناهنده سوری که در دریای مدیترانه غرق شد، بر روی صفحه نمایش رایانه‌های عربستانی ظاهر شد.

بعد از هشدار اخیر سازمان ارتباطات عربستان، شبکه تلویزیونی العربیه خبر داده که چند سازمان عربستانی مورد حملات سایبری قرار گرفته‌اند. از جمله سازمان‌هایی که ادعا می‌شود مورد حمله قرار گرفته‌اند، شرکت پتروشیمی صداره است که یک شرکت سرمایه‌گذاری مشترک بین عربستان و امریکاست. شرکت صداره اذعان کرده است که اختلالات اخیر ناشی از حمله سایبری بوده است اما نمی‌تواند عامل حمله را شمعون بداند.

تحلیل رسانه‌ای

خبرپراکنی عربستان درباره بدافزار شمعون، چه اهداف رسانه‌ای را دنبال می‌کند؟ آیا عربستان با دستاویز قرار دادن و اتهام‌پراکنی به ایران، در پی اجرای جنگ روانی است؟ این‌طور به نظر می‌رسد که ایران‌هراسی در فضای سایبری با هدف کند کردن پیشرفت ایران در عرصه سایبری صورت می‌گیرد.

گزارش‌های سوگیرانه شرکت‌های امنیتی که وابستگی آشکار و نهان به رژیم صهیونیستی و امریکا دارند، شائبه‌های سیاسی را به ذهن متبادر می‌سازد. این شائبه آنجا قوت می‌گیرد که ایران و کشورهای دیگر نیز مورد حملات سایبری مشابه و دنباله‌دار قرار می‌گیرند اما گزارش‌های متوازنی از سوی شرکت‌های امنیتی در این باره منتشر نمی‌شود. گزارش‌های سوگیرانه شرکت‌های امنیتی و ایران هراسی سایبری کشورهایی نظیر عربستان به سختی ممکن است اعتبار ایران را در سطح بین‌الملل و در نظر ناظران بی‌طرف دچار خدشه کند اما می‌تواند هزینه‌هایی جزئی برای کشور در پی داشته باشد.

از آنجا که هیچ‌گاه مدرکی مبنی بر دخالت ایران در حملات سایبری به عربستان ارائه نشده و دولت ایران نیز چنین حملاتی را نپذیرفته است، هوشیاری رسانه‌های داخلی در برخورد با چنین گزارش‌هایی ضروری است. چه بسا عربستان و هم‌پیمانان آن از این که رسانه‌های ایران به انتشار این خبرها پرداخته و آن را نشانه‌ای از توان سایبری ایران معرفی کنند، خشنود باشند و با حیله‌گری آن را اعتراف ایران به دخالت در این گونه امور معرفی کنند.

آنچه اعتبار این گزارش‌ها را بیشتر زیر سوال می‌برد، تناقضی است که در گفتار کارشناسان امنیتی دیده می‌شود. آنها از یک سو ایران را کشوری پیشرفته از لحاظ توان تهاجم سایبری معرفی می‌کنند و از سویی دیگر بر فاصله زیاد ایران از امریکا، چین، روسیه و رژیم صهیونیستی تاکید می‌ورزند.

اما ایران هراسی سایبری چه منافعی برای غربی‌ها دارد؟ دور از ذهن نیست که آنها در پی آزمایشگاهی برای سنجش سلاح‌های سایبری باشند و در این میان، چه کشوری بهتر از عربستان می‌تواند آنها را به این هدف برساند؟ آنها تنش موجود میان ایران و عربستان را دستاویزی برای القای ترس و بزرگ‌نمایی حملات سایبری ایران قرار داده و به بهانه کمک به تامین امنیت سایبری عربستان، قراردادهای مالی با این کشور امضا می‌کنند.

از سوی دیگر، امریکا در تلاش برای حفظ وجهه خود، حملات سایبری خود را به عربستان واگذار می‌کند. کافی است امریکا منابع مورد نیاز را در اختیار عربستان قرار داده و زیر گوش مسئولان ساده‌اندیش این کشور این‌طور زمزمه کند که ایران خطری بسیار بزرگ برای موقعیت منطقه‌ای عربستان به شمار می‌رود. آن گاه عربستان به نیابت از امریکا وارد عمل شده و حملات سایبری مورد نظر امریکا به ایران را انجام می‌دهد. بهره‌بردار اصلی حاشیه امن ایجاد شده در این فرآیند، امریکا خواهد بود و عربستان نیز به خیال خود ایران را در عرصه سایبری عقب رانده است. بدیهی است که امریکا منابع را تا حدی در اختیار عربستان قرار می‌دهد که بعدها عربستان نتواند از آن علیه خود امریکا استفاده کند.