هدف عملیات سایبری پرچم‌های دروغین، اراده سیاسی و عمومی

به اعتقاد کارشناسان امنیتی، هدف اغلب حملات سایبری، لزوما فریب سرویس‌های اطلاعاتی برای دسترسی به داده ها نیست؛ بلکه هدف اصلی، تضعیف اعتماد عموم مردم و درنتیجه نابودی اراده سیاسی برای پاسخ به فعالیت‌های جنگی در فضای سایبری است. به گفته واشنگتن‌ پست، به نظر می‌رسد همین امر، انگیزه هکرهای روسی، در تلاش برای ایجاد اختلال در مراسم افتتاحیه بازی‌های المپیک زمستانی در پیونگ چانگ باشد.

تیم مورر (Tim Maurer)، مدیرعامل و مبتکر سیاست سایبری اندیشکده کارنگی گفت: «حادثه سایبری و ایجاد اختلال در پخش برنامه‌ها و توانایی شرکت‌کنندگان در پیوستن به مراسم، باعث شد انگشت اتهام به‌جای پیونگ‌یانگ به سمت مسکو به‌عنوان مجرم اصلی برگردد. مقامات اطلاعاتی ایالات‌متحده بر این باورند که سازمان اطلاعات روسیه GRU، با اجرای عملیات پرچم دروغین تلاش می‌کند کره شمالی را به‌عنوان منبع فعالیت بدخواهانه نمایش دهد.»

سابقه: عملیات پرچم دروغین، تظاهر به اجرای عملیات و جنگ توسط شخصی دیگراست و یک تاکتیک قدیمی به شمار می رود. با ظهور جاسوسی سایبری و جنگ دیجیتال، مانور در دامنه سایبری نیز ممکن است عملیات پرچم دروغین را به نمایش بگذارد.

•    اصطلاح پرچم دروغین از جنگ دریایی منشأ گرفته است و به کشتی‌هایی اشاره می‌کند که پرچم‌ دیگر کشورها را برای گیج کردن دشمن برافراشته می‌کردند. گاهی اوقات خدمه کشتی، حتی لباس‌هایی با نشان کشورهای جهان سوم می‌پوشیدند. عملیات پرچم دروغین در فضای سایبری، همانند دیگر مجموعه عملیات‌ در دنیای فیزیکی هستند و بدون روندهای اطلاعاتی گسترده، سخت شناسایی می‌شوند.

•    در آوریل سال 2015، هکرها TV5Monde را هدف قرار دادند. سخت‌افزارهای متصل به اینترنت را که کنترل عملیات کانال اخبار فرانسه را برعهده داشتند، از بین بردند و باعث پخش آفلاین اخبار شدند. یک گروه وابسته به داعش که خودش را خلیفه سایبری می‌نامید، مسئولیت این کار را برعهده گرفت؛ اما محققان قانونی و اطلاعاتی فرانسوی، به‌سرعت به گروهی دیگر به نام APT 28 یا Fancy Bear شک کردند که مرتبط با سازمان اطلاعات نظامی روسیه بود.

•    عملیات پرچم دروغین TV5Monde نسبتاً ساده بود. تمام این کارها را فردی جعلی انجام می‌داد که مدعی بود وابسته به داعش است. این تاکتیک در میان عوامل تهدیدزا مرسوم نیست و اغلب فردی دیگر، مجرمان شناخته‌شده و هکتیویست ها را مقصر جلوه می‌دهد، همان کاری که روس‌ها با Guccifer 2.0  انجام دادند زمانی که به انتخابات ایالات‌متحده در سال 2016 نفوذ کردند.

تیم مورر، در بخش دیگری از صحبت‌های خود در این رابطه مدعی است: «در عملیات سایبری، حمله پرچم دروغین به این معنی است که حمله‌کننده وانمود می‌کند عامل، دیگری است و با ایجاد یک هویت جعلی آنلاین، هویت واقعی خود را مخفی می‌نماید. این تمایز مهم است، زیرا به‌جز پنهان کردن هویت واقعی مهاجم، قربانی شاید تصمیم به اقدامات متقابل یا تلافی جویانه بگیرد. در این صورت چنین واکنش‌هایی نه‌تنها خود مهاجم را هدف قرار می‌دهد بلکه آن فردی که وانمود شده حمله کرده است نیز آسیب می‌بیند.»

جیمز لوئیس (James Lewis)، معاون ارشد و مدیر برنامه CSIS: «در فضای سایبری، عملیات پرچم دروغین، سندی قانونی را در جهتی اشتباه نشان می‌دهد که می‌تواند به‌اندازه کپی کردن ساده یک کد نسبت داده‌شده به شخصی دیگر، یا قرار دادن چند کلمه از یک‌زبان دیگر باشد. نمونه‌های شگفت‌انگیزی از عملیات پرچم دروغین وجود دارد و موارد شناخته‌شده اغلب به روسیه نسبت داده می‌شوند. روسیه با ایجاد خلافت سایبری، جهادی در فضای سایبری به راه انداخت که یکی از آن‌ها حمله به کانال 5 اخبار فرانسه بود. گروه‌هایی مانند DC Leaks و Guccifer 2، روسی هستند و Shadowbrokers  نیز به‌احتمال‌زیاد روسی است. یک عملیات موفق پرچم دروغین، نیاز به مهارت بیشتری دارد. روس‌ها تمرین طولانی در این زمینه‌ دارند. بنابراین جای تعجب نیست که دوباره در المپیک دست به تلاش زدند.»

•    یک روش ساده و معمول برای گمراهی محققان این است که نظراتی به زبان دیگر و غیر از زبان مادری هکرها در مورد نرم‌افزارهای مخرب نوشته شود. کارشناسان غربی مدعی هستند، هکرهای ایرانی با نام تیپ عزالدین قسام مربوط به حماس، به‌جای عبارات فارسی در کد، در طول حملات انکار سرویس توزیع‌شده برای حمله به مؤسسات مالی ایالات‌متحده در سپتامبر 2012 از عبارات عربی استفاده کردند. این اشتباه عمدی تاکتیکی است که توسط گروه لازاروس انجام شد. این تیم، به نظر بازوی دستگاه اطلاعاتی کره شمالی است که برای حمله به سونی پیکچرز در دسامبر 2014 مقصر شناخته شد. گروه لازاروس همچنین مظنون به حملات مختلفی در سراسر جهان از جمله هدف قرار دادن سیستم بانکداری جهانی SWIFT  است.

•    اما نظرات زبان خارجی، به‌خصوص زمان بروز اشتباهات، می‌تواند آشکار باشد. به همین دلیل، تجزیه‌وتحلیل زبان‌شناختی، اغلب بخشی از تحقیقات است. هکرهای پیونگ‌یانگ، هنگام ارسال نظرات جعلی به زبان روسی در نرم‌افزارهای مخربشان اشتباه کردند. سخنرانان بومی روسی به‌سرعت این ناهنجاری‌ها را متوجه شدند و به این نتیجه رسیدند که ایمبرولیو، تلاش کلاسیک کره شمالی برای نشانه رفتن انگشت اتهام به سمت جامعه هک روسی است. اما حتی با تجزیه‌وتحلیل زبان‌شناختی صحیح، برش‌ها، مانند پروکسی‌های جنایی، یا مقامات بلندپایه می‌توانستند تمایز را فقط براساس زبان نظرات درون کد ایجاد کنند. تجزیه‌وتحلیل زبان‌شناختی بدافزار واناکرای، حمله‌ای که به کره شمالی نسبت داده شد، نشان داد که نویسندگان، مسلط به زبان چینی و احتمالا اهل جنوب چین بوده‌اند.

•    ردیابی منشأ حملات سایبری نیز می‌تواند فریب‌کارانه باشد. هکرهای کره شمالی اعلام کرده‌اند که حملات را به‌طور فیزیکی در خارج از مرزهای خود و از زیرساخت‌های کشورهای ثالث مانند: چین، هند و دیگر مناطق راه‌اندازی می‌کنند. هکرها اغلب به سرورهای کشورهای جهان سوم نفوذ کرده و حملات خود را بدون حضور فیزیکی در آن کشور اجرا می‌کنند. ردیابی آدرس‌های IP به کشورهای مبدأ، اغلب زمانی مفید است که برای شناسایی استفاده از زیرساخت‌های فرماندهی و کنترل باشد و این که آیا در میان گروه‌های تهدید خاص رایج است.

•    یک روش ظریف‌تر تقلید تاکتیک‌ها، تکنیک‌ها و روش‌های گروه‌های شناخته‌شده است. در گزارشی در اکتبر سال 2016، محققان آزمایشگاه کسپراسکی، شرکت امنیت سایبری در مسکو یک کمپین جاسوسی 2015 را بررسی کردند که هدفش ارتش و سازمان‌های دولتی پرو بود. مهاجمان با نام مستعار TigerMilk  از تأییدیه دیجیتالی دزدیده‌شده، همانند یک گذرنامه برای شناسایی نرم‌افزار قانونی، نشئت گرفته در استاکس نت به‌عنوان یک قطعه کد سلاحی استفاده کردند که باعث آسیب به تأسیسات هسته‌ای ایران شد. گروه معادله، نام صنعتی واحد هک سازمان امنیت ملی، از یک تأییدیه سرقتی برای دسترسی محرمانه به سیستم‌های ویندوز مایکروسافت استفاده کرد. بااین‌حال، مایکروسافت تاکنون با لغو این تأییدیه پیشنهاد داده است که عوامل دخیل، پیچیده هستند و احتمالا مربوط به سازمان امنیت ملی نیستند. با این گواهی‌نامه، هکرها ظاهراً سعی در تهدید ایالات‌متحده داشتند.

تیم مورر، از اندیشکده کارنگی خاطرنشان کرد: «یک روش این است که تهاجم از سوی فردی باشد که مهاجم می‌خواهد این‌طور به نظر برسد. یا استفاده از بدافزاری باشد که عامل مخرب دیگری، به‌عنوان بخشی از یک فعالیت تهاجمی سایبری آن را به کار می‌گیرد. این موضوع، می‌تواند از بدافزارهای به کار گرفته‌شده توسط مجرمان و بازار زیرزمینی تا استفاده از نرم‌افزارهای مخرب توسط یک دولت دیگر طبقه‌بندی شود. نرم‌افزارهای مخرب توسعه‌یافته دولتی، ممکن است هنگام گرفته شدن به‌صورت عمومی مطرح‌شده و توسط محققان دولتی مورد تجزیه‌وتحلیل قرار گیرند، یا دولتی در طی عملیات اطلاعاتی علیه دولت دیگر، دسترسی به نرم‌افزارهای مخرب داشته باشد.

به نظر می‌رسد که افزایش قیمت کالا در بازار زیرزمینی جرائم سایبری و مدولار عملیات تهاجمی سایبری، این روش را تسهیل می‌کند. شایان‌ ذکر است که عوامل پیچیده می‌توانند از هکرهای ماهر در زبان‌های دیگر یا صفحه‌ کلیدها و اپراتورها در زمان‌های خاص استفاده کنند تا با آن منطقه زمانی فردی که قرار است مقصر جلوه داده شود همخوانی داشته باشد.

تعداد بسیار کمی از کشورها توانایی تشخیص فعالیت‌های سایبری مخرب را دارند؛ بنابراین شاید یک دولت تلاش کند به کشوری دیگر سیگنال بفرستد چون می‌داند که گیرنده سیگنال می‌تواند منبع واقعی حملات را شناسایی کند، اما اکثر دولت‌ها به این سیگنال‌ها توجهی ندارند. این تاکتیک به این معنی است که تأثیر چنین عملیاتی برای جلوگیری از توجه دیگران، یا نیاز به پاسخ قابل‌توجهی محدود می‌شود. این چیزی است که باعث می‌شود عملیات پرچم دروغین، بسیار وسیع‌تر از ابزار جنگی باشد.»

رابرت داننبرگ (Robert Dannenberg)، رئیس سابق بخش مرکزی اوراسیا، سازمان سیا: «من فکر می‌کنم عملیات سایبری پرچم دروغین حداقل باعث تشویش افکار عمومی شود. آن‌ها عموما نمی‌توانند سرویس‌های اطلاعاتی را به مدت طولانی فریب دهند. مطلب مهم صحبت پوتین در مورداستفاده سایبری این است که در حال حاضر هیچ بازدارندگی در فضای سایبری وجود ندارد. روسیه دارای مجموعه‌ای بسیار مؤثر از دارایی‌های سایبری است و آن‌ها همچنان به استفاده از این ابزار ادامه می‌دهند تا ما را مجبور به پاسخگویی کنند. روسیه خوشحال است که به عوامل سایبری دسترسی دارد که ما به آن‌ها دسترسی نداریم.»