همه‌چیز پیرامون بات نت‌ها

دانیل هافمن (Daniel Hoffman)، از مدیران اسبق سازمان سیا    

«سه نمونه اخیر استفاده روسیه از بات نت‌ها برای عملیات نفوذی پنهانی، نکاتی را به اذهان عمومی یادآور می‌شود. اول، در ماه اوت سال 2017 هشتگ FireMcMaster در توییتر رواج یافت که برای تخریب شهرت مشاور امنیت ملی طراحی شده بود. دوم، ما در مورداستفاده بسیار زیاد روسیه از بات نت‌ها در انتخابات ریاست جمهوری سال 2016 می‌دانیم. سوم، باید به استفاده روسیه از بات نت برای حمله به ناتو به‌خصوص در اروپای شرقی توجه داشته باشیم. روسیه موضوعاتی پیرامون چگونگی شکست ایده‌های غربی و تلاش آمریکا برای مقابله با روسیه از ایفای نقشی بزرگ‌تر در دنیای چندقطبی منتشر کرده است.»
 

تاد روزنبلوم (Todd Rosenblum)، معاون عملیاتی پیشین وزارت امنیت داخلی

«بات نت‌ها تهدیدی جدی برای امنیت دیجیتال ملی، امنیت عمومی و جامعه مدنی ما به شمار می‌روند. آن‌ها می‌توانند به‌عنوان یک شتاب‌دهنده برای گسترش اطلاعات جاسوسی و غلط و بدافزارها، استفاده شوند. بات نت‌ها به‌راحتی عمل می‌کنند و به‌طور گسترده‌ای توسط مشاغل قانونی، جنایتکاران و همچنین کشورهایی مانند روسیه برای مبارزات جنگ اطلاعاتی علیه غرب استفاده می‌شوند.»

پاسخ: پاسخ به بات نت‌ها به‌صورت قانونی اغلب به دو گونه متفاوت انجام می‌شود که شامل دستگیری سازندگان نرم‌افزارهای مخرب بات نت و برچیدن زیرساخت‌های فنی است.

•    اولاً، قانون به دنبال بازداشت و محاکمه مجرمانی است که بات نت‌ها را ایجاد و از آن‌ها برای اهداف مخرب استفاده می‌کنند، اما این کار همیشه برای مقابله با تهدید از سوی بات نت‌ها با توجه به ماهیت انتقالی و مشکل در شناسایی مجرمان، کافی نیست؛ بنابراین قانون همچنین از تشنج، تصرف و دستورالعمل‌های محدودکننده برای تخریب زیرساخت‌های فنی جنایی برای حفظ بات نت‌ها استفاده می‌کند.

دانیل هافمن (Daniel Hoffman)، رئیس سابق پایگاه سازمان سیا
«عوامل مخرب از بات نت‌ها برای تجارت بزرگ بین‌المللی استفاده می‌کنند. آن‌ها بات های خود را مانند دیگر بازیگران واقعی سایبری نشان می‌دهند. بات ها با نفوذ در فضای سایبری، به نظر ابزار دشمن خارجی نیستند اما این واقعیت ندارد. آن‌ها از هشتگ های مشترک برای پنهان کردن منشأ بات ها استفاده می‌کنند. عوامل مخرب پس از تثبیت وضعیت خود، شروع به انتشار تبلیغات نادرست می‌کنند. اغلب کاربران شبکه اجتماعی و رسانه‌ها به‌طور ناگهانی پیام را تقویت کرده و گسترش می‌دهند. بات ها با هزینه پایین، ابزار مناسبی برای انتشار مضامین پنهان نفوذی هستند. ما باید مبدأ بات ها یا افرادی را پیدا کنیم که کدها را می‌نویسند و بات را با موضوعات نفوذ مخفیانه بارگذاری می‌کنند. این مسئله چالش‌برانگیز است زیرا عوامل دولتی و غیردولتی همیشه سعی می‌کنند هویت خود را با استفاده از عملیات اینترنتی سایبری کاذب پنهان کنند و ما گمان می‌کنیم بات یک شهروند دیگر است. درواقع بات یک ابزار بی‌جان سرویس اطلاعاتی خارجی محسوب می‌شود.»

•    فرآیند فنی متوقف ساختن زیرساخت‌های بات نت با روشی شناخته‌شده به نام sinkholing آغاز می‌شود که هدفش حمله کردن به ضعیف‌ترین نقطه یک بات نت سنتی، یعنی ساختار کنترل متمرکز آن است. این سرورها دستورالعمل‌هایی برای بات های آلوده برای مدیریت و کنترل سرورها ارائه می‌دهند. اولین مرحله از نام sinkholing، گرفتن کنترل یک یا چند نام دامنه مورداستفاده توسط سرور کنترل و سپس هدایت مجدد ارتباطات از بات ها به سرور تحت کنترل محققان امنیتی یا اجرای قانون است که به آن sinkhole می‌گویند.

•    ایجاد یک sinkhole می‌تواند مانع از ارائه دستورالعمل به رایانه‌های آلوده توسط بات مستر شود. همچنین به قانون اجازه ردیابی رایانه‌های آلوده‌ای را می‌دهد که با سرور ربوده‌شده ارتباط دارند، آدرس IP های ربات‌ها را در سراسر جهان ثبت و محل و اندازه بات نت را تعیین می‌کنند. تاکتیک sinkhole به قانون اجازه می‌دهد تا قربانیان را از طریق ارائه‌دهندگان خدمات اینترنتی یا مستقیماً رایانه‌هایشان مطلع کنند و باعث می‌شود آن‌ها در یک بات نت مشارکت داشته و اقداماتی را برای اصلاح انجام دهند.

•    تهاجمی‌ترین و کارآمدترین استفاده از sinkhole توسط قانون استفاده از دسترسی آن‌ها به کامپیوتر قربانی برای از بین بردن نرم‌افزارهای مخرب و نقص امنیتی است که در وهله اول آن‌ها را آسیب‌پذیر کرده است. این امر شامل تزریق نرم‌افزار جدید بر روی رایانه‌ها، هک کردن آن‌ها و آسیب تصادفی رایانه‌های قربانیان و نگرانی از تخلفات دولتی در حریم خصوصی می‌شود.

باوجوداینکه sinkholing در بات نت‌ها اختلال ایجاد می‌کند، از بین بردن آن‌ها بسیار دشوار است؛ زیرا متخصصان botmaster ها اغلب می‌توانند با کنترل دوباره مرکزی و ساخت مجدد ارتش بی‌هدف آن‌ها را بازسازی کنند. به‌استثنای اینکه سازندگان بات نت ازلحاظ فیزیکی توقیف‌شده‌اند، بات نت‌ها در بازی همیشگی موش و گربه میان عملکردهای اجرای قانون و نوآوری‌های بات مستر از پیچیدگی تکرارهای قبلی استفاده کرده‌اند.

 تاد روزنبلوم (Todd Rosenblum)، معاون عملیاتی پیشین وزارت امنیت داخلی
«تخریب‌ها باعث کاهش جو سازگار و نابودی بازیگران غیرقانونی می‌شود. برای رفع موانع، آن‌ها باید در نزدیکی بالای زنجیره غذایی تولید و توزیع قرار گیرند. بهترین راه‌حل درازمدت، افزایش تشخیص بات آنلاین از طریق دفاع خودکار است. این کار بدون خطا نیست اما تمرکز بیشتر بر روی پیچیدگی بالا و عامل مخرب است.»

 پیش‌بینی: شاید جنبه چالش‌برانگیز اختلال در بات نت، هماهنگی قابل‌توجه بین‌المللی بین سازمان‌های اجرای قانون و بخش خصوصی است. با ایجاد مشکلات منطقی، قانونی و دیپلماتیکی در برابر بات نت‌ها، فرایندها برای رسیدگی بهتر به مسائل مربوط به هدف قرار دادن سرورها در چندین کشور، با قربانیان در سراسر جهان و عاملان مخرب در بسیاری از حوزه‌های حقوقی به مکان بهتری منتقل می‌شوند.

•    در آوریل سال 2013، بخش سایبری FBI با هماهنگی دیگر نهادهای دولتی از طریق نیروهای مشترک تحقیقات سایبری ملی (NCIJTF) عملیات سنگ سفید را برای اختلال و انهدام مهم‌ترین بات نت هایی راه‌اندازی کردند که اقتصاد و امنیت ملی ایالات‌متحده را تهدید می‌کردند. این عملیات با خاتمه دادن به بات نت سیاتل در ژوئن 2013 آغاز شد که بیش از 11 میلیون رایانه به خطر افتاده را در سراسر جهان با سرورهای فرماندهی و کنترل متمرکز در آمریکای شمالی، غرب اروپا و آسیا محاسبه کرده بود.
•    اجرای قانون در مواجهه با شبکه‌های بزرگ مؤثرتر شده است. به‌عنوان‌مثال، در ماه آوریل، وزارت دادگستری ایالات‌متحده با حکم کلی 41 تحت قانون تازه اصلاح‌شده قوانین قضایی فدرال، توسط سرورهای کنترل و فرماندهی برای از بین بردن بات نت کالیوش تلاش کرد. با کمک این اصلاحیه، یک گواهی برای بررسی‌های الکترونیکی به چندین دلیل اعطا می‌شود به‌طوری‌که برای اجرای قانون دیگر لازم نیست در هر موردی به قاضی مراجعه شود.
•    در اواخر ماه نوامبر سال گذشته اف بی آی با همکاری همتایان قانون گزارش در آلمان و هماهنگی مرکز جرائم سایبری اروپایی یوروپل بات نت آندرومدا موسوم به Gamarue را از بین برد. در عرض 48 ساعت اول، مایکروسافت 2 میلیون قربانی را در 223 کشور کشف کرد که توسط بات نت آسیب‌دیده بودند. البته معمار آن توسط Recorded Future، یک شرکت اطلاعات سایبری منبع باز، به‌عنوان Jarets Sergey Grigorevich در اوایل ماه دسامبر گذشته در بلاروس دستگیر شد.

تاد روزنبلوم (Todd Rosenblum)، معاون عملیاتی پیشین وزارت امنیت داخلی
«همکاری بین‌المللی برای پیدا کردن و خنثی کردن بات نت‌ها بسیار اهمیت دارد. بات نت‌های غیرقانونی در سراسر جهان ایجاد و استفاده می‌شوند، اما محیط‌های مجازی بی‌شماری برای ایجاد و توزیع اولیه وجود دارد. اروپای شرقی و کشورهای شوروی سابق به‌عنوان منبع به‌خوبی شناخته شده‌اند. اعمال قانون آگاهانه اطلاعاتی عموماً منجر به اقدام علیه تولیدکنندگان و کاربران بات نت غیرقانونی می‌شود. تسلیحات اطلاعاتی عمومی به‌طورکلی در مبارزه با حامیان دولت از عوامل متشکل از متخصصان بات نت هستند. اغلب دیپلماسی و تحریم‌های بین‌المللی بخش مهمی از معادله است. البته، همکاری میان بخش‌های عمومی و خصوصی برای موفقیت ضروری است. در بعضی مواقع دولت تشخیص و واکنش را انجام می‌دهد اما بیشتر اوقات این کار بر عهده بخش خصوصی است.»