آمادگی شین بت برای مقابله با حملات سایبری (بخش اول)

به گزارش کارگروه بین الملل سایبربان؛ به ادعای برخی کارشناسان اسرائیلی، تقریباً چهار سال پیش، متخصصین سازمان امنیت و اطلاعات داخلی اسرائیل (شین بت)، توسط یکی از دشمنان که می‌توانست ایران، حزب‌الله یا حماس باشد، برای حمله به خود اسرائیل به خدمت گرفته شدند. بر این اساس، دشمن با تقسیم شدن در چندین گروه، منتظر فرصتی مناسب برای ایجاد اختلال در پخش تلویزیونی و رادیویی شد. شین بت به‌جای مقابله سریع با حمله‌کنندگان سایبری، به آن‌ها اجازه داد تا به عملیات خود ادامه دهند تا بتواند هویت آن‌ها و مدت‌زمان کارشان را شناسایی کند. سپس با حمله متقابل، جزئیات و هویت مهاجمان را برای کشورهایشان ارسال کردند.

اخیراً مقامات شین بت اعلام کرده‌اند که از سال‌ها قبل در مورد ترکیب حمله و دفاع سایبری و افزایش قدرت می‌دانسته‌اند؛ زیرا از اوایل سال 1994 و از آخرین سال تأسیس بخش جدید ترکیب سایبر و فناوری، تجربه زیادی در دفاع از زیرساخت‌های حیاتی کسب کرده‌اند.

ناداف آرگامان (Nadav Argaman)، رئیس شین بت، در کنفرانسی گفت: «مهاجمان سایبری باید منتظر شگفتی‌های زیادی در دنیای واقعی باشند زیرا اسرائیل منتظر نمی‌ماند تا موردحمله قرار گیرد. ما قبل از حمله آن‌ها را شناسایی می‌کنیم؛ دفاع سایبری ما حدومرزی ندارد. ما تهدیدات را در هرجایی دنبال خواهیم کرد و جهان فیزیکی و سایبری را به هم متصل می‌کنیم.»

ده سال پیش، 4 درصد اعضای شین بت، در حوزه مجازی فعالیت می‌کرده‌اند که اکنون این رقم، به 25 درصد رسیده است. به گفته آرگامان، این سازمان به‌تنهایی در سال 2016، حدود 2000 تهدید را شناسایی کرده است.

بریتانیا یکی از پنج قدرت سایبری جهان است؛ اما پارلمان این کشور تابستان گذشته موردحمله سایبری قرار گرفت و انگلیس انگشت اتهام را به سمت روسیه نشانه رفت. بسیاری حملات دیگر نیز در کشورها وجود دارد که تا دولت‌ها مطمئن نشوند آن‌ها را اعلام نمی‌کنند. به همین دلیل انگلستان که در تشخیص عامل حملات سردرگم شده بود، در ماه اکتبر سال جاری اعلام کرد که این حمله نه از طرف روسیه، بلکه از سوی ایران بوده است. در اینجا این سؤال مطرح می‌شود که باوجود چنین حمله سایبری بزرگی، چگونه یک دولت تشخیص اشتباه می‌دهد؟ و اگر قدرت بزرگی مانند بریتانیا اشتباه کند، با چه اطمینانی حملات سایبری را به کشوری نسبت می‌دهد؟

مایکل دانیل (Michael Daniel)، از مقامات سایبری دولت اوباما، اخیراً در مورد برخی از معضلات بزرگ در برخورد با حملات سایبری صحبت کرد. وی دراین‌باره گفت: «اولین سؤالی که مطرح می‌شود این است که آیا اطلاعات تکنیکی کافی برای متهم کردن کسی در فضای سایبری دارید؟ فرایند شناسایی شامل نگاهی به وقایع، ردیابی آدرس IP و بازنگری ابزار سایبری استفاده شده است.»

آدرس‌های پروتکل اینترنتی (IP) برچسب عددی معین‌شده برای هر وسیله مرتبط با شبکه رایانه‌ای و لگاریتم‌های اینترنتی هستند که عملیات را ضبط کرده‌اند. دانیل که اکنون رئیس اتحادیه تهدیدات سایبری است، توضیح می‌دهد: «راه‌های زیادی در چگونگی انجام تحقیقات وجود دارد و شما منابع زیادی در اختیار دارید. شما باید از هارد دیسک‌هایی که احتمال دسترسی مهاجمان به آن‌ها وجود داشته کپی بگیرید. باید ببینید آن‌ها به چه نمودارهایی دقت کرده و از چه ابزارهایی برای ورود و خروج استفاده کرده‌اند؛ اگر بدافزار را یافتید باید نوع آن را مشخص کنید. شما باید با استفاده از اطلاعات شبکه آن را ردیابی کرده و هدف مهاجمان را بشناسید.»

وی افزود: «وقتی بدافزار را یافتید باید ابزار دسترسی از راه دور (RAT) را پیدا کنید. سپس دریابید که آیا این روش موردپسند آن دولت بوده یا صرفاً از سوی مهاجمان استفاده شده است. نمونه خوبی از RAT، تروجان پویزن آیوی است. شما این تروجان را روی شبکه یا اطلاعات گرفته‌شده از رایانه پیدا می‌کنید و متوجه خواهید شد که چه فرد یا افرادی از این بدافزار استفاده کرده‌اند.»

این مقام سابق دولت آمریکا با طرح سؤالاتی در این زمینه ادامه داد: «با چه فعالیت‌های گوناگونی در ارتباط با رایانه روبرو می‌شویم؟ چه کشوری با این IP مرتبط است و آیا ما شناختی از آن داریم؟ آیا می‌توانیم آن‌ها را ردیابی کنیم؟ شما سعی می‌کنید از آدرس IP هایی که مهاجمان استفاده کردند تا هویت خود را مخفی کنند، محافظت کنید، اما گاهی اوقات نمی‌توانید این کار را انجام دهید. برای این کار باید از زنجیره‌های چندگانه استفاده کنید. هکرها به اینترنت دسترسی دارند و ممکن است از طریق شبکه جهانی The Onion Router هویت خود را مخفی نگه داشته باشند. احتمال دارد که هکرها قبل از هدف قرار دادن کامپیوتر مقصد، سه یا چهار مورد دیگر را هک کرده باشند و شما در یافتن آن‌ها گیج شوید. این بازی گربه و موش است. اینکه آیا مهاجمان می‌توانند با سرعت کار خود را انجام داده و هویتشان را پنهان نگه دارند یا محققان آن‌ها را ردیابی می‌کنند؟ داده‌های فنی که ما جمع‌آوری کردیم شامل نرم‌افزارهای مخرب و لگاریتم‌ها، در مورد توالی نرم‌افزارهای استفاده شده و چگونگی کدگذاری آن‌هاست؛ سپس ما آن‌ها را با دیگر موقعیت‌های مربوط به عوامل سایبری مقایسه می‌کنیم.»

این مقام دولتی همچنین اظهار داشت: «اگر هکری از تروجان پویزن آیوی استفاده کند می‌تواند هم‌زمان چندین جهش مثلاً از مالزی داشته باشد. اگر این اتفاق بیفتد نشان می‌دهد که این فرد یک عامل مخرب است.» وی گفت: «در طول جنگ جهانی دوم، زمان‌های زیادی وجود داشت که با وجود پیدا نکردن کد، می‌توانستیم بگوییم که چه کسی در تلگراف است و چگونه این کد تایپ‌شده است. هر مهاجمی می‌تواند روش کار مخصوص به خود را داشته باشد و این کمک می‌کند که شما بهتر آن‌ها را شناسایی کنید. گاهی شما شواهد کافی در اختیار ندارید. اگر مهاجمان بتوانند شواهد علیه خود را پاک کنند و شما دفاع خوب سایبری نداشته باشید، آنگاه موفق نمی‌شوید. همیشه نمی‌توانید به یک تخصیص فنی دست پیدا کنید.»

جوزف کرول (Joseph Krull) در حال حاضر مدیرعامل امنیتی شرکت اکسنچر (Accenture)، یکی از برجسته‌ترین شرکت‌های جهانی، است و 19 سال تجربه در آژانس اطلاعات دفاعی ایالات‌متحده با مأموریت‌های گسترده در اسرائیل، مصر، چاد و فرانسه دارد.

این مقام امنیتی نیز دراین‌باره گفت: «از کار کردن با محققان اسرائیلی یاد گرفتم که مهاجمان سایبری تمایل به کار بر اساس دستورالعمل و استفاده دوباره از تاکتیک‌ها و کدهای معین دارند، زیرا این طبیعت انسان است که از آنچه باعث موفقیت‌های گذشته شده است دوباره استفاده می‌کند. وقتی مهاجمان مشابه را بارها و بارها می‌بینید، هویت و مکان مهاجم را می‌توانید شناسایی کنید. چون مهاجمان نیز انسان هستند، پس اشتباه می‌کنند و شما با بررسی، این اشتباهات را پیدا می‌کنید. اشتباهاتی نظیر اینکه کجا آن‌ها کدها را تغییر داده‌اند، یا چه زمانی سعی در پنهان کردن آدرس‌های IP داشتند و موفق به این کار نشده‌اند.»

پایان بخش اول...

ادامه دارد