نقش پررنگ مایکروسافت در ایران هراسی سایبری

به گزارش کارگروه حملات سایبری سایبربان؛ گروهی از کارشناسان امنیت سایبری ادعا می‌کنند هکرهای ایرانی تعدادی از مخرب‌ترین اقدامات خرابکارانه دیجیتالی دهه گذشته را انجام داده‌اند. این افراد به شبکه‌های سرتاسر خاورمیانه حمله سایبری انجام داده و به‌دفعات آمریکا را موردتهاجم قرار داده‌اند؛ اما به تازگی مایکروسافت ادعا کرده است که یکی از فعال‌ترین گروه‌های هکری ایرانی، هم‌اکنون به جای حمله به استاندارد شبکه فناوری اطلاعات، روی سامانه‌های کنترل صنعتی که در شرکت‌های برق، تولیدکنندگان و پالایشگاه‌های نفت به کار می‌رود تمرکز کرده است.

ند موران (Ned Moran)، محقق امنیتی مایکروسافت در زمان برگزاری اجلاس سایبروارکان (CyberwarCon) در آرلینگتون ویرجیتیا یافته‌های جدید این شرکت را از APT33 ارائه داد. وی ادعا می‌کند این گروه وابسته به دولت ایران بوده و با نام‌های دیگری مانند هولمیوم (Holmium)، الفین (Elfin) و ریفایند کیتن (Refined Kitten) نیز شناخته می‌شوند.

مایکروسافت مدعی شد حملات سایبری APT33 را در یک ساله گذشته ردیابی کرده است. این گروه در مدت یاد شده از حمله‌ای به نام «اسپری رمز عبور» (password-spraying attack) بهره می‌برد که نوعی فیشینگ است. در این روش تعدادی از رمزهای عبور رایج در ده‌ها هزار سازمان مختلف امتحان می‌شوند. این نوع حمله معمولاً به عنوان تهاجم بدون تفکر در نظر گرفته می‌شود؛ اما در طول دو ماه گذشته APT33 در هر ماه، حدود 2000 سازمان را مورد حمله قرار داد. این در است که تعداد حساب‌های کاربری موجود در این سازمان‌ها به طور متوسط تقریباً ده برابر بودند.

مایکروسافت با توجه به تعداد حساب‌های کاربری که هکرها سعی در نفوذ به آن‌ها را داشتند؛ اهداف مذکور را رتبه‌بندی کرده است. بر اساس این فهرست حدود نیمی از 25 رده اول ذکر شده را تولیدکنندگان، تأمین‌کنندگان یا نگهداری کنندگان از سامانه‌های کنترل صنعتی تشکیل می‌دهند. این شرکت ادعا کرد APT33 در مجموع از اواسط ماه اکتبر ده‌ها تجهیزات صنعتی و نرم‌افزارهای شرکت‌ها را مورد حمله قرار داده است.

انگیزه هکرها و سامانه‌های کنترل صنعتی مورد نفوذ واقع شده، اعلام نشده‌اند. با وجود این موران معتقد است که هدف APT33 از انجام این حملات، ایجاد تأثیرات مخرب فیزیکی است.

محقق امنیتی مایکروسافت گفت:

هکرها به دنبال تولیدکنندگان سامانه‌های کنترل صنعتی هستند؛ اما به نظر نمی‌رسد که این هدف نهایی آن‌ها باشد. این افراد در تلاش هستند مشتریان پایین رده (downstream customer) را شناسایی کنند تا نحوه فعالیت و موارد استفاده از دستگاه‌ها را کشف کنند. آن‌ها می‌خواهند به زیرساخت‌های حیاتی که از سامانه‌های کنترل صنعتی بهر می‌برند، آسیب وارد کنند.

مقام مذکور مدعی شد، تغییر رویکرد APT33 نگران‌کننده است. با وجود این مایکروسافت مدرک و شواهدی که نشان دهد گروه مذکور به جای جاسوسی یا شناسایی هدف، قصد انجام حملات مخرب را دارد، در اختیار ندارد؛ اما حداقل به نظر می‌رسد زمینه‌ی انجام چنین تهاجم‌هایی فراهم شده است.

وی ادعا کرد، سوابق APT33 نشان می‌دهد که در چندین حمله قربانیان با تروجانی به نام شمعون (Shamoon) مواجه می‌شوند که وظیفه پاک کردن داده‌ها را بر عهده دارد. به علاوه مک‌آفی در سال گذشته نیز ادعا کرد این گروه یا هکرهایی که وانمود می‌کردند عضو این گروه هستند، نسل جدیدی از شمعون را تولید کرده‌اند. همچنین فایرآی از سال 2017 مدعی شد که این گروه با یک بدافزار تخریب داده دیگری به نام «شیپشیفتر» (Shapeshifter) ارتباط دارند.

ند موران از ذکر نام سامانه‌های کنترل صنعتی، شرکت‌ها یا تولیداتی که توسط APT33 مورد حمله واقع شده‌اند، خودداری کرد؛ اما هشدار داد که اقدام این گروه برای هدف قرار دادن سامانه‌های کنترل صنعتی، به تلاش ایران برای فراتر رفتن از پاک‌سازی داده‌های سامانه‌ها و از کار انداختن آن‌ها در حملات سایبری اشاره دارد. بر همین اساس وی ادعا می‌کند که ایران احتمالاً امیدوار است روی زیرساخت‌های فیزیکی تأثیر بگذارد.

انجام حملات از نوع یاد شده که توسط دولت‌ها حمایت بشوند، بسیار نادر هستند؛ اما تأثیرات مخرب بسیاری به دنبال دارند. برای مثال می‌تواند به حمله ویروس استاکس نت توسط آمریکا و اسرائیل به زیرساخت‌های هسته‌ای ایران اشاره کرد. این حمله باعث شده سانتریفیوژها از کار بیفتند. روسیه نیز در سال 2015 از بدافزاری به نام «اینداستریال» (Industroyer) یا «کرش اوردریاو» (Crash Override) بهره گرفت و خاموشی گسترده‌ای را در اوکراین به وجود آورد. همچنین هکرهای ناشناخته‌ای نیز در سال 2017، بدافزار تریتون (Triton)-با نام دیگر تریسیس (Trisis) را در یک پالایشگاه نفت عربستان قرار دادند. این بدافزار برای از کار انداخت سامانه‌های ایمنی طراحی شده بود. تعدادی از حملات یاد شده به خصوص تریتون، از ظرفیت بالایی برای ایجاد آسیب فیزیکی و جانی برخوردار بودند و زندگی کارکنان را تهدید می‌کردند.

موران اظهار کرد:

ایران هرگز به صورت مستقیم با یکی از حملات صورت گرفته به سامانه‌های کنترل صنعتی ارتباط نداشته است؛ اما مایکروسافت معتقد است که احتمالاً در تلاش است تا قابلیت‌های خود در این زمینه توسعه دهد. توجه روش‌های سابق آن‌ها در حملات مخرب، دلیلی است که نشان می‌دهد ایران به دنبال سامانه‌های کنترل صنعتی است.

از طرفی آدام مایرز (Adam Meyers)، معاون اطلاعات شرکت امنیتی کروداسترایک (Crowdstrike) نسبت به مطالعه و تحقیق بیش از حد نسبت به زمینه تمرکز جدید APT33 هشدار داد؛ زیرا ممکن است که آن‌ها به سادگی تنها روی جاسوسی متمرکز باشند.

مایرز گفت:

هدف قرار دادن سامانه‌های کنترل صنعتی می‌تواند به معنی انجام یک حمله مخرب باشد. همچنین ممکن است راهی ساده برای ورود به شبکه بسیاری از شرکت‌های انرژی نیز به حساب آید؛ زیرا این نهادها به فناوری‌های یاد شده متکی هستند. بیشتر به نظر می‌رسد آن‌ها می‌توانند ایمیلی را باز کرده یا نرم‌افزاری را روی سامانه‌ها نصب کنند.

مایکروسافت ادعا کرد به دنبال روابط پر تنش میان ایران و آمریکا، شدت حملات افزایش یافته است. در ژوئن 2019، آمریکا، ایران را به متهم کرد که 2 کشتی نفت‌کش را در تنگه هرمز تخریب کرده است. همچنین ایران پهپاد متجاوز گلوبال هاوک آمریکایی را نیز مورد هدف قرار دارد. به علاوه ادعا می‌شود حمله یمن به تأسیسات نفتی عربستان توسط ایران حمایت شده است.

موران ادعا کرد: حمله ایران در ماه ژوئن بخشی از پاسخ این کشور به حمله فرماندهی سایبری آمریکا به زیرساخت‌های اطلاعاتی ایران بود. در حقیقت مایکروسافت مشاهده کرد که حملات اسپری رمز عبور APT33 از ده ها میلیون تلاش در روزه به صفر در 20 ژوئن کاهش پیدا کرد. این موضوع احتمالاً به معنی آسیب دیدن زیرساخت‌های این گروه هکری است؛ اما یک هفته بعد شدت حملات به میزان سابق بازگشت.