به گزارشامروله، احسان موحدیان؛ «بدترین حمله سایبری تاریخ آمریکا»؛ این توصیفی است که رسانههای دنیا در مورد حملات اخیر سایبری به کار میبرند. حملاتی پیچیده که از بهار گذشته علیه مراکز مختلف آمریکا شروع شده و تا همین اواخر توسط دولت این کشور پنهان شده بود. این حملات از نظر فنی چه ابعادی دارد و چه آسیبهایی را به ساختار امنیت اطلاعات ایالات متحده وارد کرده است؟ با وجود آنکه اطلاعات کمی در این خصوص منتشر شده اما متخصصان فناوری اطلاعات به بررسی این موضوع پرداختهاند که در این گزارش مورد بررسی قرار گرفته است.
*این حمله چگونه رخ داده است؟
حملات در ابتدا به یک شرکت ارائه دهنده خدمات نرم افزاری به نام «سولار ویندز» انجام شده است. نفوذ به شرکت نرم افزاری یادشده، هک کردن دهها موسسه دولتی و خصوصی را ممکن کرده، زیرا سولار ویندز بیش از ۱۸ هزار مشتری در داخل و خارج آمریکا دارد.
مقر شرکت سولارویندز در تگزاس واقع است و علاوه بر موسسات دولتی بسیاری از شرکتهای بزرگ فناوری و غیرفناوری در جهان از خدمات آن استفاده میکنند تا از این طریق اطلاعات دیجیتال خود را سازماندهی و مدیریت کنند. هکرها با نصب یک «بک دور» (در پشتی) یا ایجاد جای پا در یکی از نرم افزارهای محبوب این شرکت به نام «اوریون» توانستند به تمامی موسساتی که از این نرم افزار استفاده میکردند، نفوذ کنند.
نرم افزار «اوریون» بر روی سرورهای بسیاری از شرکتهای خصوصی و دولتی نصب شده و لذا آلوده کردن آن به هکرها امکان داد تا به سیستمهای رایانهای آنها نیز نفوذ کنند. بررسیهای موسسه CISA در آمریکا نشان میدهد هکرها از همین طریق به شبکههای رایانهای دهها شرکت خصوصی و سازمان دولتی نفوذ کرده اند. اما در این زمینه اطلاعات بیشتری به طور عمومی منتشر نشده است.
*چه مجموعههایی آسیب دیدهاند؟
بر اساس اعلام خود شرکت سولارویندز، نرم افزار هک شده اوریون بیش از ۱۸ هزار مشتری داشته است. هکرها برای فریب کاربران اوریون یک فایل به روزرسان این نرم افزار را آلوده به کدهای مخرب کرده اند و هر مجموعهای که این فایل را بارگذاری و نصب کرده قربانی هکرها شده است. از همین طریق رایانهها و شبکههای رایانهای زیادی هک شده و بر اساس تحقیقات شرکت امنیت سایبری «رکوردد فیوچر» در ماساچوست، تا به حال ۲۰۰ قربانی اصلی این حملات هکری شناسایی شده اند.
از جمله نهادها و موسسات قربانی این حملات میتوان به دهها وزارتخانه فدرال، خزانه داری آمریکا، وزارت امنیت داخلی ایالات متحده، وزارتخانههای بازرگانی و انرژی و آژانس تسلیحات هستهای آن و حداقل سه دولت دیگر اشاره کرد. تعداد دقیق شرکتهای خصوصی هک شده هنوز اعلام نشده، اما مایکروسافت میگوید ۴۰ شرکت و سازمان که مشتری آن بوده اند از جمله قربانیان این حمله هکری هستند. برخی از این قربانیان عبارتند از نهادهای دولتی، شرکتهای امنیت سایبری و برخی موسسات بخش خصوصی. یکی از موسسات امنیت سایبری بزرگی که قربانی این حملات شده «فایر آی» نام دارد و تحقیقات دامنه دار همین شرکت منجر به افشای ابعاد واقعی ماجرا شد.
*چه خساراتی وارد شده است؟
عمق و شدت خسارات وارده شده به آمریکا به علت این حملات هنوز مشخص نشده است. هنوز مشخص نیست آیا این حملات با هدف خرابکاری انجام شده اند و مهاجمان تنها به دنبال استخراج و بررسی دادههای سازمانهای هدف بوده اند یا حملات یادشده مقدمهای برای خرابکاریهای گستردهتری در آینده هستند. به گفته جان هالکوئیست یکی از مدیران ارشد شرکت فایرآی، اگر این حملات یک جاسوسی سایبری باشد، یکی از موثرترین جاسوسیهای سایبری است که تا به حال رخ داده است. کشف دقیق دامنه این حملات، بازسازی و تعمیر سیستمهای آسیب دیده و جلوگیری از وقوع مجدد آنها کاری هزینه بر و بسیار وقت گیر برای قربانیان است.
* سردرگمی مقامات آمریکا در مورد عامل حملات
آمریکا مطابق معمول این حملات را به روسیه نسبت داده است. اما این مساله تا چه حد قابل اثبات است؟ مقامات ایالات متحده میگویند این حملات با صبوری و پیچیدگی خاصی صورت گرفته که با تاکتیکها و روشهای هکری روسها تطابق دارد.
مظنون اصلی انجام این حملات یک گروه هکری مرموز به نام «APT ۲۹» است که گفته میشود پیوندهایی با دولت روسیه دارد. کرملین مطابق معمول هرگونه دخالت در این حملات را رد کرده است. در عین حالدونالد ترامپرئیس جمهور آمریکا که پیش از این هم با ارزیابیهای دیگر نهادهای امنیتی و اطلاعاتی آمریکا در مورد مشارکت روسیه در حملات سایبری به ایالات متحده مخالف بود، دوباره انگشت اتهام را به سمت چین نشانه رفته است. البته سایر جمهوری خواهان با وی موافق نیستند. مارکو روبیو سرپرست کمیته قضایی سنای آمریکا تصریح کرده کهاین حمله هکری که از نظر وی «عمیقترین تهاجم سایبری در تاریخ آمریکا» استتوسط نیروهای اطلاعاتی روسیه انجام شده است.
*گروه هکری APT ۲۹ چه کسانی هستند؟
گروه هکری APT ۲۹ که به خرسهای انزواطلب یا دوکها نیز شهرت دارند، از سال ۲۰۰۸ فعالیت خود را آغاز کرده اند و معمولاً شرکتهای بزرگ خصوصی و دولتها را هدف حملات خود قرار میدهند. اعضای گروه یادشده پیش از این بارها به کشورهای غربی حمله کرده اند. آمریکا، انگلیس و کانادا این گروه را یک گروه خرابکار سایبری لقب داده اند که که به طور قطع بخشی از سرویسهای اطلاعاتی روسیه محسوب میشود. گفته میشود این گروه یکی از دو گروه هکری است که در سال ۲۰۱۶ به کمیته ملی دموکراتیک وابسته به حزب دموکرات آمریکا حمله کرد و دادههای آن را سرقت کرد. این گروه در جولای سال ۲۰۲۰ از سوی آمریکا و انگلیس متهم به حمله به سازمانها وشرکت هایی خصوصی با هدف سرقت اطلاعات محرمانه مربوط به تولید واکسنکروناشد. شرکت امنیت سایبری کراوداسترایک که از سال ۲۰۱۴ هکرهای این گروه را ردگیری کرده میگوید شبکه قربانیان آن بسیار گسترده است و ابزار مورد استفاده اش برای حمله به طور مرتب تغییر میکند.
*تحقیقات تازه چه میگوید؟
تازهترین بررسیهای فایرآی نشان میدهد کدهای مخرب مورد استفاده برای این حمله حاوی یک سوئیچ خاموشی نیز هستند تا مهاجمان بتوانند با استفاده از آن کدهای یادشده را از کار بیندازند. اما حتی در صورت غیرفعال شدن بدافزار مذکور سیستمها و شبکههای رایانهای آلوده شده کماکان برای مهاجمان قابل دسترس باقی میمانند.
کارشناسان امنیتی میگویند مهاجمان از به هم ریختگی شرایط سیاسی داخلی آمریکا نهایت استفاده را کرده اند و حمله خود را در زمانی مناسب انجام داده اند. در وضعیتی که دولت در حال انتقال از دونالد ترامپ به بایدن است و در شرایطی که ترامپ با لجبازی در مورد تقلب انتخاباتی حیثیت نظام سیاسی آمریکا را زیر سوال برده، این حمله ضربه سختی به اعتبار ایالات متحده وارد کرده و اگر مشخص شود حمله یادشده به سرقت اطلاعات از وزارت دفاع آمریکا نیز منجر شده، تبعات آن شاید جبران ناپذیر باشد.
یک رسوایی بزرگ برای سیستم امنیت سایبری آمریکا
بررسیهای فایرآی همچنین نشان میدهد که این حمله هکری از بهار گذشته آغاز شده و اینکه مقامات آمریکایی نتوانسته اند طی مدت ۹ ماه یک حمله هکری دامنه دار به حساسترین شبکههای رایانهای و اطلاع رسانی خود را شناسایی کنند یک رسوایی بی سابقه برای آنها محسوب میشود. نکته جالب این است که مشخص نیست آیا سازمانهای اطلاعاتی و فناوری آمریکا میتوانند دریابند دقیقاً چه اطلاعاتی از آنها سرقت شده یا این مساله هم تا ابد برای آنها یک راز باقی خواهد ماند.
حتی اگر تنها آدرسهای ایمیل مقامات دولتی و مسئولان شرکتهای خصوصی در جریان این حملات هک شده باشد، باز هم از این طریق میتوان حملات فیشینگ خطرناکی برای سرقت اطلاعات حساستر طراحی کرد. به گفته اورن فالکوویتز یکی از مقامات سابق آژانس امنیت ملی آمریکا و مدیرعامل موسسه امنیت سایبری آریا ۱، مهاجمان میتوانند با استفاده از آدرسهای ایمیل سرقت شده خود را افراد دیگری جا بزنند و با نفوذ به ایمیل سرورها خود را کاربرانی قانونی و دارای صلاحیت جا بزنند و روند حملات خود را به افراد و سیستمهای دیگر گسترش دهند. لذا به سادگی نمیتوان پایانی را برای این حملات متصور بود.
*نگرانی از حملات گستردهتر و خرابکاریهای عمیقتر
در حال حاضر دهها شرکت بزرگ فناوری، مخابراتی، نرم افزاری، مشاورهای و انرژی در آمریکا در حال بررسی این موضوع هستند که آیا خساراتی به آنها وارد شده و چه بخشی از اطلاعاتشان سرقت شده است. به گفته جنیفر بیسکگلی مدیرعامل شرکت مدیریت ریسک اینتروس، به احتمال زیاد علاوه بر مشتریان مستقیم سولارویندز، شرکتهای همکار با این مشتریان نیز که ارتباط مستقیمی با سولارویندز نداشته اند، هک شده و دچار مشکل شده اند.
دولت آمریکا هنوز افشا نکرده که چه تعداد از نهادهای دولتی و شرکتهای خصوصی هک شده اند و چه اطلاعاتی به سرقت رفته و به دست هکرها افتاده است.در عین حال انگیزه هکرها از این حملات نیز نامشخص باقی مانده و معلوم نیست آنچه روی داده یک توطئه مورد حمایت دولتهای خارجی است یا انگیزههای دیگری نیز وجود دارد. مقامات آمریکایی همچنین بیم دارند که حملات یادشده مقدمهای برای حملات گستردهتر است و اطلاعات به سرقت رفته زمینه را برای خرابکاریهای گستردهتر در آمریکا فراهم کند.