ابعاد فنی بزرگترین حملات سایبری تاریخ آمریکا
تاریخ انتشار
دوشنبه ۸ دی ۱۳۹۹ ساعت ۱۲:۴۷
آیتیمن- «بدترین حمله سایبری تاریخ آمریکا»؛ این توصیفی است که رسانههای دنیا در مورد حملات اخیر سایبری به کار میبرند. حملاتی پیچیده که از بهار گذشته علیه مراکز مختلف آمریکا شروع شده و تا همین اواخر توسط دولت این کشور پنهان شده بود. این حملات از نظر فنی چه ابعادی دارد و چه آسیبهایی را به ساختار امنیت اطلاعات ایالات متحده وارد کرده است؟ با وجود آنکه اطلاعات کمی در این خصوص منتشر شده اما متخصصان فناوری اطلاعات به بررسی این موضوع پرداختهاند که در این گزارش مورد بررسی قرار گرفته است.
حمله چگونه رخ داد؟
حملات در ابتدا به یک شرکت ارائه دهنده خدمات نرم افزاری به نام «سولار ویندز» انجام شده است. نفوذ به شرکت نرم افزاری «اوریون» این شرکت که مخصوص مانیتورینگ شبکه است، هک کردن دهها موسسه دولتی و خصوصی را ممکن کرده، زیرا سولار ویندز بیش از ۱۸ هزار مشتری در داخل و خارج آمریکا دارد.
مقر شرکت سولارویندز در تگزاس واقع است و علاوه بر موسسات دولتی بسیاری از شرکتهای بزرگ فناوری و غیرفناوری در جهان از خدمات آن استفاده میکنند تا از این طریق اطلاعات دیجیتال خود را سازماندهی و مدیریت کنند. هکرها با نصب یک «بک دور» (در پشتی) یا ایجاد جای پا در روزآمدسازی (آپدیت) نرمافزار «اوریون» توانستند به تمامی موسساتی که از این نرم افزار استفاده میکردند و آپدیت مذکور را نصب کردهاند، نفوذ کنند. نرم افزار «اوریون» بر روی سرورهای بسیاری از شرکتهای خصوصی و دولتی نصب شده و لذا آلوده کردن آن به هکرها امکان داد تا به سیستمهای رایانهای آنها نیز نفوذ کنند. بررسیهای موسسه CISA در آمریکا نشان میدهد هکرها از همین طریق به شبکههای رایانهای دهها شرکت خصوصی و سازمان دولتی نفوذ کردهاند. اما در این زمینه اطلاعات بیشتری به طور عمومی منتشر نشده است.
چه مجموعههایی آسیب دیدهاند؟
بر اساس اعلام خود شرکت سولارویندز، نرم افزار هک شده اوریون بیش از ۱۸ هزار مشتری داشته است. هکرها برای فریب کاربران اوریون یک فایل به روزرسان این نرم افزار را آلوده به کدهای مخرب کردهاند و هر مجموعهای که این فایل را بارگذاری و نصب کرده قربانی هکرها شده است. از همین طریق رایانهها و شبکههای رایانهای زیادی هک شده و بر اساس تحقیقات شرکت امنیت سایبری «رکوردد فیوچر» در ماساچوست، تا به حال ۲۰۰ قربانی اصلی این حملات هکری شناسایی شدهاند. از جمله نهادها و موسسات قربانی این حملات میتوان به دهها وزارتخانه فدرال، خزانه داری آمریکا، وزارت امنیت داخلی ایالات متحده، وزارتخانههای بازرگانی و انرژی و آژانس تسلیحات هستهای آن و حداقل سه دولت دیگر اشاره کرد. تعداد دقیق شرکتهای خصوصی هک شده هنوز اعلام نشده، اما مایکروسافت میگوید ۴۰ شرکت و سازمان که مشتری آن بودهاند از جمله قربانیان این حمله هکری هستند. برخی از این قربانیان عبارتند از نهادهای دولتی، شرکتهای امنیت سایبری و برخی موسسات بخش خصوصی. یکی از موسسات امنیت سایبری بزرگی که قربانی این حملات شده «فایر آی» نام دارد و تحقیقات دامنه دار همین شرکت منجر به افشای ابعاد واقعی ماجرا شد.
چه خساراتی وارد شده است؟
عمق و شدت خسارات وارده شده به آمریکا به علت این حملات هنوز مشخص نشده است. هنوز مشخص نیست آیا این حملات با هدف خرابکاری انجام شدهاند و مهاجمان تنها به دنبال استخراج و بررسی دادههای سازمانهای هدف بودهاند یا حملات یادشده مقدمهای برای خرابکاریهای گستردهتری در آینده هستند. به گفته جانهالکوئیست یکی از مدیران ارشد شرکت فایرآی، اگر این حملات یک جاسوسی سایبری باشد، یکی از موثرترین جاسوسیهای سایبری است که تا به حال رخ داده است. کشف دقیق دامنه این حملات، بازسازی و تعمیر سیستمهای آسیب دیده و جلوگیری از وقوع مجدد آنها کاری هزینه بر و بسیار وقت گیر برای قربانیان است.
سردرگمی در مورد عامل حملات
آمریکا این حملات را به روسیه نسبت داده است. اما این مساله تا چه حد قابل اثبات است؟ مقامات ایالات متحده میگویند این حملات با صبوری و پیچیدگی خاصی صورت گرفته که با تاکتیکها و روشهای هکری روسها تطابق دارد.
مظنون اصلی انجام این حملات یک گروه هکری مرموز به نام «APT29» است که گفته میشود پیوندهایی با دولت روسیه دارد. کرملین مطابق معمول هرگونه دخالت در این حملات را رد کرده است. در عین حال دونالد ترامپ رئیس جمهور آمریکا که پیش از این هم با ارزیابیهای دیگر نهادهای امنیتی و اطلاعاتی آمریکا در مورد مشارکت روسیه در حملات سایبری به ایالات متحده مخالف بود، دوباره انگشت اتهام را به سمت چین نشانه رفته است. البته سایر جمهوری خواهان با وی موافق نیستند. مارکو روبیو سرپرست کمیته قضایی سنای آمریکا تصریح کرده که این حمله هکری که از نظر وی «عمیقترین تهاجم سایبری در تاریخ آمریکا» است توسط نیروهای اطلاعاتی روسیه انجام شده است.
گروه APT29 چه کسانی هستند؟
گروه هکری APT29که به خرسهای انزواطلب یا دوکها نیز شهرت دارند، از سال ۲۰۰۸ فعالیت خود را آغاز کردهاند و معمولاً شرکتهای بزرگ خصوصی و دولتها را هدف حملات خود قرار میدهند. اعضای گروه یادشده پیش از این بارها به کشورهای غربی حمله کردهاند. آمریکا، انگلیس و کانادا این گروه را یک گروه خرابکار سایبری لقب دادهاند که که به طور قطع بخشی از سرویسهای اطلاعاتی روسیه محسوب میشود. گفته میشود این گروه یکی از دو گروه هکری است که در سال ۲۰۱۶ به کمیته ملی دموکراتیک وابسته به حزب دموکرات آمریکا حمله کرد و دادههای آن را سرقت کرد. این گروه در جولای سال ۲۰۲۰ از سوی آمریکا و انگلیس متهم به حمله به سازمانها وشرکتهایی خصوصی با هدف سرقت اطلاعات محرمانه مربوط به تولید واکسن کرونا شد. شرکت امنیت سایبری کراوداسترایک که از سال ۲۰۱۴ هکرهای این گروه را ردگیری کرده میگوید شبکه قربانیان آن بسیار گسترده است و ابزار مورد استفاده اش برای حمله به طور مرتب تغییر میکند.
تحقیقات تازه چه میگوید؟
تازهترین بررسیهای فایرآی نشان میدهد کدهای مخرب مورد استفاده برای این حمله حاوی یک سوئیچ خاموشی نیز هستند تا مهاجمان بتوانند با استفاده از آن کدهای یادشده را از کار بیندازند. اما حتی در صورت غیرفعال شدن بدافزار مذکور سیستمها و شبکههای رایانهای آلوده شده کماکان برای مهاجمان قابل دسترس باقی میمانند. کارشناسان امنیتی میگویند مهاجمان از به هم ریختگی شرایط سیاسی داخلی آمریکا نهایت استفاده را کردهاند و حمله خود را در زمانی مناسب انجام دادهاند. در وضعیتی که دولت در حال انتقال از دونالد ترامپ به بایدن است و در شرایطی که ترامپ با لجبازی در مورد تقلب انتخاباتی حیثیت نظام سیاسی آمریکا را زیر سوال برده، این حمله ضربه سختی به اعتبار ایالات متحده وارد کرده و اگر مشخص شود حمله یادشده به سرقت اطلاعات از وزارت دفاع آمریکا نیز منجر شده، تبعات آن شاید جبران ناپذیر باشد.
رسوایی بزرگ برای امنیت سایبری آمریکا
بررسیهای فایرآی همچنین نشان میدهد که این حمله هکری از بهار گذشته آغاز شده و اینکه مقامات آمریکایی نتوانستهاند طی مدت ۹ ماه یک حمله هکری دامنه دار به حساسترین شبکههای رایانهای و اطلاع رسانی خود را شناسایی کنند یک رسوایی بی سابقه برای آنها محسوب میشود. نکته جالب این است که مشخص نیست آیا سازمانهای اطلاعاتی و فناوری آمریکا میتوانند دریابند دقیقاً چه اطلاعاتی از آنها سرقت شده یا این مساله هم تا ابد برای آنها یک راز باقی خواهد ماند.
حتی اگر تنها آدرسهای ایمیل مقامات دولتی و مسئولان شرکتهای خصوصی در جریان این حملات هک شده باشد، باز هم از این طریق میتوان حملات فیشینگ خطرناکی برای سرقت اطلاعات حساستر طراحی کرد. به گفته اورن فالکوویتز یکی از مقامات سابق آژانس امنیت ملی آمریکا و مدیرعامل موسسه امنیت سایبری آریا ۱، مهاجمان میتوانند با استفاده از آدرسهای ایمیل سرقت شده خود را افراد دیگری جا بزنند و با نفوذ به ایمیل سرورها خود را کاربرانی قانونی و دارای صلاحیت جا بزنند و روند حملات خود را به افراد و سیستمهای دیگر گسترش دهند. لذا به سادگی نمیتوان پایانی را برای این حملات متصور بود.
نگرانی از حملات گستردهتر
در حال حاضر دهها شرکت بزرگ فناوری، مخابراتی، نرم افزاری، مشاورهای و انرژی در آمریکا در حال بررسی این موضوع هستند که آیا خساراتی به آنها وارد شده و چه بخشی از اطلاعاتشان سرقت شده است. به گفته جنیفر بیسکگلی مدیرعامل شرکت مدیریت ریسک اینتروس، به احتمال زیاد علاوه بر مشتریان مستقیم سولارویندز، شرکتهای همکار با این مشتریان نیز که ارتباط مستقیمیبا سولارویندز نداشتهاند، هک شده و دچار مشکل شدهاند. دولت آمریکا هنوز افشا نکرده که چه تعداد از نهادهای دولتی و شرکتهای خصوصی هک شدهاند و چه اطلاعاتی به سرقت رفته و به دست هکرها افتاده است.در عین حال انگیزه هکرها از این حملات نیز نامشخص باقی مانده و معلوم نیست آنچه روی داده یک توطئه مورد حمایت دولتهای خارجی است یا انگیزههای دیگری نیز وجود دارد. مقامات آمریکایی همچنین بیم دارند که حملات یادشده مقدمهای برای حملات گستردهتر است و اطلاعات به سرقت رفته زمینه را برای خرابکاریهای گستردهتر در آمریکا فراهم کند.
مرجع : فارس