4 - 11 - 2019
دزدی با نقاب
«جهانصنعت»- هکرهای روسی مدتی است فعالیتهای خرابکارانه خود را به نام هکرهای ایرانی تمام میکنند. هکرهای روسی معروفترین و ماهرترین هکرهای دنیا به شمار میروند. با این همه به نظر میرسد قصد دارند هکرهای ایرانی را نیز به شهرت جهانی برسانند. به همین روی چندی پیش خبری منتشر شد مبنی بر اینکه هکرهای روس با سوءاستفاده از زیرساختهای سایبری گروههای ایرانی دست به عملیات جاسوسی و خرابکاری در کشورهای دیگر میزنند. آژانس امنیت ملی آمریکا (NSA) و ستاد ارتباطات دولت انگلستان (GCHQ) مدعی شدهاند یکی از معروفترین گروههای هکری روس به نام تورلا یا واترباگ، سالهاست که به شکل جدیدی جاسوسی میکند: این گروه به سرورهای گروه هکری ایرانی موسوم به OilRig نفوذ کرده و از طریق آنها، حملات سایبری دولت روسیه را ترتیب میدهد.
اطلاعات به دست آمده از شرکت امنیتی سیمانتک به ابعاد گسترده حملات تورلا اشاره میکند. تیم هکر روسی در ۳۵ کشور به جاسوسی پرداخته و در تمامی موارد، انگشت اتهام را به سمت هکرهای ایرانی معطوف کرده است. البته مقامات کشورمان این ادعا را رد کردهاند.به هرروی فعالیتهای اخیر گروه تورلا و هکرهای روس، برگ جدیدی را در دفتر امنیت سایبری گشوده است. هکرها دائما رنگ عوض میکنند و روشهای تازهای برای مخفی کردن خود به کار میگیرند. میتوان گفت پیش از این با گروههای نقابدار روبهرو بودیم اما گروههای جدید، هویت دیگران را مثل لباس به تن میکنند.
جعل هویت گروههای کنشگر اجتماعی
از اوایل سال ۲۰۱۴ میلادی، هکرهای روس تصمیم گرفتند موج جدیدی از سردرگمی را ایجاد کنند. ماه می ۲۰۱۴ گروهی به نام سایبر برکوت کمیسیون مرکزی انتخابات اوکراین را هک کرد. Berkut در زبان اوکراینی به معنای عقاب است و گروه مسلحی به همین نام، از رژیم طرفدار روسیه در اعتراضات اوکراین حمایت کرده و بیش از ۱۰۰ معترض را کشته بودند. هکرهای سایبر برکوت پیامی سیاسی را تحت لوای گروههای کنشگر سیاسی- اجتماعی در این سایت منتشر کرده و دولت اوکراین را به فساد متهم کردند. آنها سپس تصویر جعلی از نتایج انتخابات را روی این سایت آپلود کرده و توانستند کاندیدای گروه راست افراطی یعنی «دمیترو یاروش» را پیش بیندازند.
اگرچه کمیسیون انتخابات اوکراین توانست این تصویر جعلی را قبل از اعلام نتایج واقعی انتخابات از سرورهایش حذف کند، اما رسانههای روس براساس همین تصویر به خبرسازی پرداختند. همه شواهد از همکاری پشت پرده هکرها، شبکههای تلویزیونی روسیه و کرملین حکایت داشت و بعدا مشخص شد این گروه، در واقع شاخهای از گروه هکری وابسته به ارتش روسیه به نام APT28 ملقب به Fancy Bear است.طی سالهای بعد دولت روسیه بارها از پوشش گروههای کنشگر اجتماعی و سیاسی برای رسیدن به اهداف خود استفاده کرد. گروهی به نام «خلیفه سایبری» در سال ۲۰۱۵ ایستگاه تلویزیونی TV5Monde فرانسه را هک کرده و پس از انتشار محتوای تروریستی، کامپیوترهای این شبکه را از بین برد. ابتدا گمان بر این بود که داعش توانسته به شبکه نفوذ کند، اما آژانس اطلاعاتی فرانسه به سرعت ارتباط بین این حمله و دولت روسیه را فاش ساخت. در سال ۲۰۱۶ نیز شرکت امنیتی CrowdStrike توانست دست داشتن روسیه در حمله به کمیته ملی دموکرات آمریکا و کمپین انتخاباتی هیلاری کلینتون را برملا کند. هکرهای روس در لباس گروه هکتیویست رومانیایی به نام Guccifer 2.0 مسوول این حملات و سپس افشای اسناد از طریق وبسایت DCLeaks بودند.
حملات باجافزاری تقلبی
اواخر سال ۲۰۱۶ بود که هکرهای روس، استراتژی خودشان را تغییر دادند. دسامبر ۲۰۱۶ کارشناسان موسسه امنیت سایبری ESET گروه هکری وابسته به دولت روسیه به نام Telebots ملقب به Voodoo Bear یا Sandworm را مسوول حملات تخریبی به شبکههای اوکراین معرفی کردند. در برخی موارد، عبارت «ما اف سوسایتی هستیم، به ما بپیوندید» روی کامپیوترهای قربانی به نمایش درمیآمد؛ پیامی که به گروه هکری آشوبطلب سریال پرطرفدار مستر روبات اشاره داشت. در همین زمان هکرهای دیگری با حملات باجافزاری درخواست پرداخت باج از طریق بیتکوین را داشتند. جیمز لوئیس مدیر برنامه فناوریهای راهبردی مرکز تحقیقات بینالمللی و استراتژیک میگوید: وقتی ترفندهای قدیمی آنها رو میشود، روشهای جدیدی را آزمایش میکنند.
بهار ۲۰۱۷ هکرهای دولتی روسیه برای پوشش حملات خرابکارانه خود به طور کامل به باجافزارها متوسل شدند و مخربترین بدافزارها را روانه اهداف اوکراینی کردند؛ بدافزارهایی به نام XData و NotPetya و Bad Rabbit . بدافزار NotPetya هیچ راهی برای بازیابی و رمزگشایی فایلهای قفل شده باقی نمیگذاشت، حتی اگر قربانی باج ۳۰۰ دلاری را میپرداخت. سرعت انتشار این بدافزار به حدی بود که تمام زیرساختهای اوکراین را از کار انداخت و مخربترین و پرهزینهترین حمله سایبری تاریخ نام گرفت. آژانسهای اطلاعاتی و کارشناسان سایبری استرالیا، کانادا، نیوزیلند، انگلستان و آمریکا پس از هشت ماه تلاش، توانستند ردپای هکرهای دولتی روس را در این حملات پیدا کنند.
ابزارهای عاریه
اوایل سال ۲۰۱۸ نوآوری روسیه در عملیات فریب به اوج رسید. در این زمان هکرهای دولتی روسیه به تلافی محرومیت ورزشکاران روسیه به خاطر دوپینگ، زیرساخت آیتی المپیک زمستانی پیونگچانگ را هک کردند، اما بررسی بدافزار مورد استفاده موسوم به «المپیک دسترویر» نتایج عجیبی را در پی داشت. محققان در این بدافزار، ردپای کدهای مخرب مورد استفاده توسط هکرهای دولتی روس، کرهشمالی و حتی چین را پیدا کردند. این حمله را به نبرد روانی در حوزه سایبری با مهندسی معکوس تشبیه کردهاند.
حل معمای «المپیک دسترویر» چند هفتهای طول کشید تا نهایتا تحلیلگران FireEye و کسپرسکی توانستند ارتباط بین اسناد فیشینگ مورد استفاده برای تزریق این بدافزار و مجموعه فایلهای آلوده حملات قبلی را کشف کنند.
بسیاری از اهداف قبلی، قربانیان شناخته شده هکرهای روس و به خصوص نهادهای دولتی و فعالان اوکراینی بودند. موسسه FireEye دامنه مورد استفاده برای کنترل این اسناد آلوده را نیز بررسی کرد و متوجه شد که همین دامنه برای حمله به شورای انتخابات دو ایالت آمریکا در سال ۲۰۱۶ به کار گرفته شده است.
اگرچه موسسه FireEye به یافتههای خود مطمئن بود، ولی کشفیات جدید در مورد گروه تورلا نشان داد حتی این نتایج نیز میتوانند گمراهکننده باشند. نفوذ هکرهای روس به زیرساختهای هکری کشورهای دیگر میتواند به راحتی محققان امنیتی را سردرگم کند تا حملات را به دیگر کشورها (از جمله ایران، چین یا کرهشمالی) نسبت دهند. به گفته لوئیس، روسها در لیگ دیگری بازی میکنند.
هدف نهایی روسها از این حملات دروغین کاملا واضح است؛ آنها در درجه اول باعث ایجاد سردرگمی و گمراهی میشوند تا به راحتی در دام نیفتند. سپس با پوشیدن لباس گروههای هکری دیگر کشورها، نگاهها را متوجه آنها میکنند و در نهایت این باور را به وجود میآورند که به آمریکا یا دیگر سازمانهای اطلاعاتی نمیشود اعتماد کرد؛ همه دروغ میگویند.
تا به امروز، پنهانکاری هکرهای روس به طریقی فاش شده و هنوز کشور دیگری به خاطر عملیات خرابکارانه روسها متهم نشده، اما باید منتظر باشیم و ببینیم در آینده چه رخ میدهد. شاید همین حالا بزرگترین عملیات پرچم دروغین در حال اجرا باشد.
لطفاً براي ارسال دیدگاه، ابتدا وارد حساب كاربري خود بشويد