به گزارش خبرنگار حوزه دریچه فناوری گروه فضای مجازی باشگاه خبرنگاران جوان، حدودا ۱۰ روز قبل شرکت امنیتی FireEye خبر کشف حمله گسترده و عمیقی به شبکهاش را منتشر کرد که ظاهرا دامنه آن حمله بسیار گستردهتر شده و سازمانهای دولتی زیادی در آمریکا درگیر این ماجرا شدهاند. این در حالی است که شرکت Fireeye بزرگترین شرکت فعال در زمینه امنیت شبکه آمریکا بوده و تعداد بسیار زیادی از شرکتهای بزرگ آمریکا از خدمات این شرکت فعال در زمینه موارد امنیتی استفاده میکنند.
پس از این حمله جامعه اطلاعاتی آمریکا در بیانیهای مشترک اعلام کرد گروهی ویژه برای هماهنگی پاسخ دولت به حمله گسترده سایبری تشکیل شده است.
جامعه اطلاعاتی آمریکا با صدور بیانیهای اعلام کرد: این گروه ویژه، «گروه یکپارچه هماهنگی سایبری» را حمایت میکند. این گروه دفتر تحقیقات فدرال (اف بی آی) و آژانس امنیت زیربنایی و دفتر مدیر امنیت ملی را شامل میشود.
اما ظاهرا حمله هکرها به سازمانهای بزرگ آمریکا به شرکت Fireeye محدود نشده بود و چند روز پیش خبر نفوذ هکرها به زیرساختهای آمریکا منتشر شد که طی این حمله هکری، وزارت انرژی، وزارت دفاع، وزارت امور خارجه آمریکا و سازمان امنیت هستهای این کشور هدف جمله سایبری قرار گرفت؛ این سازمان یکی از سازمانهای فدرال آمریکاست که وظیفه آن نظارت بر زرادخانههای تسلیحات هستهای ایالات متحده است.
هنوز مدتی از نفوذ هکرها به زیرساختهای آمریکا نگذشته بود که خبر حمله سایبری به غول فناوری جهان یعنی شرکت مایکروسافت منتشر شد. چند مقام آمریکایی در این باره گفتند: محصولات امنیت سایبری تولید شده توسط شرکت مایکروسافت در تشدید عملیات هکری علیه دیگر نهادها استفاده شده است. روشن نیست چند کاربر مایکروسافت هدف این محصولات آلوده قرار گرفته اند. واشنگتن پست در رابطه با این هک مدعی شد هکرهای روس به دست داشتن در این هک متهم هستند، هیچ مدرکی در این پیام ارائه نشده است. این در حالی است که روسیه این اتهامات را رد کرده و آنها را بیاساس خوانده است.
وزارت امنیت داخلی آمریکا که پیشتر گفته بود هکرها از چند روش در این حمله استفاده کردهاند در حال تحقیق درباره کاربران مایکروسافت است که در این عملیات آلوده شدهاند.
پس از این حملات «دونالد ترامپ» رئیسجمهور کنونی آمریکا، روز شنبه در رشته پیامی توئیتری نسبت به حملات سایبری به ایالات متحده واکنش نشان داد. ترامپ در این پیام نوشت: «رسانههای جعلی در حمله سایبری اخیر بزرگنمایی بسیاری داشتند. من توضیحات کامل را دادم و همه چیز تحت کنترل است.» در ادامه این مقام ارشد آمریکا نوشت: «روسیه، روسیه، روسیه تنها چیزی است که رسانههای جریان اصلی درباره آن حرف میزنند، زیرا به دلایل اقتصادی از بحث درباره اینکه میتواند کار چین باشد واهمه دارند (که امری محتمل است.)»
با علی کیائی فر،کارشناس و تحلیلگر امنیت سایبری در رابطه با این حملات هکری گفتگویی داشتیم که در ادامه آن را مشاهده میکنید.
تحلیل شما از این حمله سایبری چیست؟
واقعیت این است که این حمله آغازگر فصل جدیدی در حوزه امنیت اطلاعات در دنیا است. چنین حملاتی با این روش در دنیا بی سابقه بوده و حتما در روزهای آینده خبرهای آن ادامه خواهد داشت. این حملات هم در سطح و هم در عمق بسیار گسترده بوده و هنوز ابعاد آن به طور کامل شفاف نشده است.
تفاوت این حمله با حملات قبلی در چیست؟
هکرها تصمیم میگیرند به مقاصدی در دولت آمریکا حمله کنند. عبور از لایههای امنیتی این سازمانها کار بسیار سختی است. هکرها تصمیم میگیرند از روش جدیدی استفاده کنند. آنها به جای حمله مستقیم به هدف، به دنبال تامین کنندگان نرم افزارهای آن سازمان میگردند. متوجه میشوند که شرکتی به نام SolarWinds که تولید کننده محصولات مانیتورینگ و مدیریت شبکه است مشتریان زیادی در دستگاههای دولتی آمریکا دارد. هکرها موفق میشوند به شبکه شرکت SolarWinds نفوذ کنند و به کدهای نرم افزارهای این شرکت دسترسی پیدا کنند. هکرها در کدهای نرم افزارهای این شرکت یک درب پشتی (Backdoor) تزریق میکنند و منتظر میمانند.
شرکت SolarWinds طبق رویههای معمولی خود بعد از مدتی اقدام به بروزرسانی محصولات خود میکند. غافل از اینکه کدهای محصولات به یک درب پشتی توسط هکرها آلوده شده است. این شرکت در دنیا بیش از ۳۳ هزار مشتری داشته و بر اساس اطلاعیه این شرکت ۱۸ هزار مشتری این آپدیتهای آلوده را نصب میکنند. توجه کنید که بیش از ۴۰۰ شرکت از ۵۰۰ شرکت برتر دنیا که اکثر آنها هم آمریکایی هستند از مشتریان SolarWinds بودهاند و هکرها با این روش که Supply Chain Attack نامیده میشود موفق شدهاند به شبکههای آنها نفوذ کنند.
در کنار این مشتریان میتوان به پنتاگون، سازمان ملی امنیت هستهای آمریکا، وزارت خزانهداری، وزارت انرژی، وزارت تجارت، وزارت امنیت داخلی و وزارت خارجه آمریکا اشاره کرد که هک شدن آنها تایید شده است. ابعاد این هک آنقدر گسترده است که میتوان آن را بی سابقهترین حمله سایبری تاریخ آمریکا نامید.
این Backdoor چه عملیات مخربی میتواند انجام دهد؟
شما وقتی بتوانید یک Backdoor را در کامپیوتر هدف به اجرا در آورید میتوانید هر کاری را در آنجا انجام دهید. از جمله: انتقال فایلها، اجرای فایلها، حتی متوقف کردن برنامهها و سرویسها، ساخت کاربر جدید با دسترسیهای بالا و ...
از نظر فنی چرا چنین حملهای میتواند اینقدر پیامد داشته باشد؟
ببینید شرکت SolarWinds نرم افزارهای نظارتی و مدیریتی شبکه تولید میکند. این نرم افزارها برای کارکرد درست خود باید در نقطهای نصب شوند که بتوانند به Probeها و Agentها و تجهیزات در Zoneهای مختلف دسترسی داشته باشد. این دسترسیها هم معمولا از نوع سطح بالا است. چون این سیستمها باید بتوانند فاکتورهای مهم را در سطح سیستم عامل نظارت و مدیریت کنند. حتی در مواردی که المانهای مانیتورینگ از طریق SNMP خوانده میشود ممکن است دسترسیها از نوع Write تعریف شده باشد. در برخی نقاط بنا به ضرورت ممکن است سرویسهایی با دسترسی Administrator توسط نرم افزار مانیتورینگ اجرا شود.
به طور خلاصه اینگونه نرم افزارها دارای سطح دسترسی نسبتا بالایی در شبکه هستند و از طرفی در نقطهای نصب میشوند که به Zoneهای زیادی به صورت مستقیم یا غیرمستقیم دسترسی دارد. این باعث میشود که Inject کردن یک Backdoor داخل آنها قدرت بسیار زیادی به هکر بدهد! توجه کنید که لازم نیست سرورهای SolarWinds روی اینترنت Publish شده باشند. حتی نیاز نیست به اینترنت متصل شده باشند. Backdoor به زیبایی کار خودش انجام میدهد و راه ارتباط با اینترنت را از طریق Agentها و Probeها پیدا میکند! این باعث میشود که ریسک این Backdoor به شدت زیاد باشد.
هدف هکرها از این حمله چه بوده است؟
هکرها بین ۶ تا ۹ ماه در این سازمانها نفوذ داشتهاند و میتوانستهاند هر اطلاعاتی را که نیاز دارند بردارند. شرکت FireEye که یکی از بزرگترین شرکتهای امنیتی دنیا است خودش قربانی این حمله شده و اعلام کرده که ابزارهای محرمانهاش که برای بررسی آسیب پذیریهای سازمانهای دیگر به کار میرود و بسیار هم محرمانه نگهداری میشده توسط هکرها به سرقت رفته است. وقتی که شرکت بزرگی مثل FireEye وضعیتش این است معلوم است که عمق فاجعه تا کجا میتواند باشد!
تصور کنید هکرها در یک مدت ۹ ماهه در شبکههای حساس و فوق محرمانه دولت آمریکا جا خوش کرده بودند و به همه چیز دسترسی داشتهاند و هر سند و مدرکی را که خواستهاند از عمق سرورهای محرمانه دولت آمریکا استخراج کردهاند! سازمان ملی امنیت هستهای آمریکا و پنتاگون هم مورد هک واقع شدهاند و هنوز اعلام نشده که هکرها به چه مستندات ارزشمندی دست یافته اند، ولی میشود حدس زد که آمریکاییها چقدر باید بابت این حملات نگران باشند. این حملات هم در سطح و هم در عمق بسیار عمیق بوده است و هنوز هم ابعاد ناشناخته بسیاری دارد که با گذشت زمان شفاف خواهد شد.
به نظر شما چه کسی پشت این حملات است؟
یکی از ویژگیهای جنگهای سایبری این است که مکان و هویت مهاجم غالبا ناشناس است و لذا انتساب این هکرها به دولتها غالبا از روی قرائن است. بر اساس قرائن به دست آمده یک گروه هکری حرفهای با پشتوانه دولتی مسئول انجام این حملات هستند. مقامات آمریکا اعلام کردهاند که شواهد نشان میدهد روسیه پشت حملات سایبری اخیر به آمریکا بوده است گرچه روسیه و شخص پوتین این ادعا را تکذیب کرده است.
به نظر شما واکنش آمریکا به این حملات چه خواهد بود؟
آمریکا در دکترین دفاعی خود، انجام حملات سایبری دولتی علیه کشورش را معادل اعلان جنگ نظامی میداند؛ لذا این حق را برای خودش قائل است که جواب یک حمله سایبری را با حمله نظامی بدهد. اما از آنجا که دولت قدرتمند روسیه متهم شماره یک این حملات است و از طرفی دولت فعلی آمریکا هم روزهای پایانی خود را میگذراند احتمال رویایی نظامی وجود ندارد.
اما آمریکا هم از قدرت و امکانات لازم برای رویایی و مقابله به مثل کردن برخودار است. آنچه مهم است این است که آمریکا ضربه سهمگینی در این حملات خورده و هنوز دقیقا نمیداند چه بر سرش آمده است؛ لذا انتظار واکنش فوری هم از آمریکا بعید به نظر میرسد. کاخ سفید فعلا درحال بررسی ابعاد ماجراست و تیمی متشکل از FBI و وزارت امنیت داخلی و آژانس امنیت ملی برای بررسی موضوع تشکیل داده است.
گویا پای شرکت مایکروسافت هم به این ماجرا باز شده، نظر شما چیست؟
مایکروسافت تایید کرده که باینریهای آلوده این حمله را در شبکه خود مشاهده کرده، اما تاکید کرده این کدها در شبکهای ایزوله از سیستمهای عملیاتی مایکروسافت بودهاند و شواهدی مبنی بر دسترسی هکرها به سیستمهای عملیاتی این شرکت پیدا نشده است. مایکروسافت تایید کرده حداقل ۴۰ تا از مشتریانش در سراسر دنیا مورد حمله قرار گرفتهاند که ۸۰ درصد آنها در آمریکا بودهاند .
آیا شواهدی از اینکه ایران هم مورد حمله قرار گرفته وجود دارد؟
نرم افزارهای SolarWinds در ایران موارد استفاده زیادی داشتهاند. در نقشهای که مایکروسافت از حملات اخیر منتشر کرده آثار حمله در ایران هم مشاهده میشود.
ضروری است کسانی که در ایران از محصولات این شرکت آمریکایی استفاده میکردهاند ابتدا ارتباط آن را با شبکه قطع کرده و برای حل مشکل به توصیههای ارائه شده توسط مراکز افتا و ماهر مراجعه کنند.
بیشتر بخوانید
انتهای پیام/
دم بچهای سایبریمون گرم
به نظرم حرفشون درسته الان باید دید وزارت امورخارجه ایران و آژانس بین المللی انرژی اتمی که مدعی نظارت است در این مورد چرا نظری نمی دهد.
اتفاقا الان بیانه رسمی نمایندگان ما در سازمان ملل و آژانس انرژی اتمی و ابراز شدید نگرانی از وقایع احتمالی و حقوق بشری می تواند دست برتر ایران را در این موضوع داشته باشد.
به شکل ملموس اگر پیامی از سوی ایران مخابره نشود آنها همین فردا مدعی می شوند کار ایران است درست است که شاید برایشان افت تکنولوژی داشته باشد ولی به علت احتمال برخورد نظامی و رفتارهای ناگهانی ترامپ و دامادش کوشنر فاشیست و دلار سعودی اماراتی هیچ چیزی بعید نیست.