آیا هکرهای ایرانی برق آمریکا را خاموش می‌کنند؟

به دنبال قتل سردار ایران قاسم سلیمانی به دست آمریکا و تلافی ایران با فرستادن موشک به عین السد، افرادی که برنامه‌های ایران را تحت نظر دارند هشدار داده‌اند که این کشور همچنین می‌تواند حملات سایبری انجام دهد، شاید حتی زیرساختارهای مهم آمریکا از جمله شبکه الکتریکی این کشور را هدف قرار دهد.

گزارش جدیدی که منتشر شده است جزئیات تازه‌ای در مورد این تهدید در خود دارد: ظاهرا، هکرهای ایرانی در حال حاضر قابلیت ایجاد خاموشی در آمریکا را ندارند. ولی آن‌ها خیلی پیش از این که این دو کشور با مشکل روبرو شوند در تلاش برای دسترسی به تاسیسات الکتریکی آمریکا بودند.

روز 5 شنبه صبح، شرکت امنیت سیستم کنترل صنعتی دراگوس (Dragos) جزئیاتی از یک فعالیت هک به تازگی کشف شده را منتشر کرد که به یک گروه از هکرها به اسم Magnallium نسبت داده شد.

همین گروه همچنین به اسامی APT33، Refined Kitten یا Elfin شناخته می‌شوند و در گذشته در ارتباط با ایران بودند. شرکت دراگوس می‌گوید مشاهده کرده است این گروه در حال انجام یک کمپین وسیع به نام حملات افشاندن گذرواژه (password-spraying) بوده است که طی این حملات مجموعه‌ای از رمزهای عبور متداول برای صدها یا حتی هزاران اکانت مختلف حدس زده می‌شود و هدف این حمله‌ها تاسیسات الکتریکی آمریکا و همچنین شرکت‌های نفت و گاز بودند.

یک گروه مربوطه که شرکت دراگوس اسم آن را Parisite می‌گذارد ظاهرا با Magnallium همکاری کردند تا بتوانند به تاسیسات الکتریکی آمریکا و شرکت‌های گاز و نفت با اکسپلویت آسیب‌پذیری‌ها در نرم‌افزار شبکه خصوصی مجازی دسترسی پیدا کنند. این دو گروه کمپین تهاجمی را راه انداخته‌اند که در سراسر سال 2019 در جریان بوده است و امروزه هنوز ادامه دارد.

شرکت دراگوس در مورد این که آیا این فعالیت‌ها واقعا منجر به رخنه اطلاعاتی شده است یا نه اظهارنظر نکرده است.

گرچه این گزارش آشکارا اعلام می‌کند آن‌ها هیچ نشانه‌ای مبنی بر این ندیدند که هکرهای ایرانی بتوانند به نرم‌افزار فوق‌العاده تخصصی دسترسی داشته باشند که تجهیزات فیزیکی را در شرکت‌های گاز و نفت یا اپراتورهای شبکه الکتریکی کنترل می‌کند.

به ویژه در تاسیسات الکتریکی، ایجاد یک خاموشی به صورت دیجیتالی به مراتب به تکنیک‌های تخصصی‌تر از تکنیک‌هایی نیاز دارد که این شرکت در گزارش خود آورده است.

«راب لی» بنیان‌گذار شرکت دراگوس و تحلیل‌گر سابق سازمان امنیت ملی می‌گوید اما با توجه به تهدید حملات متقابل ایران، مالکان زیرساخت‌ها با این حال باید از این کمپین آگاه باشند و باید نه تنها تلاش‌های جدید برای نفوذ به شبکه‌های خود بلکه همچنین این احتمال که این سیستم‌ها در حال حاضر به خطر افتاده‌اند را در نظر بگیرند.

لی می‌گوید «نگرانی من در مورد مشکل ایران این نیست که عملیات تازه‌ای را ببینیم راه بیافتد. نگرانی من دسترسی است که این گروه در حال حاضر می‌توانند داشته باشند.»

تحلیل‌گر شرکت دراگوس جو اسلوویک هشدار می‌دهد که کمپین‌های هک وی‌پی‌ان و افشاندن گذرواژه که این شرکت مشاهده کرده است محدود به اپراتورهای شبکه الکتریکی یا گاز و نفت نمی‌شود.

ولی او همچنین می‌گوید ایران «توجه قطعی» به هدف قرار دادن زیرساخت‌های مهم نشان داده است که شامل تاسیسات الکتریکی می‌شود.

اسلوویک که قبلا رئیس تیم واکنش به حادثه وزارت انرژی آمریکا بوده است می‌گوید «انجام کارهایی به صورت چنین گسترده، در حالی که ظاهرا غیر هدفمند، نامرتب یا پر سر و صدا است، به آن‌ها اجازه می‌دهد چندین نقطه دسترسی نسبتا سریع و بی ارزش به وجود آورند که می‌تواند به یک فعالیت در یک نقطه مورد نظر آن‌ها گسترش داده شود.»

ظاهرا هکرهای ایرانی قبلا به تاسیسات الکتریکی آمریکا نفوذ کرده‌اند و زمینه را برای حملات بالقوه به تاسیسات الکتریکی آمریکا فراهم کردند، همانطور که روسیه و چین این کار را انجام دادند.

هکرهای آمریکایی نیز همین کار را در کشورهای دیگر انجام می‌دهند. ولی این موج از نفوذ به شبکه الکتریکی یک کمپین جدیدتر را نشان می‌دهد که به دنبال عدم موفقیت معامله هسته‌ای دولت اوباما با ایران و تنش‌هایی به وجود آمده است که از آن زمان بین ایران و آمریکا شکل گرفته است و تنها به نوعی پس از حمله موشکی ایران در سه شنبه شب آرام گرفته است.

کمپین‌های افشاندن گذرواژه‌ای که شرکت دراگوس توصیف می‌کند مطابق با یافته‌های مشابه شرکت مایکروسافت است. در ماه نوامبر، مایکروسافت اعلام کرد دیده است گروه Magnallium یک کمپین افشاندن گذرواژه در یک بازه زمانی مشابه راه‌اندازی کرد است ولی هدف تامین‌کنندگان سیستم کنترل صنعتی بوده است که در تاسیسات الکتریکی، پالایشگاه‌های نفت و گاز و سایر محیط‌های صنعتی استفاده می‌شود.

مایکروسافت در آن زمان هشدار داد این کمپین افشاندن گذرواژه می‌تواند یک گام اولیه برای اهداف خرابکاری باشد، گرچه سایر تحلیل‌‌گران اشاره کرده‌اند هدف از آن همچنین می‌توانسته است جاسوسی صنعتی باشد.

دراگوس از مطرح کردن جزئیات آسیب‌پذیری‌های وی‌پی‌ان که گروه Parisite سعی به استفاده از آن داشته است خودداری کرد. ولی سایت ZDNet امروز به صورت جداگانه گزارش داد که هکرهای ایرانی از آسیب‌پذیری‌های داخل یک سرور وی‌پی‌ان شرکت Fortinet  یا Pulse Secure برای قرار دادن یک بدافزار به اسم wiper درون  شبکه شرکت نفت ملی بحرینی Bapco استفاده کردند.

گزارش‌های شرکت امنیتی Devocre در سال گذشته متوجه آسیب‌پذیرهایی در هر دو وی‌پی‌ان‌های Fortinet و Pulse Secure و همچنین وی‌پی‌ان‌هایی شد که توسط شرکت Palo Alto Networks فروخته شده‌اند.

«لی» هشدار می‌دهد با وجود آن که گروه‌های Magnallium و Parisite قصد نفوذ به تاسیسات الکتریکی دارند، یافته‌های دراگوس نباید باعث ایجاد تنش در بین مردم بابت خاموشی‌های بالقوه شود.

با آن که ایران علاقه خود را نسبت به نفوذ به سیستم‌های کنترل صنعتی نشان داده است، هیچ نشانه موفقیت‌آمیزی از توسعه ابزار و تکنیک‎‌هایی که به قطع تجهیزات فیزیکی مانند مدارشکن‌ها شود، نشان نداده است. لی می‌گوید «من هیچ توانایی از سوی آن‌ها ندیدم که بتوانند باعث قطع قابل توجه یا خرابی زیرساخت‌‌ها شوند.»

اما معنای این جملات این نیست که نفوذ ایرانیان به تاسیسات الکتریکی یا شرکت‌های گاز و نفت دلیلی برای نگرانی نیست.

John Hultquist مدیر شرکت امنیتی FireEye که گروه Magnallium را به مدت چند سال تحت اسم APT33 در نظر داشته است هشدار می‌دهد که نفوذ آن به دفعات منجر به قطع‌شدگی‌های نه جدی ولی با این حال مشکل‌ساز شده است.

این گروه در ارتباط با حملات سایبری قرار می‌گیرد که هزاران کامپیوتر را طی عملیات بدافزار wiper نابود کرد که در منطقه خلیج فارس کشورهای رقیب ایران مورد حمله آن قرار گرفتند. آن‌ها ممکن است نتوانند برق‌ها را خاموش کنند، ولی به سادگی می‌توانند یک شبکه کامپیوتری تاسیسات الکتریکی را  از بین ببرند.

Hultquist می‌گوید «ما می‌دانیم آن‌ها چه توانایی دارند. بارها و بارها دیده‌ایم که هارد کامپیوتر شرکت‌هایی را پاک کرده‌اند که از آن برای اداره کسب و کار خود استفاده می‌کنند که نتیجه آن متوقف شدن کسب و کارشان و هزینه هنگفتی است که برایشان به همراه دارد.»

منیع: wired.com