به دنبال قتل سردار ایران قاسم سلیمانی به دست آمریکا و تلافی ایران با فرستادن موشک به عین السد، افرادی که برنامههای ایران را تحت نظر دارند هشدار دادهاند که این کشور همچنین میتواند حملات سایبری انجام دهد، شاید حتی زیرساختارهای مهم آمریکا از جمله شبکه الکتریکی این کشور را هدف قرار دهد.
گزارش جدیدی که منتشر شده است جزئیات تازهای در مورد این تهدید در خود دارد: ظاهرا، هکرهای ایرانی در حال حاضر قابلیت ایجاد خاموشی در آمریکا را ندارند. ولی آنها خیلی پیش از این که این دو کشور با مشکل روبرو شوند در تلاش برای دسترسی به تاسیسات الکتریکی آمریکا بودند.
روز 5 شنبه صبح، شرکت امنیت سیستم کنترل صنعتی دراگوس (Dragos) جزئیاتی از یک فعالیت هک به تازگی کشف شده را منتشر کرد که به یک گروه از هکرها به اسم Magnallium نسبت داده شد.
همین گروه همچنین به اسامی APT33، Refined Kitten یا Elfin شناخته میشوند و در گذشته در ارتباط با ایران بودند. شرکت دراگوس میگوید مشاهده کرده است این گروه در حال انجام یک کمپین وسیع به نام حملات افشاندن گذرواژه (password-spraying) بوده است که طی این حملات مجموعهای از رمزهای عبور متداول برای صدها یا حتی هزاران اکانت مختلف حدس زده میشود و هدف این حملهها تاسیسات الکتریکی آمریکا و همچنین شرکتهای نفت و گاز بودند.
یک گروه مربوطه که شرکت دراگوس اسم آن را Parisite میگذارد ظاهرا با Magnallium همکاری کردند تا بتوانند به تاسیسات الکتریکی آمریکا و شرکتهای گاز و نفت با اکسپلویت آسیبپذیریها در نرمافزار شبکه خصوصی مجازی دسترسی پیدا کنند. این دو گروه کمپین تهاجمی را راه انداختهاند که در سراسر سال 2019 در جریان بوده است و امروزه هنوز ادامه دارد.
شرکت دراگوس در مورد این که آیا این فعالیتها واقعا منجر به رخنه اطلاعاتی شده است یا نه اظهارنظر نکرده است.
گرچه این گزارش آشکارا اعلام میکند آنها هیچ نشانهای مبنی بر این ندیدند که هکرهای ایرانی بتوانند به نرمافزار فوقالعاده تخصصی دسترسی داشته باشند که تجهیزات فیزیکی را در شرکتهای گاز و نفت یا اپراتورهای شبکه الکتریکی کنترل میکند.
به ویژه در تاسیسات الکتریکی، ایجاد یک خاموشی به صورت دیجیتالی به مراتب به تکنیکهای تخصصیتر از تکنیکهایی نیاز دارد که این شرکت در گزارش خود آورده است.
«راب لی» بنیانگذار شرکت دراگوس و تحلیلگر سابق سازمان امنیت ملی میگوید اما با توجه به تهدید حملات متقابل ایران، مالکان زیرساختها با این حال باید از این کمپین آگاه باشند و باید نه تنها تلاشهای جدید برای نفوذ به شبکههای خود بلکه همچنین این احتمال که این سیستمها در حال حاضر به خطر افتادهاند را در نظر بگیرند.
لی میگوید «نگرانی من در مورد مشکل ایران این نیست که عملیات تازهای را ببینیم راه بیافتد. نگرانی من دسترسی است که این گروه در حال حاضر میتوانند داشته باشند.»
تحلیلگر شرکت دراگوس جو اسلوویک هشدار میدهد که کمپینهای هک ویپیان و افشاندن گذرواژه که این شرکت مشاهده کرده است محدود به اپراتورهای شبکه الکتریکی یا گاز و نفت نمیشود.
ولی او همچنین میگوید ایران «توجه قطعی» به هدف قرار دادن زیرساختهای مهم نشان داده است که شامل تاسیسات الکتریکی میشود.
اسلوویک که قبلا رئیس تیم واکنش به حادثه وزارت انرژی آمریکا بوده است میگوید «انجام کارهایی به صورت چنین گسترده، در حالی که ظاهرا غیر هدفمند، نامرتب یا پر سر و صدا است، به آنها اجازه میدهد چندین نقطه دسترسی نسبتا سریع و بی ارزش به وجود آورند که میتواند به یک فعالیت در یک نقطه مورد نظر آنها گسترش داده شود.»
ظاهرا هکرهای ایرانی قبلا به تاسیسات الکتریکی آمریکا نفوذ کردهاند و زمینه را برای حملات بالقوه به تاسیسات الکتریکی آمریکا فراهم کردند، همانطور که روسیه و چین این کار را انجام دادند.
هکرهای آمریکایی نیز همین کار را در کشورهای دیگر انجام میدهند. ولی این موج از نفوذ به شبکه الکتریکی یک کمپین جدیدتر را نشان میدهد که به دنبال عدم موفقیت معامله هستهای دولت اوباما با ایران و تنشهایی به وجود آمده است که از آن زمان بین ایران و آمریکا شکل گرفته است و تنها به نوعی پس از حمله موشکی ایران در سه شنبه شب آرام گرفته است.
کمپینهای افشاندن گذرواژهای که شرکت دراگوس توصیف میکند مطابق با یافتههای مشابه شرکت مایکروسافت است. در ماه نوامبر، مایکروسافت اعلام کرد دیده است گروه Magnallium یک کمپین افشاندن گذرواژه در یک بازه زمانی مشابه راهاندازی کرد است ولی هدف تامینکنندگان سیستم کنترل صنعتی بوده است که در تاسیسات الکتریکی، پالایشگاههای نفت و گاز و سایر محیطهای صنعتی استفاده میشود.
مایکروسافت در آن زمان هشدار داد این کمپین افشاندن گذرواژه میتواند یک گام اولیه برای اهداف خرابکاری باشد، گرچه سایر تحلیلگران اشاره کردهاند هدف از آن همچنین میتوانسته است جاسوسی صنعتی باشد.
دراگوس از مطرح کردن جزئیات آسیبپذیریهای ویپیان که گروه Parisite سعی به استفاده از آن داشته است خودداری کرد. ولی سایت ZDNet امروز به صورت جداگانه گزارش داد که هکرهای ایرانی از آسیبپذیریهای داخل یک سرور ویپیان شرکت Fortinet یا Pulse Secure برای قرار دادن یک بدافزار به اسم wiper درون شبکه شرکت نفت ملی بحرینی Bapco استفاده کردند.
گزارشهای شرکت امنیتی Devocre در سال گذشته متوجه آسیبپذیرهایی در هر دو ویپیانهای Fortinet و Pulse Secure و همچنین ویپیانهایی شد که توسط شرکت Palo Alto Networks فروخته شدهاند.
«لی» هشدار میدهد با وجود آن که گروههای Magnallium و Parisite قصد نفوذ به تاسیسات الکتریکی دارند، یافتههای دراگوس نباید باعث ایجاد تنش در بین مردم بابت خاموشیهای بالقوه شود.
با آن که ایران علاقه خود را نسبت به نفوذ به سیستمهای کنترل صنعتی نشان داده است، هیچ نشانه موفقیتآمیزی از توسعه ابزار و تکنیکهایی که به قطع تجهیزات فیزیکی مانند مدارشکنها شود، نشان نداده است. لی میگوید «من هیچ توانایی از سوی آنها ندیدم که بتوانند باعث قطع قابل توجه یا خرابی زیرساختها شوند.»
اما معنای این جملات این نیست که نفوذ ایرانیان به تاسیسات الکتریکی یا شرکتهای گاز و نفت دلیلی برای نگرانی نیست.
John Hultquist مدیر شرکت امنیتی FireEye که گروه Magnallium را به مدت چند سال تحت اسم APT33 در نظر داشته است هشدار میدهد که نفوذ آن به دفعات منجر به قطعشدگیهای نه جدی ولی با این حال مشکلساز شده است.
این گروه در ارتباط با حملات سایبری قرار میگیرد که هزاران کامپیوتر را طی عملیات بدافزار wiper نابود کرد که در منطقه خلیج فارس کشورهای رقیب ایران مورد حمله آن قرار گرفتند. آنها ممکن است نتوانند برقها را خاموش کنند، ولی به سادگی میتوانند یک شبکه کامپیوتری تاسیسات الکتریکی را از بین ببرند.
Hultquist میگوید «ما میدانیم آنها چه توانایی دارند. بارها و بارها دیدهایم که هارد کامپیوتر شرکتهایی را پاک کردهاند که از آن برای اداره کسب و کار خود استفاده میکنند که نتیجه آن متوقف شدن کسب و کارشان و هزینه هنگفتی است که برایشان به همراه دارد.»
منیع: wired.com