جاسوسی هکرها از ایمیل‌​های وزارت خزانه‌​داری آمریکا

احمد باطبی

«خبرگزاری رویترز» در گزارشی اختصاصی اعلام کرد، ایمیل‌​های وزارت خزانه‌​داری و اداره اطلاعات و ارتباطات ملی وزارت بازرگانی ایالات متحده، توسط هکرهای وابسته به یک دولت خارجی هک شدند و آن‌ها قادر بودند که از راه دور بر محتوا و عملکرد این ایمیل‌​ها نظارت کنند.

بنا بر این گزارش، ماه‌​ها است که مهاجمان از طریق نفوذ به دفتر نرم​‌افزاری اداره اطلاعات و ارتباطات ملی آمریکا، بر ایمیل‌​های مبتنی بر نرم‌​افزار «آفیس ۳۶۵»، محصول شرکت «مایکروسافت» مسلط شده‌اند و از کارکنان این نهاد جاسوسی می‌​کنند. بررسی فنی ایمیل‌​ها نشان می‌​دهد که دست​ کم از تابستان امسال مهاجمان بر این ایمیل‌​ها مسلط بودند.

این حمله​ سایبری به حدی پیچیده و پیشرفته بوده است که حتی بخش احراز هویت پلتفرم مایکروسافت، که یکی از قوی‌​ترین موانع امنیتی موجود است نیز فریب خورده و به هکرها دسترسی داده است.

هنوز نه دامنه و عمق این حمله​ سایبری مشخص است و نه این که توسط چه هکرهایی انجام شده است و هکرها به چه دولتی وابستگی داشته‌اند.

یکی از افراد آگاه در این خصوص به خبرگزاری رویترز گفته است که موضوع جاسوسی هکرها از ایمیل‌​های این نهادهای دولتی به حدی جدی بود که شورای امنیت کاخ سفید، روز شنبه سیزدهم دسامبر برای بررسی و یافتن راه‌​کار مناسب تشکیل جلسه داد.

اگرچه «جان اوليوت»، سخن‌گوی «شورای امنيت ملی آمریکا»، گفته است که دولت ایالات متحده از این گزارش‌​ها آگاه است و تمام تلاش خود را برای اصلاح نقطه‌ضعف​‌ها و جلوگیری از سوء استفاده‌​های احتمالی انجام خواهد داد، اما موضوع این جاسوسی سایبری چالشی است برای رئیس‌جمهور منتخب، «جو بایدن»، که در صورت رسیدن به کاخ سفید با آن مواجه می‌شود، چرا که به طور طبیعی مقامات دولت در خصوص اطلاعات سرقت‌شده در این سطح وسیع تحقیق می‌کنند و دامنه این تحقیقات و اقدامات ممکن است ماه‌​ها و یا سال‌​ها به طول انجامد.

به گفته رویترز، حالا این نگرانی در جامعه اطلاعاتی ایالات متحده بالا گرفته است که بعید نیست هکرها با همان ابزار و شیوه​ایی که وزارت خزانه‌​داری و اداره ملی ارتباطات و اطلاعات وزارت بازرگانی آمریکا را هدف قرار داده‌اند، به سایر سازمان​‌های دولتی نیز نفوذ کرده و بر اطلاعات و شبکه‌​های آن‌ها نیز تسلط پیدا کرده باشند.

یکی از منابع مورد استناد رویترز جاسوسی سایبری کشف‌شده را داستانی بسیار فراتر از یک نهاد دانسته و گفته این یک کارزار جاسوسی عظیمی است که دولت ایالات متحده و منافع آن را هدف قرار داده است.

چین، روسیه، ایران و کره شمالی چهار تهدید جدی سایبری هستند که ایالات متحده بارها درباره فعالیت‌​های جاسوسی و پشتیبانی دولت‌​های آن‌ها از جرائم سایبری سخن گفته است.

در ماه سپتامبر، شرکت مایکروسافت در بیانیه‌ه​ای رسمی گفته بود که هکرهای روسی، چینی و ایرانی سازمان‌​ها، افراد و چهره‌​های دخیل در انتخابات ریاست‌​جمهوری سال ۲۰۲۰ ایالات متحده آمریکا را هدف حملات سایبری خود قرار داده‌​اند. مایکروسافت گروه «فسفوروس» را یک گروه هکری ایرانی فعال در حوزه جاسوسی و گردآوری اطلاعات معرفی کرده است که به شکل سنتی، طیف وسیعی از سازمان‌​ها و مراکز مرتبط با منافع ژئوپلیتیک، اقتصادی یا حقوق بشر در منطقه خاورمیانه را هدف قرار می‌​دهد.

در روزهای اخیر نیز «آژانس امنیت سایبری و زیرساخت‌​ها» (CISI) در بیانیه‌​ای رسمی که از طریق سیستم ملی اطلاع‌رسانی سایبری آمریکا منتشر شد، نسبت به توانایی‌​های تهاجمی هکرهای وابسته به جمهوری اسلامی و ظرفیت‌​های آن‌ها برای ایجاد جنبش​‌های سایبری‌ آن‌ها هشدار داده بود. 

در متن این هشدار آمده است که ایران به شکلی روزافزون در حال ارتقای قابلیت​‌​های تهاجمی خود در فضای مجازی است. عوامل تهدید ایرانی کماکان به حملات معمول مانند صدمه به وب‌​سایت‌​ها، حملات نوع DDoS [به معنای اخلال در کارکرد سرورها و ناتوان کردن آن‌ها برای سرویس‌​دهی از طریق بالا بردن بار ترافیک شبکه‌​ آن‌ها] و سرقت اطلاعات قابل شناسایی افراد (PII) ادامه می‌​دهند. آن‌ها تهاجم​‌های پشرفته‌​تری را نیز در دستور کار خود دارند که از آن جمله می‌​توان به عملیات تاثیرگذاری بر شبکه‌​های اجتماعی، ساخت و توسعه بدافزارهای مخرب و حملات جنبشی تجهیزشده اشاره کرد.

آژانس امنیت سایبری و زیرساخت‌​ها، کاربران و مدیران اینترنتی را به شماره AA20-259A و AA20-133A و آگاهی یافتن از «تهدید پیشرفته مستمر» (APT) و «تاکتیک، تکنیک و روش‌​ها» (TTPs) تشویق کرده است.

هشدار شماره AA20-259A آژانس پانزدهم سپتامبر امسال با همکاری مرکز تحقیقات پلیس فدرال آمریکا (FBI) و با موضوع سوء استفاده هکرهای وابسته به جمهوری اسلامی از آسیب‌​پذیری ​شبکه‌​های خصوصی مجازی یا وی‌پی‌ان‌​ها منتشر شد.

در این گزارش گفته شد که گروهی از هکر​های حکومتی که به نام Pioneer Kitten و UNC757 در صنعت سایبری شناخته می‌شوند، از آسیب‌پذیری​‌های CVE-2019-11510، CVE-2019-11539، CVE-2019-19781 و CVE-2020-5902 که در بین شبکه​‌های خصوصی Pulse Secure (VPN)، Citrix NetScaler و F5 مشترک است، بهره برده و پس از نفوذ به شبکه هدف، با ابزارهای دیگری دسترسی خود را تثبیت کرده‌اند. بررسی‌​ها نشان داده‌اند که در مواردی، مهاجمان اطلاعات سرقت‌شده را در فروم​‌های هکری آنلاین در معرض فروش قرار داده‌​اند.

هشدار شماره AA20-133A آژانس امنیت سایبری و زیرساخت​‌ها نیز ماه می سال جاری میلادی منتشر شده بود و در آن ده آسیب‌​پذیری اصلی (CVEs) که از سال ۲۰۱۶ به این سو مورد سوء استفاده هکرها قرار گرفته بودند، معرفی و عنوان شده بودند که آسیب‌پذیری‌​های CVE-2017-11882، CVE-2017-0199 و CVE-2012-0158، مربوط به فناوری OLE شرکت مایکروسافت، بیش از آسیب‌پذیری​‌های دیگر از سوی هکرهای ایران و همچنین روسی، چینی و هکرهای کره شمالی مورد سوء استفاده قرار گرفته‌اند.

تفاوت هشدار تازه آژانس با هشدار ماه ژانویه، پس از کشته شدن «قاسم سلیمانی»، فرمانده شاخه برون‌مرزی سپاه پاسداران، در این است که این بار، از ادبیات دقیق‌​تری درباره نوع تهدیدی که از سوی هکرهای وابسته به جمهوری اسلامی احساس می‌​شود، استفاده کرده است.

ایالات متحده در سال‌​های اخیر برای بیش از ۳۰ تن از هکرهای ایرانی پرونده قضایی تشکیل داده، آن‌ها را تحت تعقیب قرار داده و دستور به توقیف دامنه‌​های اینترنتی مورد استفاده آن‌ها داده است. در آخرین اقدام نیز در ماه سپتامبر، وزارت خزانه‌​داری آمریکا «شرکت رایانش هوشمند رانا» و ۴۵ تن از کارکنان، مدیران و برنامه‌​نویسان آن را به اتهام ارتکاب به جرایم متعدد سایبری تحریم کرد. خزانه‌​داری آمریکا همچنین وزارت اطلاعات جمهوری اسلامی را متهم کرد که از شرکت رایانش هوشمند رانا به عنوان یک پوشش بهره برده و با استخدام افراد متخصص، تحصیل​‌کرده و استعداد​های سایبری، به جاسوسی و سرکوب شهروندان ایرانی، مخالفان حکومت در داخل و خارج از کشور، روزنامه​‌نگاران، کارمندان سابق دولتی، محیط​​‌بانان، پناهندگان، دانشجویان، اعضای هیئت‌​علمی و کارمندان سازمان‌​های غیردولتی بین‌​المللی می​‌پردازد.

اما نه تنها گشودن پرونده‌​های قضایی و اعمال تحریم از میزان تهدید​های سایبری حکومت ایران کم نکرده است، بلکه در مواردی نیز بر شدت آن افزوده شده و یا دامنه آن به نقاط دیگری از جهان نیز کشیده شده است.

سخن‌گوی شرکت امنیتی «فایر آی» (FireEye)، از جمله شرکت‌​های مطرح سایبری که تهدید​های سایبری نشات‌گرفته از ایران را با دقت رصد می‌​کند، در اظهار نظری گفته است که ما بر این باور هستیم که ایران با بهینه‌​سازی تاکتیک‌​های سابق خود، در فضای آنلاین اهداف ژئوپلیتیک خود را پی‌گیری می‌کند و دست به عملیات‌​های اطلاعاتی می‌​زند.

«بنجامین رید»، مدیر ارشد تجزیه و تحلیل جاسوسی سایبری شرکت فایر آی و از مدرسان برنامه‌​های مطالعات امنیتی «دانشگاه جورج‌​تاون آمریکا»، نیز در گفت‌وگویی با وب‌سایت مرکز مطالعات امنیتی دانشگاه جورج‌​تاون در خصوص حملات هکرهای جمهوری اسلامی به نهاد​های دانشگاهی دیگر کشورها گفته بود که مدت‌​هاست که دولت‌​های ایران، چین و روسیه علیه ایالات متحده دست به عملیات «حوزه خاکستری» (gray zone) زده‌اند و با استخدام مجرمان سایبری، هم به آن‌ها فرصت اقدامات مجرمانه و بدون مجازات قانونی می‌​دهند و هم خود از منافع اقدامات مجرمانه آن‌ها بهره​‌مند می‌​شوند.

علاوه بر برخورد​های قضایی و تنبیهی دولت «دونالد ترامپ» در سال‌های اخیر، که در نوع خود بی‌​سابقه بوده‌اند، در وعده‌​های جو بایدن، نامزد انتخابات ریاست‌جمهوری ۲۰۲۰ آمریکا، نیز در دوران تبلیغات انتخاباتی موضوع تهدید​های سایبری از جمله موضوعات برجسته و اولویت‌دار بودند.

برخی کارشناسان سیاسی و سایبری معتقدند که تحریم‌​های ایالات متحده علیه جمهوری اسلامی و محدود شدن ایران از دسترسی به منابع مختلف، یکی از دلایل اصلی روی ​آوردن این کشور به شیوه‌​های غیراخلاقی، هم‌چون سرقت اطلاعات و سرمایه​‌های معنوی با استفاده از حملات سایبری است که در صورت مدارا و فرصت دادن به ایران، می‌​تواند آن را به تغییر رفتار و رعایت اصول اخلاقی و قانونی تشویق کند. در سویی دیگر، برخی معتقدند که دلیل روی آوردن کشوری مثل ایران به تجاوز سایبری به حریم کشورهای دیگر، تحریم و یا محدودیت نیست. کما این که رفتار مشابه کشورهایی مانند روسیه و چین نیز به خاطر تحریم نیست. ایران کشوری است با حکومت ایدئولوژیک اسلامی که طبق قوانین رسمی و بنیادین خود، صدور ارزش​‌های انقلابی و ترویج دیدگاه‌​های ایدئولوژیک حکومت‌​گران آن بخشی از هویت آن است. از این رو، جنگ سایبری و تسلط بر کشورهایی که از دید رهبران جمهوری اسلامی دشمن تلقی می‌شوند و در نهایت زمینه‌​سازی برای یک انقلاب جهانی و ظهور امام دوازدهم شیعیان، هدفی کلیدی است که رژیم ایران چه با تحریم و چه بدون تحریم، آن را پی خواهد گرفت. از این‌ رو، باور به وجود مداوم تهدید​هایی مانند این، و یکپارچگی جهانی برای ارتقای تکنولوژی‌​های دفاعی، در کنار فشارهای دیپلماتیک بر کشورهای خاطی، بهترین راه حل‌ها برای ممانعت از بروز بحران از سوی عوامل تهدید در فضای مجازی هستند.

 

توضیح: «APT» یا «Advanced Persistent Threat» به معنای «تهدید پیشرفته مستمر»، در صنعت امنیت سایبری، اشاره‌​ای است به تهدیدهای دائمی که عموما از سوی مجرمان سایبری تحت حمایت دولت‌​ها ایجاد می‌​شوند؛ به عنوان مثال گروه «APT34» از جمله گروه​‌های «APT» است که تحت حمایت و پشتیبانی جمهوری اسلامی اقدام به فعالیت​‌های مجرمانه می​‌کند. فهرستی از این نوع گروه‌​های هک و نفوذ در این قسمت در دسترس است.

 

توضیح: اصطلاح «تاکتیک، تکنیک و روش‌​ها» یا TTPs مخفف Tactics Techniques and Procedures در صنعت سایبری مفهومی است برای توصیف رفتار و شیوه عوامل تهدید در فضای مجازی. به عنوان مثال قصد هکرهای وابسته به یک دولت خارجی برای اخلال در انتخابات کشوری دیگر تاکتیک، فرایند انجام این کار تکنیک و چه‌گونگی صورت گرفتن این دخالت شیوه محسوب می‌شوند و با تحلیل این سه مفهوم می‌​توان به شکل نسبی به ماهیت و هدف بازیگران پشت پرده یک تهدید پی برد.

توضیح: عملیات «حوزه خاکستری» (gray zone) به مدلی از درگیری تنش گفته می‌​شود که در آن جنگ از محیط نظامی خارج می‌شود و با ابزارهای دیگر، در محیط‌​های غیرنظامی دوام و توسعه پیدا می​‌کند که جنگ‌​های سایبری، سرقت اطلاعات و سرمایه​‌های معنوی، اخلال در زیرساخت​‌های حیاتی و اقتصادی و مواردی از این دست، با استفاده از جرائم سایبری از جمله این موارد هستند.

 

مطالب مرتبط:

 

هکرهای حکومتی ایران از دانشگاه‌های امریکا چه می‌خواهند؟

دسترسی هکرهای ایرانی به تاسیسات یک مخزن بازیافت آب در اسرائیل

سایه هکرهای ایرانی روی سایت شرکت بیمه اسراییلی

نام ایران در لیست تهدید‌های سایبری علیه کانادا قرار گرفت