هکرهای حکومتی ایران، ضعف‌های فنی را با مهندسی اجتماعی جبران می‌کنند

احمد باطبی

بیش از ده سال است که اصطلاح «هکرهای حکومتی» یا «هکرهای وابسته به جمهوری اسلامی» به ادبیات سایبری وارد شده است. اگرچه در سالهای آغازین، کسی هکرهای وابسته به حکومت ایران را جدی نمی‌گرفت، اما به اعتراف بسیاری از دولت‌ها و شرکت‌های معتبر فعال در صنعت امنیت سایبری، امروز هکرهای وابسته به جمهوری اسلامی یکی از خطرناک‌ترین مجموعه‌های موسوم به «تهدید پیشرفته مدام» (APT) هستند.

(APT) یا (Advanced Persistent Threat) در صنعت سایبری اصطلاحی است برای مخاطب قراردادن تهدیدهای مستمر و هدفمند سایبری، که از سوی هکرهای تحت حمایت دولت‌ها سازماندهی و اجرا می‌شود، تا به اهدافی مانند دولت‌های دشمن و یا رقیب، مخالفان حکومت، سازمان‌ها و نهاد‌های تاثیرگذار، شرکت‌های تجاری و مراکز علمی حمله کنند. هدف اصلی گروه‌های تهدید پیشرفته مدام که با علامت اختصاری (APT) و ارقام منتسب به آن شناخته می‌شوند، اخلال در روند فعالیت عادی قربانی و یا سرقت اطلاعات و سرمایه‌های معنوی آن است. (APT33) ،(APT34) ،(APT39) ازجمله گروه ایرانی تهدید پیشرفته مدام هستند که تحت حمایت جمهوری اسلامی به فعالیت‌های مجرمانه اینترنتی مشغولند. شرکت‌های امنیتی رصدکننده (APT) معتقدند که گروه‌های هکری «هولمیوم» (HOLMIUM) و «ال فین» (Elfin) متعلق به (APT33) هستند. براساس شواهد موجود، این مجموعه از سال ۲۰۱۳ فعالیت خود را آغاز کرده و تا کنون به اهداف متعددی در آمریکا، عربستان سعودی و کره جنوبی حمله کرده‌ است. (APT33) علاقه ویژه‌ای به اهداف مرتبط با صنعت هواپیمایی دارد.

(APT34) نیز مجموعه‌ای است از گروه‌های مستقل هکری، مانند «بچه‌گربه‌های جذاب» (Charming Kitten)، تیم ‌امنیتی «آژاکس» (Ajax)، «فسفروس» (Phosphorous) و چند نام دیگر که از سال ۲۰۱۴ گرد هم آمده و تاکنون مراکز متعددی در حوزه‌های مالی، دولتی، انرژی، شیمیایی، ارتباطات و سایر صنایع را در سراسر جهان هدف قرار داده‌اند.

(APT39) هم مانند (APT34) در سال ۲۰۱۴ ظهور کرد. این مجموعه زیر نظر وزارت اطلاعات ایران و با پوشش شرکتی به نام «رایانش هوشمند رانا»، گروه‌هایی مانند «ریمیکس کیتن» (REMIX KITTEN)، «آی تی جی ۰۷» (ITG07) و «چفر»(Chafer) را گرد هم آورده و از آن سال تاکنون، حمله‌های متعددی را به اهدافی در آسیا، آفریقا و آمریکای شمالی صورت داده‌ است.

 یکی از شاخص‌های اصلی برای مقایسه قدرت و توسعه‌یافتگی گروه‌های (APT) با یکدیگر، توان آنها در کشف و بهره‌برداری از ضعف‌های امنیتی موسوم به «روز صفر» (zero-day) است. روز صفر به آسیب‌پذیری‌هایی گفته می‌شود که تاکنون کشف نشده و هکر و یا هکرهای کاشف آن، تا زمانی که قربانی از آن مطلع نشده و اقدام به ترمیم آن نکرده باشد، می‌توانند آزادانه از آن استفاده و به سیستم قربانی نفوذ کنند. یافتن آسیب‌پذیری‌های روز صفر، در صنعت سایبری امری بسیاری پیچیده محسوب می‌شود و کشف آن، چه با هدف ترمیم آسیب‌پذیری و چه به منظور سوءاستفاده سایبری نیازمند زمان، هزینه و تخصص فراوان است.

با این شاخص، گروه‌های تهدید پیشرفته مدام ایران که تا به حال، به ندرت از آسیب‌پذیری‌های روز صفر استفاده کرده‌اند، در مقایسه با گروه‌هایی مانند (APT28) متعلق به روسیه و (APT12) متعلق به چین، از توسعه‌یافتگی کمتری برخوردارند. اما در عوض، سابقه گروه‌های (APT) ایرانی نشان می‌دهد که آنها این ضعف خود را با افزایش فعالیت‌های خود در حوزه «مهندسی اجتماعی» (Social engineering) جبران کرده‌اند.

گزارش‌های منتشر شده توسط دولت‌ها و شرکت‌های بزرگ فعال در حوزه امنیت سایبری، بیانگر طیف گسترده‌ای از حملات سایبری گروه‌های (APT) ایرانی است که اساس آن مهندسی اجتماعی و فریب قربانی بوده و از مهارت‌ها و پیچیدگی‌های منحصربه فردی برخوردار است.

«امیل‌هاگبرت» (Emiel Haeghebaert)، تحلیلگر شرکت امنیتی (Mandiant Cyber Threat Intelligence | FireEye) در اظهار نظری گفت که ایران جامعه‌ای از هکرهای زیرزمینی در پایین‌ترین سطح از طیف‌مهارت‌ها دارد که برخی از آنها با انگیزه‌های سیاسی و یا هدف اخلال در عملکرد عادی دشمنان اقدام به فعالیت‌های سایبری می‌کنند، و یا لایه‌های میانی جامعه ایرانیان در تبعید را هدف حملات هکری قرار می‌دهند. بنیان کار این هکرها، حملات نوع فیشینگ، مهندسی اجتماعی و ارسال پیام‌های کوتاه آلوده است که این رفتار آنها، با شیوه «تاکتیک‌ها ، تکنیک‌ها و رویه‌ها» (Tactics, Techniques, and Procedures) (TTPs) قابل تحلیل است.

(TTPs) یکی از موضوعات بنیادین در بحث تروریسم سایبری محسوب می‌شود که در آن، با تحلیل و بررسی تاکتیک‌ها ، تکنیک‌ها و رویه‌های مورد استفاده مهاجمان، اهداف، ابزار، استراتژی و خصوصیات دیگر تروریست‌های سایبری مشخص می‌شود.

(APT34)  نسبت به دیگر گروه‌های تهدید پیشرفته مدام، از ابزار و توانمندی‌های به روزتری برخوردار است. این گروه به شکل مستمر ابزارهای خود را سفارشی کرده و و آن را با جدیدترین الگو‌ها و شیوه‌های موجود در عالم مجازی به روزرسانی می‌کند. یکی از شاخص‌های عملکرد این گروه نسبت به گروه‌های دیگر ایرانی و غیرایرانی، انجام طیف گسترده‌ای از حملات سایبری برای سرقت (DNS) وبسایت‌ها و بهره برداری از آنها است. اگرچه گروه‌های (APT) روسی و چینی با ابزار، مهارت و امنیت عملیاتی بالاتری نسبت به هکرهای ایرانی حملات (DNS hijacking) را انجام می‌دهند، اما به استناد گفته‌های «امیل‌هاگبرت»، برتری روس‌ها و چینی‌ها به این معنا نیست که گروه‌های (APT) ایرانی در برای سرقت (DNS) وب‌سایت‌ها ناموفق هستند.

«راف پیلینگ»، محقق ارشد امنیت اطلاعات در موسسه (Secureworks) نیز به نشریه «دیلی سوئینگ» (The Daily Swig) گفت که طیف گسترده‌ای از هکرهای ایرانی وجود دارند که برخی از آنها با تیم‌های امنیتی شرکت‌های تجاری همکاری کرده و برخی دیگر نیز گاه بدافزارهای با کیفیتی تولید و با احتیاط در فضای مجازی منتشر می‌کنند. اگرچه تاکنون حملات نوع «تزریق به دیتابیس» (SQL injection) و یا «بهره‌برداری از ضعف‌های امنیتی وبسایت‌ها»ی (web exploits) متعددی از هکرهای ایرانی به ثبت رسیده است، اما تاکنون مورد خاصی از نوع حملات روز صفر را از آنها شاهد نبودیم. با این‌حال آنها در بهره‌برداری فوری از ضعف‌های امنیتی افشا شده، مانند آسیب‌پذیری‌های (VPN)، (Citrix) و (RDP) موفق بوده‌اند.

حمله به تلفن‌های همراه و ایمیل‌ها، دو شیوه مورد علاقه هکرهای ایرانی محسوب می‌شود. آنها با استفاده از مهندسی اجتماعی و فریب قربانی تلاش می‌کنند، کنترل ایمیل‌های آنان را به دست گرفته و یا روی تلفن‌های همراهشان، بدافزار‌های جاسوسی نصب کنند.

«جاستین آلبرشت» (Justin Albrecht) مهندس امنیت اطلاعات و متخصص امنیت موبایل می‌گوید، بررسی بدافزارها مورد استفاده هکرهای ایرانی نشان می‌دهد که آنها علاقه فراوانی به کدهای لو رفته و منابع متن‌باز موجود در اینترنت دارند. اما بسیاری از بدافزارهای آنها، با وجود داشتن ویژگی «دسترسی از راه دور تروجان» (Remote Access Trojan) (RAT)، فاقد عناصر محبوب پیشرفته، مانند امکان «بهره‌برداری از دسترسی به خدمات» (The abuse of accessibility services)، «مبهم‌‌سازی پیشرفته» (Heavy Obfuscation) و یا بسته‌بندی محتوا است. با این وجود، این بدافزارها معمولا در کار خود موفق هستند.

آغاز سازمان‌یافتگی و توسعه گروه‌های تهدید پیشرفته مدام ایرانی، به بعد از حملات سایبری به تاسیسات اتمی ایران، موسوم به «استاکس‌نت» (Stuxnet) در سال ۲۰۱۰ بازمی‌گردد. سپاه پاسداران انقلاب اسلامی و وزارت اطلاعات جمهوری اسلامی، دو نهاد اصلی فعال در حوزه تاسیس، سازمان‌دهی و بهره‌برداری از گروه‌های هکری تحت حمایت حکومت هستند. این دو سازمان، علاوه بر استخدام نیرو و آموزش فنی ‌آنها، بسیاری از هکر‌های مستعد و توانمند را با پیشنهاد مالی و یا تهدید و فشار، به خدمت خود درآورده‌اند. این دو نهاد حتی شرکت‌های خصوصی به ظاهر مستقل تاسیس کرده و یا سازمان‌های مستقل را به استخدام خود درمی آورند، تا عملیات‌های مورد نظر خود را در صورت نیاز به آنها سپرده و در اصطلاح برون‌سپاری کنند.

 جرایم سایبری حکومت ایران ابتدا با عنوان «ارتش سایبری ایران» انجام می‌شد. با گذشت زمان و با توجه به سرمایه‌گذاری‌های بیشتر و تدوین اولویت‌های استراتژیک جمهوری اسلامی، این فعالیت‌ها با نام‌های دیگری پیوند خورده و از تکامل و پیچیدگی بیشتری بهره‌مند شد.

تقسیم کار، تلاش برای هم‌ترازی فنی و حرفه‌ای با گروه‌های مشابه در دنیا، تولید بدافزارهای اختصاصی و توسعه و خصوصی‌سازی بدافزارهای شناخته شده، از جمله اقداماتی است که در سال‌های اخیر در عملکرد این گروه‌ها دیده شده است.

جمهوری اسلامی همچنین به‌کارگیری گروه‌های هکری نیابتی و جعلی را در کارنامه خود دارد که حمله تخریبی سال ۲۰۱۲ با بدافزاری بنام «شامون» (Shamoon) به اهدافی در عربستان سعودی، به اسم گروه هکری «ضربت شمشیر عدالت» (Cutting Sword of Justice) از آن جمله است.

گروه‌های تهدید پیشرفته مدام ایرانی تقریبا به سراسر جهان حمله کرده‌اند؛ اما در این میان ایالات متحده آمریکا، اسراییل، عربستان سعودی و امارات به عنوان کشور‌های رقیب و یا دشمن، چهار هدف اصلی هکرهای وابسته به جمهوری اسلامی بوده‌اند.

حمله سال ۲۰۱۲ به تاسیسات نفت و گاز عربستان سعودی موسوم به حمله «شامون»، حمله به سیستم‌های کنترل صنعتی (ICS) سد بومن نیویورک در سال ۲۰۱۳، حملات موسوم به (OpAbabil) در سال ۲۰۱۲ و ۲۰۱۳ در آن بانک‌های غربی مورد حمله نوع (DDoS) قرارگفته‌اند، حمله به دانشگاه‌های غربی برای سرقت اطلاعات معنوی و سرمایه‌های علمی، حمله به مخالفان و دولت‌ها برای جاسوسی، و ده‌ها مورد از این دست نشان می‌دهد که جمهوری اسلامی از مجموعه فعالیت‌های مخرب سایبری سه هدف را دنبال می‌کند: «تخریب، اخلال و جاسوسی»

استراتژی جمهوری اسلامی در حوزه سایبری، دیده شدن و جدی گرفته شدن توسط جامعه جهانی به عنوان یک تهدید بالقوه و یک حکومت توانمند در فضای مجازی است. توانمندی سایبری همان استراتژی است که بسیاری از کشور‌ها آن را دنبال می‌کنند. اما عموم آنها از این توانایی به صورت دفاعی بهره‌ می‌برند. اما جمهوری اسلامی ظاهرا همان استراتژی که در دنیای واقعی در پیش گرفته، به دنیای مجازی نیز منتقل کرده است.

مطالب مرتبط:

گرفتاری دوباره صدها سازمان در جهان به نسخه تازه باج‌افزار ریویل

نهادها، دانشگاه‌ها و شرکت‌های فناوری ایران، هدف بدافزار «گلسمیوم»

هشدارنهاد‌های اطلاعاتی آلمان در مورد افزایش توانایی حملات سایبری ایران