حمله سایبری بر ضد نهادهای آمریکایی
مدتی پیش شرکت امنیت سایبری فایرآی (FireEye) اعلام کرد هکرها به شبکههای این شرکت نفوذ کرده و ابزارهای ارزشمند آن را سرقت کرده اند. Kevin Mandia مدیرعامل شرکت فایرآی در رابطه با این حادثه سایبری گفته: «از همان لحظهای که متوجه شدیم یک نفوذ امنیتی رخ داده، مسأله را جدی گرفتیم. تصور من هم این بود با توجه به میزان گستردگی حمله باید بلافاصله مردم را در جریان این رویداد قرار دهیم».
این حمله سایبری چند نهاد دولتی آمریکا از جمله وزارت امور خارجه، وزارت خزانه داری، وزارت اقتصاد، وزارت انرژی، وزارت امنیت میهن و مؤسسه ملی سلامت را نیز مورد هدف قرار داد. در این حمله سایبری، هکرها بدافزار خودشان را به یک بهروزرسانی امنیتی از نرمافزار شرکت سولارویندز (SolarWinds) که نرمافزارهای مورد استفاده مؤسسه های فدرال و هزاران شرکت خصوصی را برای نظارت بر شبکههای رایانه ای آنها تولید میکند، چسبانده بودند (اصطلاحاً Bind کرده بودند).
به گفته وزیر امور خارجه آمریکا و تعدادی از اعضای کنگره SVR، سرویس اطلاعات خارجی روسیه محتملترین مقصر این ماجرا شناخته میشود. با این حال، دولت ترامپ رسماً این حملات را به هیچ شخص یا نهادی انتصاب نداده است. Mandia میگوید: «از نظر من بدون شک سال 2020 برای مدیران ارشد امنیت اطلاعات، سختترین سال بود. در حال حاضر آمریکا باید اصول مورد انتظار در خصوص قوانین تعامل با سایر کشورها را مشخص کند و اینکه سیاست یا واکنش ما در قبال افراد و گروههایی که این اصول را نقض میکنند، چیست؛ چون بدون شک در حال حاضر شرایط در حوزه امنیت سایبری رو به وخامت است».
در ادامه، گزیدهای از مصاحبه با Mandia آمده است.
وقتی متوجه شدید فایرآی هک شده، چه حسی پیدا کردید؟
دلایل هدف گرفتن فایرآی توسط سایر کشورها شامل چند بخش است. ما برحسب وظیفه سعی میکنیم آثار و ردپای مهاجمان را تشخیص داده و با همه به اشتراک بگذاریم. بر اساس شواهد، متوجه شدیم که این حمله توسط یک گروه حرفهای انجام شده است. این حمله اولین اقدام این مهاجمان نبوده زیرا آنها از روشی استفاده کرده بودند که هر چه بیشتر درباره آن اطلاعات کسب میکردیم، مطمئنتر میشدیم که حمله از یک دهه پیش یا بیشتر در جریان بوده است. اقدامات آنها کاملاً حرفهای اجرا شده بودند. بنابراین باید تحقیقاتمان را به صورت کامل و جامع انجام میدادیم.
در پشتصحنه این حمله چه فرد یا نهادی قرار دارد؟
از نظر من، قطعاً یک کشور است. با توجه به نفوذ به زنجیره تأمین در سولارویندز، آنها در اکتبر 2019 کدی را در زنجیره تأمین تعبیه کرده بودند، با دقت از آن استفاده و نصب آن را زیرنظر داشتند. بنابراین از اینکه تکنیکهایشان برای نفوذ به زنجیره تأمین، کارآمد و مؤثر بوده است، مطلع بوده اند. همچنین با توجه به اینکه عملی کردن حمله با تزریق کدهای مخرب در سولارویندز از ماه مارس تا ژوئن 2020 صورت گرفته می توان نتیجه گرفت حمله توسط شخصی اجرا شده که صبور و حرفهای است و آنچه برای من جالب بود این است که هدف مهاجم، مخفی کردن عملیات بوده و نه دستیابی به هدف.
چه کشورهایی چنین قابلیتهایی دارند؟
این اقدامات با چنین قابلیتها و امکاناتی فقط با روسیه همخوانی دارد. البته ممکن است یک گروه چینی باشد که قابلیت انجام این کار را داشته باشد. شاید هم نه!
آیا ویژگیهای این حمله با سایر هکهایی که تاکنون مشاهده کرده اید، همخوانی داشته است؟
شش تا هشت مورد از جزییات فنی باعث شده اند به این نتیجه برسیم که این حمله کار یک دولت و احتمالاً یک سرویس اطلاعاتی خارجی بوده است. از جمله اینکه از یک زیرساخت برای حمله به فایرآی استفاده کرده اند. آدرس آیپی یا سیستمهای مورد استفاده در این حمله در حملات دیگری که ما از آنها مطلع باشیم، استفاده نشده است.
به بیان دیگر، مهاجمان از زیرساختی برای حمله به فایرآی استفاده کرده اند که منحصراً مخصوص حمله به این شرکت بوده است. نگهداری چنین زیرساختی به کار و هماهنگی زیادی نیاز دارد. همچنین بیشتر گروههای تهدید سایبری از زیرساختهای مشترک برای حمله به شرکتهای مختلف استفاده میکنند اما این گروه چنین کاری را نکرده است. پس متوجه شدیم که این حمله یک عملیات پیچیده و گسترده سایبری است و نه یک هک معمولی.
هشدار فایرآی درباره حمله به دولت آمریکا بیانگر چه نکتهای است؟
زمانی که حمله بر ضد فایرآی اجرا میشد همه آدرسهای آیپی مورد استفاده، مربوط به داخل آمریکا بودند و از آنجا که آژانس امنیت ملی آمریکا (NSA) در خود کشور چنین اطلاعاتی را نداشت بنابراین ما توانستیم این حمله را شناسایی کرده و برطرف کنیم.
در واقع گویا شما قادر به انجام کارهایی هستید که آژانس امنیت ملی آمریکا نتوانسته در داخل کشور آنها را انجام دهد؟
پس از در نظر گرفتن اقدامات مهاجمان، اینگونه به نظر میرسید که از داخل آمریکا به شرکتهای آمریکایی حمله میکنند. در حالی که این احتمال هم وجود دارد که مهاجمان در آمریکا نباشند و فقط زیرساختهایی که برای حمله به شرکتهایی مثل فایرآی تنظیم کردهاند در آمریکا قرار داشته باشد. به همین خاطر ممکن است این اهداف مخرب از بیرون آمریکا قابل انجام نباشند و فقط از درون بتوان آنها را مشاهده کرد.
ما رایانه هایی که داریم را بررسی میکنیم تا هرگونه شواهد احتمالی از حمله را شناسایی نماییم. ما با بررسی سیستمهای سولارویندز به این نتیجه رسیده ایم که مشکلی ایجاد شده و احتمالاً نفوذی صورت گرفته است ولی شواهدی که نشان بدهد حملهای قطعی صورت گرفته است را در دسترس نداریم.
بنابراین سیستم را به مهندسان معکوس خودمان سپردیم. ما 14 گیگابایت اطلاعات، بیش از 18 هزار فایل مربوط به بهروزرسانیهای سولارویندز و بیش از 4 هزار فایل اجرایی را بررسی کردیم؛ این فایلها را به میلیونها خط تجزیه و تحلیل کرده و در نهایت با کمک تحلیلگران بدافزار به نتیجه مورد نظر رسیدیم.
آیا از زمان دقیق هک آژانس امنیت ملی آمریکا اطلاع دارید؟
خیر، اطلاعی ندارم.
ظاهراً FBI و مدیر بخش امنیت سایبری و اطلاعات ملی وزارت امنیت میهن اعلام کرده اند این نفوذ همچنان ادامه دارد. در حال حاضر شما چه برنامهای را در پیش دارید؟
به نظر من زمانی که افراد متوجه نفوذی به سیستمهایشان می شوند، اقدامات زیادی است که باید انجام دهند. ابتدا آنها باید تحقیق کنند چه اتفاقی رخ داده و حوزه و مقیاس حمله را تشخیص دهند. سپس اگر هنوز مهاجمان در شبکه آنها فعال هستند، آنها را بیرون کنند.
حتی اگر مهاجمان فعال هم نباشند باید خودشان را آماده مقابله با مشکل نمایند. این اقدامات چندین ماه زمان میبرد اما قطعاً یک نکته برای من مشخص است: مهاجمان در جریان نیستند که قوانین تعامل و رفتار درست چیست. ما کشوری هستیم که چندین میلیارد دلار به باجافزارها خسارت دادیم و ملتی هستیم که یکی از موفقترین کارزارهای جاسوسی سایبری بر ضد آن انجام شده است.
منبع: npr