خبر

حمله سایبری بر ضد نهادهای آمریکایی

مدتی پیش شرکت امنیت سایبری فایرآی (FireEye) اعلام کرد هکرها به شبکه‌های این شرکت نفوذ کرده و ابزارهای ارزشمند آن را سرقت کرده اند. Kevin Mandia مدیرعامل شرکت فایرآی در رابطه با این حادثه سایبری گفته: «از همان لحظه‌ای که متوجه شدیم یک نفوذ امنیتی رخ داده، مسأله را جدی گرفتیم. تصور من هم این بود با توجه به میزان گستردگی حمله باید بلافاصله مردم را در جریان این رویداد قرار دهیم».

این حمله سایبری چند نهاد دولتی آمریکا از جمله وزارت امور خارجه، وزارت خزانه داری، وزارت اقتصاد، وزارت انرژی، وزارت امنیت میهن و مؤسسه ملی سلامت را نیز مورد هدف قرار داد. در این حمله سایبری، هکرها بدافزار خودشان را به یک به‌روزرسانی امنیتی از نرم‌افزار شرکت سولارویندز (SolarWinds) که نرم‌افزارهای مورد استفاده مؤسسه های فدرال و هزاران شرکت خصوصی را برای نظارت بر شبکه‌های رایانه ای آنها تولید می‌کند، چسبانده بودند (اصطلاحاً Bind کرده بودند).

به گفته وزیر امور خارجه آمریکا و تعدادی از اعضای کنگره SVR، سرویس اطلاعات خارجی روسیه محتمل‌ترین مقصر این ماجرا شناخته می‌شود. با این حال، دولت ترامپ رسماً این حملات را به هیچ شخص یا نهادی انتصاب نداده است. Mandia می‌گوید: «از نظر من بدون شک سال ۲۰۲۰ برای مدیران ارشد امنیت اطلاعات، سخت‌ترین سال بود. در حال حاضر آمریکا باید اصول مورد انتظار در خصوص قوانین تعامل با سایر کشورها را مشخص کند و اینکه سیاست یا واکنش ما در قبال افراد و گروه‌هایی که این اصول را نقض می‌کنند، چیست؛ چون بدون شک در حال حاضر شرایط در حوزه امنیت سایبری رو به وخامت است».

در ادامه، گزیده‌ای از مصاحبه با Mandia آمده است.

وقتی متوجه شدید فایرآی هک شده، چه حسی پیدا کردید؟

دلایل هدف گرفتن فایرآی توسط سایر کشورها شامل چند بخش است. ما برحسب وظیفه سعی می‌کنیم آثار و ردپای مهاجمان را تشخیص داده و با همه به اشتراک بگذاریم. بر اساس شواهد، متوجه شدیم که این حمله توسط یک گروه حرفه­‌ای انجام شده است. این حمله اولین اقدام این مهاجمان نبوده زیرا آنها از روشی استفاده کرده بودند که هر چه بیشتر درباره آن اطلاعات کسب می‌کردیم، مطمئن‌تر می‌شدیم که حمله از یک دهه پیش یا بیشتر در جریان بوده است. اقدامات آنها کاملاً حرفه­‌ای اجرا شده بودند. بنابراین باید تحقیقاتمان را به صورت کامل و جامع انجام می­‌دادیم.

در پشت‌صحنه این حمله چه‌ فرد یا نهادی قرار دارد؟

از نظر من، قطعاً یک کشور است. با توجه به نفوذ به زنجیره تأمین در سولارویندز، آنها در اکتبر ۲۰۱۹ کدی را در زنجیره تأمین تعبیه کرده بودند، با دقت از آن استفاده و نصب آن را زیرنظر داشتند. بنابراین از اینکه تکنیک‌هایشان برای نفوذ به زنجیره تأمین، کارآمد و مؤثر بوده‌ است، مطلع بوده اند. همچنین با توجه به این­که عملی کردن حمله با تزریق کدهای مخرب در سولارویندز از ماه مارس تا ژوئن ۲۰۲۰ صورت گرفته می ­توان نتیجه گرفت حمله توسط شخصی اجرا شده که صبور و حرفه‌ای است و آنچه برای من جالب بود این است که هدف مهاجم، مخفی کردن عملیات بوده و نه دستیابی به هدف.

چه کشورهایی چنین قابلیت‌هایی دارند؟

این اقدامات با چنین قابلیت‌ها و امکاناتی فقط با روسیه همخوانی دارد. البته ممکن است یک گروه چینی باشد که قابلیت انجام این کار را داشته باشد. شاید هم نه!

آیا ویژگی‌های این حمله با سایر هک‌هایی که تاکنون مشاهده کرده اید، همخوانی داشته است؟

شش تا هشت مورد از جزییات فنی باعث شده اند به این نتیجه برسیم که این حمله کار یک دولت و احتمالاً یک سرویس اطلاعاتی خارجی بوده است. از جمله اینکه از یک زیرساخت برای حمله به فایرآی استفاده کرده اند. آدرس آی‌پی یا سیستم‌های مورد استفاده در این حمله در حملات دیگری که ما از آنها مطلع باشیم، استفاده نشده است.

به بیان دیگر، مهاجمان از زیرساختی برای حمله به فایرآی استفاده کرده اند که منحصراً مخصوص حمله به این شرکت بوده است. نگهداری چنین زیرساختی به کار و هماهنگی زیادی نیاز دارد. همچنین بیشتر گروه‌های تهدید سایبری از زیرساخت‌های مشترک برای حمله به شرکت‌های مختلف استفاده می‌کنند اما این گروه چنین کاری را نکرده است. پس متوجه شدیم که این حمله یک عملیات پیچیده و گسترده سایبری است و نه یک هک معمولی.

هشدار فایرآی درباره حمله به دولت آمریکا بیانگر چه نکته­‌ای است؟

زمانی که حمله بر ضد فایرآی اجرا می‌شد همه آدرس‌های آی‌پی مورد استفاده، مربوط به داخل آمریکا بودند و از آنجا که آژانس امنیت ملی آمریکا (NSA) در خود کشور چنین اطلاعاتی را نداشت بنابراین ما توانستیم این حمله را شناسایی کرده و برطرف کنیم.

در واقع گویا شما قادر به انجام کارهایی هستید که آژانس امنیت ملی آمریکا نتوانسته در داخل کشور آنها را انجام دهد؟

پس از در نظر گرفتن اقدامات مهاجمان، این­گونه به نظر می‌رسید که از داخل آمریکا به شرکت‌های آمریکایی حمله می‌کنند. در حالی که این احتمال هم وجود دارد که مهاجمان در آمریکا نباشند و فقط زیرساخت‌هایی که برای حمله به شرکت‌هایی مثل فایرآی تنظیم کرده‌اند در آمریکا قرار داشته باشد. به همین خاطر ممکن است این اهداف مخرب از بیرون آمریکا قابل انجام نباشند و فقط از درون بتوان آنها را مشاهده کرد.

ما رایانه هایی که داریم را بررسی می‌کنیم تا هرگونه شواهد احتمالی از حمله را شناسایی نماییم. ما با بررسی سیستم‌های سولارویندز به این نتیجه رسیده ایم که مشکلی ایجاد شده و احتمالاً نفوذی صورت گرفته است ولی شواهدی که نشان بدهد حمله‌­ای قطعی صورت گرفته است را در دسترس نداریم.

بنابراین سیستم را به مهندسان معکوس خودمان سپردیم. ما ۱۴ گیگابایت اطلاعات، بیش از ۱۸ هزار فایل مربوط به به‌روزرسانی‌های سولارویندز و بیش از ۴ هزار فایل اجرایی را بررسی کردیم؛ این فایل‌ها را به میلیون‌ها خط تجزیه و تحلیل کرده و در نهایت با کمک تحلیلگران بدافزار به نتیجه مورد نظر رسیدیم.

آیا از زمان دقیق هک آژانس امنیت ملی آمریکا اطلاع دارید؟

خیر، اطلاعی ندارم.

ظاهراً FBI و مدیر بخش امنیت سایبری و اطلاعات ملی وزارت امنیت میهن اعلام کرده اند این نفوذ همچنان ادامه دارد. در حال حاضر شما چه برنامه‌­ای را در پیش دارید؟

به نظر من زمانی که افراد متوجه نفوذی به سیستم­‌هایشان می­ شوند، اقدامات زیادی است که باید انجام دهند. ابتدا آنها باید تحقیق کنند چه اتفاقی رخ داده و حوزه و مقیاس حمله را تشخیص دهند. سپس اگر هنوز مهاجمان در شبکه آنها فعال هستند، آنها را بیرون کنند.

حتی اگر مهاجمان فعال هم نباشند باید خودشان را آماده مقابله با مشکل نمایند. این اقدامات چندین ماه زمان می‌برد اما قطعاً یک نکته برای من مشخص است: مهاجمان در جریان نیستند که قوانین تعامل و رفتار درست چیست. ما کشوری هستیم که چندین میلیارد دلار به باج‌افزارها خسارت دادیم و ملتی هستیم که یکی از موفق‌ترین کارزارهای جاسوسی سایبری بر ضد آن انجام شده است.

 

منبع: npr

 

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

8 + 20 =

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.