کشف پیچیده‌ترین شبکه هکری جهان

دنیای اقتصاد: زمانی که در سال ۲۰۱۰ بدافزار «استاکس‌نت» کشف شد متخصصان امنیتی آن را یکی از پیچیده‌ترین ابزارهای نفوذ کامپیوتری معرفی کردند که تا آن زمان ساخته شده بود. بعدا بدافزارهای Flame و رجین هم به دلیل شباهت‌هایشان به یک مبدا ساخت مشترک منتسب شدند؛ جایی که صدها نفر ساعت‌ها روی چنین ابزارهای هوشمند و فوق‌العاده مخربی کار کرده‌اند. حالا متخصصان امنیتی در شرکت کسپرسکی بزرگ‌ترین شبکه هکر تاریخ اینترنت را کشف کرده‌اند که استاکس‌نت، رجین و Flame هم به آنها مرتبط است. به نوشته کسپرسکی این شبکه دسترسی نامحدودی به منابع مالی و نیروهای انسانی متخصص داشته و دارای انبار بزرگی از ابزارهای مخرب اینترنتی مانند استاکس‌نت بوده است. کسپرسکی که معتقد است متخصصان آن پس از دو دهه تحقیق توانسته‌اند این شبکه را کشف کنند نام این شبکه را « معادله» گذاشته است به دلیل آنکه اعضای این شبکه علاقه زیادی به رمزگذاری اطلاعات خود دارند. ابزارها و روش‌های پیچیده‌ و مختلفی که این شبکه هکری برای دسترسی به اطلاعات در اختیار داشته آنقدر پیشرفته است که هنوز گمان می‌رود فقط بخش کوچکی از دامنه کاری آن مشخص شده باشد. صدها دامنه اینترنتی و سرورهای رایانه‌ای در سراسر جهان در اختیار این گروه قرار داشته و اطلاعات از طریق کامپیوترهای قربانیان به این سرورها منتقل می‌شده است. روش‌های پیچیده نفوذ از سایت‌های اینترنتی گرفته تا فلش‌های حافظه و هارددیسک‌ها نام بسیاری از برندهای مختلف (هیتاچی، سامسونگ، وسترن دیجیتال و سی‌گیت) و سیستم‌های عامل (ویندوز، مک) و حتی گوشی‌های موبایلی چون آی‌فون را به میان کشیده و جهان تکنولوژی را در بهت فرو برده است.

جاسوسی سایبری هدف اول

شرکت امنیتی روسی کسپرسکی معتقد است که زمان شروع فعالیت‌های این گروه مشخص نیست، اما قدیمی‌ترین بدافزارهای مشاهده شده به سال ۲۰۰۲ بازمی‌گردد هر چند اولین دامنه‌های اینترنتی متعلق به آنها در سال ۲۰۰۱ ثبت شده‌اند و نشان می‌دهد این گروه حداقل برای دو دهه فعال بوده است. در همین حال احتمالا این گروه بزرگ مشخص‌کننده این است که از گروه‌های دیگری تشکیل شده یا با آنها همکاری داشته از جمله گروه‌هایی که مثلا روی استاکس‌نت یا Flame کارمی‌کردند. این گروه اما بر اساس شواهد بسیار زودتر از سایرین به این بدافزارها دسترسی داشته است. گروه معادله در صنایع و بخش‌های مختلفی به صورت متمرکز کار می‌کرده از جمله دولت‌ها و انستیتوهای دیپلماتیک، مخابرات، فضایی، انرژی، تحقیقات هسته‌ای، نظامی، رسانه‌ها، حمل ونقل، انستیتوهای مالی و شرکت‌های توسعه‌دهنده تکنولوژی‌های رمزنگاری.

کسپرسکی می‌گوید این گروه تعداد جالب توجهی از ابزارها و بدافزارها را در اختیار داشته که مدام هم به‌روز می‌شده‌اند. این بدافزارها به سادگی گذاشتن یک سی‌دی درون درایور یا واردکردن حافظه فلش به USB یا دیدن یک صفحه وب روی موبایل، روی کامپیوتر یا شبکه قربانی نصب می‌شدند و در صورت شناسایی هدف معتبر راه را برای بدافزارهای بزرگ‌تر بعدی باز می‌کرده‌اند و در مرحله آخر کنترل تمام کامپیوتر و دستگاه را در اختیار می‌گرفتند. این بدافزارها می‌توانستند خود را با روش‌های مختلف درون سیستم مخفی کنند و اطلاعاتی را که به دست می‌آوردند ابتدا رمزگذاری و سپس در صورت اتصال به اینترنت آن را به سرورها و دامنه‌های اینترنتی تعیین‌شده ارسال کنند. این بدافزارها همچنین به سیستم «خود تخریب‌گر» مجهز بوده و در صورت لزوم و یا پس از دوره مشخص خود را به طور کامل از روی سیستم قربانی حذف می‌کردند.

متخصصان کسپرسکی با در اختیار گرفتن برخی از دامنه‌های اینترنتی قدیمی این گروه یا نفوذ به برخی سرورهای آن توانسته‌اند به روش‌ کار برخی از این ابزارها آگاهی پیدا کنند. کسپرسکی حجم انبوهی از اطلاعاتی از سراسر جهان به سمت معدود سرورهای در اختیارگرفته را تحلیل کرده و معتقد است به احتمال زیاد بخش جالب توجهی از ابعاد کاری شبکه «معادله» هنوز ناشناخته است.

آلودگی هارددیسک‌ها

بر اساس گزارش کسپرسکی مهم‌ترین و جدیدترین کشف در زمینه شکل نفوذ تکنولوژی فوق‌العاده جدید و پیشرفته مورد استفاده این شبکه در آلوده کردن سیستم‌ نرم‌افزاری هارددیسک‌ است. کسپرسکی توانسته دو سیستم نرم‌افزاری آلوده‌سازی هارددیسک این گروه را تشریح کند که یکی مربوط به سال ۲۰۱۰ و دیگری مربوط به ۲۰۱۳ است. این سیستم نرم‌افزاری خود را به جای سیستم اصلی جایگزین کرده و داخل هارددیسک پنهان می‌شود و با فرمت‌کردن هارددیسک هم از بین نمی‌رود. سیستم نرم‌افزاری هارددیسک‌های ۱۲ شرکت معروف در این عرصه از جمله شرکت‌های مکستور، وسترن‌دیجیتال، سامسونگ، سی‌گیت، توشیبا و میکرون قابل جایگزینی تشخیص داده شدند.

ابزارهای نفوذ حتی قادر به نفوذ از طریق سی‌دی‌رام دستگاه نیز بوده‌اند. به گفته کسپرسکی در سال ۲۰۰۹ در جریان یک کنفرانس علمی در هوستون به تمامی شرکت‌کنندگان که شامل دانشمندان و متخصصان می‌شدند سی‌دی کنفرانس داده شد که در صورت قرار گرفتن در سی‌دی‌رام ابزار نفوذ را به کامپیوتر قربانی منتقل می‌کرد.

چه کسی پشت معادله است؟

کسپرسکی می‌گوید: گروه پشت معادله افرادی تعلیم دیده‌اند که بسیار کم اشتباه می‌کنند، ولی در موارد معدودی آنها ردپاهایی را از خودشان به‌جا گذاشته‌اند. این ردپاها اما مربوط به هویت این افراد نمی‌شود بلکه با نحوه عملکرد ابزارهایشان مرتبط است. بر این اساس در هر ماه حدود دو هزار قربانی فقط توسط کسپرسکی شناسایی شده‌اند اما احتمال اینکه تعداد قربانیان بسیار بیش از این باشد وجود دارد. نکته مهم دیگر این است که هرچند بخش قابل‌توجهی از حمله‌ها و رفتارهای بدافزارهای کشف‌شده این گروه نشان‌دهنده عملکرد گسترده آنها در سیستم‌عامل‌های مختلف ویندوز بوده است اما موارد مختلفی از آلودگی به سیستم عامل مک هم مشاهده شده است. همچنین برخی موارد از آلودگی سیستم عامل آیفون اپل ( iOS) هم در این زمینه خبر می‌دهد.

گروه معادله دارای بیش از ۳۰۰ دامنه اینترنتی و بیش از ۱۰۰ سرور در سراسر جهان است. این سرورها در نقاط مختلف جهان قرار دارند؛ از آمریکا و انگلستان گرفته تا ایتالیا، آلمان، هلند، پاناما، کاستاریکا، مالزی،‌کلمبیا و چک . تمامی دامنه‌های این گروه توسط دو شرکت مشهور فروش دامنه ثبت شده‌اند و اطلاعات صاحب دامنه‌ها به دلیل اعمال محافظت اطلاعات غیر قابل دستیابی است.

ایران هدف اصلی

بر اساس گزارش کسپرسکی بیش از ۳۰ کشور جهان هدف اصلی گروه «معادله» قرار داشته که ایران و روسیه در صدر آنها بوده‌اند. سوریه، افغانستان، قزاقستان، بلژیک، سومالی، هنگ‌کنگ، لیبی، امارات، عراق، نیجریه، مکزیک، آمریکا، فلسطین، فرانسه، آلمان، سنگاپور، قطر ، پاکستان، ‌سوئیس، انگلستان، هند، برزیل و... از کشورهای دیگری بودند که این‌گونه حمله‌ها در آنها مشاهده شده است.

نکته مهم این است که به دلیل اینکه این بدافزارها دارای سیستم خودنابودگر هستند، عملا نمی‌توان مشخص کرد چه حجم اطلاعاتی و دقیقا از چه بخش‌هایی مورد سرقت واقع شده است.

مشاهدات کسپرسکی نشان می‌دهد که سه کشور مورد این حمله قرار نگرفته‌اند؛ اردن، ترکیه و مصر. این یعنی گروه معادله به طور عمدی اطلاعات مربوط به آی‌پی‌های این سه کشور را جمع‌آوری نکرده است.

از طرف دیگر رمزگذاری پیشرفته این گروه تعجب متخصصان امنیتی را برانگیخته است. این گروه از تکنولوژی رمزگذاری که به اصطلاح RC۵ نامیده می‌شود، استفاده کرده است. این تکنولوژی‌ توسط فردی به نام رونالد ریوست در فاصله سال‌های ۱۹۹۴ تا ۱۹۹۸ کشف شد و ویژگی آن مقاوم‌بودن بسیار آن دربرابر شکستن رمز است. کسپرسکی می‌گوید که گروه معادله را در جریان مطالعه روی ویروس رجین کشف کرده است. کسپرسکی یک کامپیوتر در کشوری در خاورمیانه قرار داده و از این طریق حمله‌ها به آن را شناسایی می‌کند. به گفته این شرکت امنیتی روسی، اطلاعات به‌دست آمده نشان داد که این گروه کامپیوترهایی را هدف قرار داده که قبلا مورد حمله بدافزار رجین هم قرار گفته بودند.

چه کسی یا چه کشوری پشت حمله‌هاست

کسپرسکی به هیچ کشور یا سازمانی پشت سر این گروه هکری اشاره نمی‌کند. هرچند در کل گزارش این شرکت به یک سازمان بزرگ و افراد متخصص دارای برنامه وسیع با سرمایه‌گذاری نامحدود اشاره می‌شو‌د.

برخی خبرگزاری‌ها از جمله رویتر و روزنامه نیویورک‌تایمز از آژانس امنیت ملی آمریکا به‌عنوان سازمان‌دهنده اصلی نام برده‌اند. از سوی دیگر اما با توجه به نوع آلودگی و تمایل به دریافت اطلاعات می‌توان تصور کرد که چه نوع نهادهایی از چه کشورهایی پشت این حمله‌ها قرار دارند.