مقدمه

اگر به شما بگویند یک بدافزار می‌تواند بدون شلیک حتی یک گلوله، هزاران سانتریفیوژ هسته‌ای را نابود کند، برق یک کشور را قطع کند، بزرگ‌ترین شرکت‌های دنیا را فلج کند و میلیاردها دلار خسارت به اقتصاد جهان وارد کند، آیا باور می‌کنید؟

تا دو دهه پیش، حملات سایبری بیشتر به خرابکاری‌های ساده، انتشار ویروس‌های کامپیوتری یا هک شدن وب‌سایت‌ها محدود می‌شد. در آن دوران، اگر وب‌سایتی از دسترس خارج می‌شد یا اطلاعات چند هزار کاربر به سرقت می‌رفت، خبر مهمی محسوب می‌شد. اما امروز شرایط کاملاً متفاوت است.

امروزه یک حمله سایبری می‌تواند باعث تعطیلی بیمارستان‌ها، توقف خطوط تولید کارخانه‌ها، قطع سوخت‌رسانی، خاموشی شبکه برق، از کار افتادن بانک‌ها و حتی آسیب دیدن تجهیزات فیزیکی شود. در دنیای مدرن، میدان نبرد دیگر فقط زمین، دریا، هوا و فضا نیست؛ فضای سایبری به پنجمین میدان جنگ تبدیل شده است.

همین موضوع باعث شده اصطلاحاتی مانند Cyber Warfare (جنگ سایبری)، Advanced Persistent Threat (APT)، Zero-Day Exploit، Supply Chain Attack و Ransomware از واژه‌های تخصصی به مفاهیمی آشنا حتی برای کاربران عادی تبدیل شوند.

اما این تحول یک‌شبه اتفاق نیفتاد. پشت هر یک از این مفاهیم، حمله‌ای وجود دارد که نگاه متخصصان امنیت، دولت‌ها و شرکت‌های فناوری را برای همیشه تغییر داده است.

در این مقاله، قصد داریم به سراغ ۱۰ حمله سایبری برویم که نه‌تنها خسارت‌های میلیارد دلاری بر جای گذاشتند، بلکه قوانین بازی در دنیای امنیت سایبری را نیز تغییر دادند.

برخی از این حملات، نخستین نمونه‌های شناخته‌شده جنگ سایبری میان دولت‌ها بودند. برخی دیگر، ضعف‌هایی را آشکار کردند که میلیون‌ها سازمان در سراسر جهان را در معرض خطر قرار داده بود. تعدادی نیز آن‌قدر پیچیده بودند که هنوز سال‌ها بعد، در دانشگاه‌ها و دوره‌های تخصصی امنیت سایبری به‌عنوان نمونه‌های کلاسیک مورد بررسی قرار می‌گیرند.


چرا این حملات مهم هستند؟

ممکن است این سؤال مطرح شود که چرا با وجود هزاران حمله سایبری که هر سال رخ می‌دهد، تنها ۱۰ مورد در این فهرست قرار گرفته‌اند؟

پاسخ ساده است؛ این حملات یکی یا چند مورد از ویژگی‌های زیر را داشتند:

به بیان دیگر، اگر این حملات هرگز رخ نمی‌دادند، احتمالاً امنیت سایبری امروز شکل کاملاً متفاوتی داشت.


حمله سایبری چیست و چه تفاوتی با هک‌های معمولی دارد؟

وقتی نام «هک» را می‌شنویم، معمولاً تصویری از فردی با هودی مشکی، مانیتورهای متعدد و خطوط سبز رنگ ترمینال در ذهنمان شکل می‌گیرد؛ تصویری که فیلم‌های هالیوودی طی سال‌ها ساخته‌اند.

اما واقعیت بسیار پیچیده‌تر است.

بسیاری از بزرگ‌ترین حملات تاریخ، حاصل کار یک نفر نبوده‌اند؛ بلکه نتیجه ماه‌ها یا حتی سال‌ها برنامه‌ریزی، توسعه بدافزار، شناسایی هدف، جمع‌آوری اطلاعات و هماهنگی تیم‌های بزرگ بوده‌اند.

در دنیای امنیت، به چنین عملیات‌هایی معمولاً APT (Advanced Persistent Threat) گفته می‌شود؛ یعنی حملاتی که با منابع مالی، زمان و تخصص بسیار بالا و اغلب با اهداف راهبردی انجام می‌شوند.

در مقابل، هک‌های رایج‌تر معمولاً اهدافی مانند سرقت اطلاعات، اخاذی با باج‌افزار یا سوءاستفاده مالی دارند و از نظر پیچیدگی و دامنه، قابل مقایسه با عملیات‌های APT نیستند.


از ویروس‌های ساده تا سلاح‌های سایبری

دهه ۱۹۸۰ و ۱۹۹۰، دوران ویروس‌هایی مانند Brain، Melissa و ILOVEYOU بود؛ بدافزارهایی که بیشتر با تکثیر خودکار و ایجاد اختلال شناخته می‌شدند.

اما با گسترش اینترنت، دیجیتالی شدن زیرساخت‌های حیاتی و اتصال صنایع به شبکه، مهاجمان نیز روش‌های خود را تغییر دادند.

دیگر هدف صرفاً آلوده کردن یک رایانه شخصی نبود؛ بلکه خاموش کردن یک پالایشگاه، متوقف کردن شبکه حمل‌ونقل، نفوذ به یک نیروگاه یا جاسوسی از دولت‌ها به اهداف اصلی تبدیل شد.

در همین دوره، حملاتی مانند Operation Aurora و سپس Stuxnet نشان دادند که جنگ سایبری دیگر یک فرضیه علمی-تخیلی نیست؛ بلکه به بخشی از واقعیت روابط بین‌الملل تبدیل شده است.


۱۰ حمله‌ای که امنیت سایبری را بازتعریف کردند

در ادامه این مقاله، به ترتیب با این عملیات‌ها آشنا می‌شویم:

  1. Stuxnet؛ نخستین سلاح سایبری جهان که تأسیسات هسته‌ای را هدف گرفت.
  2. Operation Aurora؛ حمله‌ای که مفهوم APT را وارد ادبیات امنیت سایبری کرد.
  3. Shamoon؛ بدافزاری که ده‌ها هزار رایانه یک غول نفتی را نابود کرد.
  4. Bangladesh Bank Heist؛ یکی از هوشمندانه‌ترین سرقت‌های تاریخ بانکداری.
  5. WannaCry؛ باج‌افزاری که بیمارستان‌ها، کارخانه‌ها و شرکت‌ها را در بیش از ۱۵۰ کشور فلج کرد.
  6. NotPetya؛ حمله‌ای که بیش از ۱۰ میلیارد دلار خسارت بر جای گذاشت و به گران‌ترین حمله سایبری تاریخ تبدیل شد.
  7. حمله به شبکه برق اوکراین؛ نخستین خاموشی گسترده ناشی از حمله سایبری.
  8. Triton (Trisis)؛ بدافزاری که سیستم‌های ایمنی کارخانه‌های صنعتی را هدف گرفت و می‌توانست به فاجعه‌ای انسانی منجر شود.
  9. SolarWinds؛ حمله‌ای که نشان داد حتی به‌روزرسانی نرم‌افزارهای معتبر نیز می‌توانند به دروازه نفوذ مهاجمان تبدیل شوند.
  10. Colonial Pipeline؛ حمله‌ای که تنها با آلوده کردن شبکه یک شرکت، زنجیره تأمین سوخت آمریکا را مختل کرد.

هر کدام از این حملات، فصل جدیدی در تاریخ امنیت سایبری نوشتند؛ فصل‌هایی که هنوز هم متخصصان، دانشگاه‌ها و سازمان‌های امنیتی در حال مطالعه و درس گرفتن از آن‌ها هستند.

اما شاید هیچ‌کدام به اندازه اولین مورد این فهرست، یعنی Stuxnet، مسیر آینده جنگ‌های سایبری را تغییر نداده باشد؛ بدافزاری که بسیاری آن را پیچیده‌ترین و تأثیرگذارترین سلاح سایبری تاریخ می‌دانند.

 

فصل اول: استاکس‌نت؛ بدافزاری که ثابت کرد یک خط کد می‌تواند از یک بمب خطرناک‌تر باشد

اگر بخواهیم تنها یک حمله سایبری را به‌عنوان نقطه آغاز جنگ سایبری مدرن معرفی کنیم، بدون تردید آن حمله "Stuxnet" است.

در دنیای امنیت سایبری، حملات زیادی رخ داده‌اند که میلیون‌ها دلار خسارت به بار آورده‌اند؛ از سرقت اطلاعات گرفته تا باج‌افزارهایی که بیمارستان‌ها و شرکت‌های بزرگ را فلج کرده‌اند. اما استاکس‌نت از جنس دیگری بود.

برای نخستین بار در تاریخ، یک بدافزار نه برای سرقت اطلاعات، نه برای اخاذی و نه برای خراب کردن چند فایل طراحی شده بود؛ بلکه هدف آن تخریب فیزیکی تجهیزات صنعتی بود.

تا پیش از آن، بسیاری از متخصصان تصور می‌کردند حملات سایبری فقط در دنیای دیجیتال باقی می‌مانند. استاکس‌نت این تصور را برای همیشه از بین برد.


تابستانی که همه‌چیز تغییر کرد

تابستان سال ۲۰۱۰، شرکت امنیتی بلاروسی VirusBlokAda با بدافزاری عجیب روبه‌رو شد.

در نگاه اول، این بدافزار تفاوت زیادی با نمونه‌های دیگر نداشت؛ اما هرچه مهندسان بیشتر آن را بررسی کردند، با ویژگی‌هایی مواجه شدند که تا آن زمان تقریباً غیرقابل تصور بود.

بدافزار:

این دیگر یک ویروس معمولی نبود.


هدف واقعی چه بود؟

بعدها مشخص شد که هدف اصلی استاکس‌نت، تأسیسات غنی‌سازی اورانیوم نطنز بوده است.

اما سؤال اینجاست:

چگونه یک فایل کامپیوتری می‌تواند سانتریفیوژهای یک مرکز هسته‌ای را نابود کند؟

پاسخ در دنیایی نهفته است که بسیاری از کاربران حتی نام آن را هم نشنیده‌اند.


SCADA و PLC؛ مغز کارخانه‌های جهان

وقتی صحبت از حملات سایبری می‌شود، بیشتر افراد لپ‌تاپ، سرور یا وب‌سایت را تصور می‌کنند.

اما بخش بزرگی از زیرساخت‌های جهان توسط رایانه‌های معمولی کنترل نمی‌شوند.

نیروگاه‌ها، پالایشگاه‌ها، خطوط تولید خودرو، کارخانه‌های فولاد، تصفیه‌خانه‌های آب، متروها و حتی سانتریفیوژهای هسته‌ای توسط سیستم‌هایی به نام SCADA و PLC کنترل می‌شوند.

به زبان ساده:

PLC یک رایانه صنعتی بسیار مقاوم است که وظیفه کنترل تجهیزات فیزیکی را بر عهده دارد.

برای مثال:

همه این کارها توسط PLC انجام می‌شود.

در سطح بالاتر نیز سیستم SCADA قرار دارد که مانند مرکز فرماندهی، صدها یا هزاران PLC را مدیریت می‌کند.

تا پیش از استاکس‌نت، کمتر کسی تصور می‌کرد مهاجمان بتوانند این تجهیزات را هدف قرار دهند.


مشکل بزرگ مهاجمان؛ تأسیسات نطنز به اینترنت وصل نبود

اینجا یکی از جذاب‌ترین بخش‌های داستان آغاز می‌شود.

تأسیسات حساس هسته‌ای معمولاً به اینترنت متصل نیستند.

به چنین شبکه‌هایی گفته می‌شود:

Air-Gapped Network

شبکه‌ای که هیچ ارتباط مستقیمی با اینترنت ندارد.

سال‌ها تصور می‌شد Air Gap بهترین روش دفاعی است.

اما طراحان استاکس‌نت نشان دادند حتی این روش نیز شکست‌پذیر است.


استاکس‌نت چگونه وارد یک شبکه بدون اینترنت شد؟

پاسخ، یک وسیله بسیار ساده بود:

فلش USB

بدافزار روی حافظه‌های USB قرار می‌گرفت.

به محض اتصال فلش به یک رایانه ویندوزی، بدون نیاز به اجرای هیچ فایلی، بدافزار فعال می‌شد.

این اتفاق به لطف استفاده از یکی از خطرناک‌ترین مفاهیم امنیت سایبری رخ داد.


Zero-Day؛ سلاح مخفی استاکس‌نت

در امنیت سایبری اصطلاحی وجود دارد به نام:

Zero-Day Vulnerability

یعنی آسیب‌پذیری‌ای که سازنده نرم‌افزار هنوز از وجود آن خبر ندارد و در نتیجه هیچ وصله امنیتی برای آن منتشر نشده است.

استاکس‌نت از چهار آسیب‌پذیری Zero-Day به طور هم‌زمان استفاده می‌کرد.

برای مقایسه، حتی امروز نیز پیدا کردن یک Zero-Day بسیار ارزشمند است و در بازارهای قانونی و غیرقانونی ممکن است صدها هزار یا حتی میلیون‌ها دلار قیمت داشته باشد.

اینکه یک بدافزار به طور هم‌زمان از چهار Zero-Day استفاده کند، در سال ۲۰۱۰ تقریباً بی‌سابقه بود.

همین موضوع اولین زنگ خطر را برای متخصصان امنیت به صدا درآورد.


گواهی‌های دیجیتال سرقت‌شده

ویندوز برای اطمینان از معتبر بودن نرم‌افزارها، از چیزی به نام Digital Certificate استفاده می‌کند.

اگر یک برنامه با گواهی معتبر امضا شده باشد، سیستم‌عامل راحت‌تر به آن اعتماد می‌کند.

استاکس‌نت موفق شده بود گواهی‌های معتبر دو شرکت سخت‌افزاری تایوانی را سرقت کند.

در نتیجه:

ویندوز تصور می‌کرد این بدافزار یک نرم‌افزار قانونی است.

این سطح از برنامه‌ریزی نشان می‌داد سازندگان بدافزار، منابع و زمان بسیار زیادی در اختیار داشته‌اند.


اما استاکس‌نت همه را آلوده نمی‌کرد

اینجا شاهکار واقعی آغاز می‌شود.

اگر استاکس‌نت وارد رایانه‌ای می‌شد که هدف اصلی نبود، تقریباً هیچ کاری انجام نمی‌داد.

بدافزار ابتدا بررسی می‌کرد:

اگر پاسخ منفی بود...

تقریباً غیرفعال باقی می‌ماند.

این رفتار باعث شد ماه‌ها هیچ‌کس متوجه مأموریت واقعی آن نشود.


حمله به سانتریفیوژها

وقتی همه شرایط برقرار می‌شد، استاکس‌نت وارد مرحله اصلی عملیات می‌شد.

وظیفه آن بسیار عجیب بود.

بدافزار سرعت چرخش سانتریفیوژها را تغییر می‌داد.

برای مدتی سرعت را به شکل غیرطبیعی افزایش می‌داد.

سپس ناگهان آن را کاهش می‌داد.

بعد دوباره همه‌چیز را عادی نشان می‌داد.

در ظاهر...

همه دستگاه‌ها سالم بودند.

اما در واقع، تجهیزات تحت فشار مکانیکی شدید قرار می‌گرفتند.

در نتیجه، پس از مدتی سانتریفیوژها یکی پس از دیگری از کار می‌افتادند.


هوشمندانه‌ترین بخش حمله

اگر اپراتورها به مانیتورها نگاه می‌کردند...

همه چیز طبیعی به نظر می‌رسید.

چرا؟

زیرا استاکس‌نت داده‌های واقعی سنسورها را مخفی می‌کرد و اطلاعات قدیمی و سالم را نمایش می‌داد.

در واقع:

این تکنیک بعدها به یکی از معروف‌ترین نمونه‌های Data Manipulation در سیستم‌های صنعتی تبدیل شد.


Rootkit برای PLC؛ چیزی که دنیا انتظارش را نداشت

قبل از استاکس‌نت، مفهوم Rootkit بیشتر در سیستم‌عامل‌هایی مانند ویندوز و لینوکس مطرح بود.

اما استاکس‌نت اولین بدافزاری بود که چیزی شبیه Rootkit برای PLC پیاده‌سازی کرد.

یعنی:

نه‌تنها خودش را از ویندوز مخفی می‌کرد،

بلکه حضورش را از خود کنترل‌کننده صنعتی نیز پنهان می‌کرد.

این سطح از پیچیدگی، بسیاری از پژوهشگران را شگفت‌زده کرد.


چه کسانی پشت استاکس‌نت بودند؟

هیچ کشوری تاکنون رسماً مسئولیت ساخت استاکس‌نت را بر عهده نگرفته است.

اما طی سال‌های بعد، روزنامه‌نگاران، پژوهشگران و منابع اطلاعاتی مختلف، از جمله گزارش‌های منتشرشده در کتاب Confront and Conceal نوشته روزنامه‌نگار آمریکایی David E. Sanger و تحقیقات متعدد رسانه‌هایی مانند نیویورک‌تایمز، این عملیات را به پروژه‌ای مشترک میان ایالات متحده و اسرائیل نسبت دادند.

در این گزارش‌ها، از پروژه‌ای محرمانه با نام Olympic Games یاد شده است؛ برنامه‌ای که هدف آن کند کردن برنامه هسته‌ای ایران از طریق ابزارهای سایبری بود.

با این حال، دولت‌های آمریکا و اسرائیل هرگز به‌صورت رسمی مسئولیت این عملیات را نپذیرفته‌اند.


خسارت واقعی چقدر بود؟

بر اساس برآوردهای منتشرشده:

اما شاید مهم‌تر از خسارت مالی، پیام استاکس‌نت بود:

از این پس، کدهای کامپیوتری می‌توانستند همان کاری را انجام دهند که پیش‌تر تنها از موشک‌ها و بمب‌ها انتظار می‌رفت.


استاکس‌نت چه مفاهیمی را وارد دنیای امنیت سایبری کرد؟

شاید بزرگ‌ترین میراث استاکس‌نت، خسارت آن نبود؛ بلکه تغییر نگرش جهان به امنیت سایبری بود.

پس از این حمله، مفاهیم زیر به‌شدت مورد توجه قرار گرفتند:

در واقع، بسیاری از استانداردها، دستورالعمل‌ها و سرمایه‌گذاری‌های امنیتی در حوزه فناوری عملیاتی (OT) و سیستم‌های صنعتی، پس از افشای استاکس‌نت با جدیت بیشتری دنبال شدند.


چرا استاکس‌نت هنوز هم بی‌رقیب است؟

بیش از پانزده سال از کشف این بدافزار می‌گذرد، اما هنوز هم در دانشگاه‌ها، دوره‌های تخصصی امنیت سایبری و آموزش‌های مربوط به امنیت زیرساخت‌های صنعتی، استاکس‌نت به‌عنوان یک مطالعه موردی تدریس می‌شود.

دلیل این ماندگاری، تنها پیچیدگی فنی آن نیست؛ بلکه این واقعیت است که استاکس‌نت مرز میان دنیای دیجیتال و فیزیکی را از بین برد. این حمله نشان داد که یک بدافزار می‌تواند نه‌تنها فایل‌ها را پاک کند یا اطلاعات را بدزدد، بلکه به تجهیزات واقعی آسیب برساند و بر معادلات سیاسی و امنیتی جهان اثر بگذارد.

اگر پیش از سال ۲۰۱۰ بسیاری جنگ سایبری را مفهومی نظری می‌دانستند، پس از استاکس‌نت دیگر تردیدی باقی نماند: آینده جنگ‌ها فقط در میدان‌های نبرد سنتی رقم نخواهد خورد؛ بلکه در خطوطی از کد نیز نوشته خواهد شد.

 

فصل دوم: Operation Aurora؛ حمله‌ای که گوگل را وادار کرد با چین روبه‌رو شود

اگر استاکس‌نت آغاز جنگ سایبری بود، Operation Aurora آغاز عصر جاسوسی سایبری مدرن علیه شرکت‌های فناوری محسوب می‌شود.

زمستان سال ۲۰۰۹، مهندسان امنیت گوگل با اتفاقی عجیب روبه‌رو شدند.

در ظاهر، همه چیز عادی به نظر می‌رسید. سرورها فعال بودند، سرویس‌ها بدون مشکل کار می‌کردند و میلیون‌ها کاربر روزانه از موتور جستجوی گوگل استفاده می‌کردند. هیچ خبری از باج‌افزار، پیام‌های اخاذی یا خرابی گسترده نبود.

اما پشت پرده، مهاجمانی ناشناس ماه‌ها بود که در سکوت، داخل شبکه گوگل زندگی می‌کردند.

آن‌ها نه می‌خواستند سرورها را نابود کنند، نه اطلاعات کاربران عادی را بدزدند و نه سروصدا به پا کنند. هدفشان بسیار ارزشمندتر بود: دسترسی به اسرار یکی از مهم‌ترین شرکت‌های فناوری جهان.

این عملیات بعدها با نام Operation Aurora شناخته شد؛ حمله‌ای که مفهوم Advanced Persistent Threat (APT) را از یک اصطلاح تخصصی به یکی از مهم‌ترین مفاهیم امنیت سایبری تبدیل کرد.


اینترنت در آستانه یک جنگ پنهان

برای درک اهمیت Operation Aurora باید به فضای فناوری در اواخر دهه ۲۰۰۰ برگردیم.

گوگل دیگر فقط یک موتور جستجو نبود. این شرکت:

در همان زمان، رقابت فناوری میان قدرت‌های جهانی نیز شدت گرفته بود. اطلاعات فنی، مالکیت فکری (Intellectual Property) و داده‌های پژوهشی، به دارایی‌هایی هم‌ارزش منابع طبیعی تبدیل شده بودند.

در چنین فضایی، حمله به یک شرکت فناوری می‌توانست ارزشی معادل نفوذ به یک مرکز نظامی داشته باشد.


اولین نشانه‌ها؛ چیزی درست نبود

در اواخر سال ۲۰۰۹، تیم امنیت گوگل متوجه رفتارهایی غیرعادی در شبکه داخلی شد.

هیچ سیستم از کار نیفتاده بود، اما برخی درخواست‌ها از سرورهایی ارسال می‌شد که نباید به اطلاعات حساس دسترسی می‌داشتند.

ردپای مهاجمان بسیار تمیز بود.

آن‌ها:

این همان چیزی است که امروز به آن Low and Slow Attack می‌گویند؛ حمله‌ای که به‌جای سرعت، بر مخفی ماندن تکیه دارد.


هدف واقعی چه بود؟

بررسی‌های بعدی نشان داد که مهاجمان چند هدف مشخص داشتند.

مهم‌ترین آن‌ها عبارت بودند از:

۱. سرقت کدهای منبع (Source Code)

برای هر شرکت نرم‌افزاری، کد منبع ارزشمندترین دارایی است.

اگر مهاجم به کدهای داخلی دسترسی پیدا کند، می‌تواند:

گوگل یکی از مهم‌ترین اهداف این بخش بود.


۲. دسترسی به حساب‌های جیمیل

طبق اعلام گوگل، مهاجمان تلاش کرده بودند به حساب‌های جیمیل متعلق به فعالان حقوق بشر چینی دسترسی پیدا کنند.

گوگل اعلام کرد که این حمله صرفاً یک عملیات سرقت اطلاعات تجاری نبوده، بلکه ابعاد سیاسی نیز داشته است.


۳. جاسوسی صنعتی

علاوه بر گوگل، ده‌ها شرکت بزرگ دیگر نیز هدف قرار گرفتند.

از جمله:

بعدها مشخص شد تعداد شرکت‌های قربانی احتمالاً بیش از ۳۰ شرکت بوده است.


مهاجمان چگونه وارد گوگل شدند؟

یکی از جذاب‌ترین بخش‌های این حمله، روش اولیه نفوذ بود.

مهاجمان از یک Zero-Day در مرورگر Internet Explorer استفاده کردند.

به زبان ساده:

کارمند شرکت تنها با باز کردن یک صفحه وب آلوده، بدافزار را اجرا می‌کرد.

در آن زمان، این آسیب‌پذیری برای مایکروسافت ناشناخته بود و هیچ وصله امنیتی برای آن وجود نداشت.

این موضوع بار دیگر اهمیت Zero-Dayها را به جهان نشان داد؛ مفهومی که پیش‌تر در استاکس‌نت نیز نقش کلیدی داشت.


مهندسی اجتماعی؛ نقطه شروع بسیاری از حملات

اما سؤال مهم این بود:

چگونه کارمند گوگل وارد آن صفحه آلوده شد؟

پاسخ، همان تکنیکی است که امروز نیز در بسیاری از حملات پیشرفته استفاده می‌شود:

Spear Phishing

برخلاف فیشینگ معمولی که هزاران ایمیل عمومی ارسال می‌شود، در Spear Phishing هر قربانی به‌صورت اختصاصی انتخاب می‌شود.

مهاجم:

همین دقت باعث می‌شود قربانی کمتر به حمله مشکوک شود.

Operation Aurora یکی از نخستین نمونه‌های مشهور استفاده گسترده از این روش بود.


پس از نفوذ چه اتفاقی افتاد؟

بسیاری تصور می‌کنند هک شدن یعنی مهاجم فوراً اطلاعات را دانلود می‌کند و خارج می‌شود.

اما در عملیات‌های APT، تازه پس از نفوذ، مرحله اصلی آغاز می‌شود.

مهاجمان Aurora:

این مدل حمله بعدها به الگوی بسیاری از عملیات‌های جاسوسی سایبری تبدیل شد.


APT؛ مفهومی که دنیا آن را جدی گرفت

اگرچه اصطلاح Advanced Persistent Threat پیش از این نیز در برخی محافل امنیتی وجود داشت، اما Operation Aurora باعث شد این مفهوم به‌طور گسترده وارد ادبیات امنیت سایبری شود.

بیایید این عبارت را ساده کنیم:

Advanced

یعنی مهاجم از ابزارها، آسیب‌پذیری‌ها و تکنیک‌های پیشرفته استفاده می‌کند.


Persistent

یعنی هدف او حضور طولانی‌مدت در شبکه است.

نه چند دقیقه...

نه چند ساعت...

بلکه گاهی ماه‌ها یا حتی سال‌ها.


Threat

یعنی با یک مهاجم حرفه‌ای روبه‌رو هستیم، نه یک هکر تفننی.

امروزه تقریباً تمام شرکت‌های امنیت سایبری، گروه‌های وابسته به دولت‌ها را با همین عنوان معرفی می‌کنند؛ مانند:


چه کسی پشت Operation Aurora بود؟

گوگل در بیانیه رسمی خود مستقیماً نام کشوری را اعلام نکرد، اما منشأ حملات را چین دانست.

پس از آن، شرکت‌های امنیتی از جمله McAfee، Symantec و Mandiant با تحلیل زیرساخت‌ها، بدافزارها و الگوهای رفتاری، این عملیات را به بازیگرانی منتسب کردند که با چین ارتباط داشتند.

سال‌ها بعد، نام گروهی که امروزه با شناسه APT17 یا در برخی گزارش‌ها Elderwood شناخته می‌شود نیز در ارتباط با این عملیات مطرح شد، هرچند انتساب دقیق همچنان موضوع بحث میان پژوهشگران است.

دولت چین هرگونه دخالت در این حمله را رد کرده است.


تصمیم تاریخی گوگل

شاید مهم‌ترین پیامد Operation Aurora، اتفاقی بود که خارج از دنیای فنی رخ داد.

در ژانویه ۲۰۱۰، گوگل اعلام کرد دیگر حاضر نیست نتایج جستجو را مطابق خواسته دولت چین سانسور کند.

این تصمیم در نهایت به خروج بخش بزرگی از فعالیت‌های جستجوی گوگل از بازار اصلی چین و انتقال خدمات جستجو به هنگ‌کنگ منجر شد.

به این ترتیب، یک حمله سایبری نه‌تنها پیامدهای امنیتی، بلکه آثار سیاسی، اقتصادی و دیپلماتیک نیز به همراه داشت.


Operation Aurora چه چیزی را به دنیای امنیت سایبری آموخت؟

این حمله چند درس مهم برای جهان داشت:

امنیت فقط دیوار آتش نیست

تا پیش از آن، بسیاری از شرکت‌ها تصور می‌کردند داشتن Firewall و آنتی‌ویروس کافی است.

Aurora نشان داد مهاجم می‌تواند از طریق یک کارمند وارد شود.


انسان ضعیف‌ترین حلقه امنیت است

حتی پیشرفته‌ترین شرکت فناوری جهان نیز از طریق یک حمله مهندسی اجتماعی آسیب‌پذیر بود.

از آن زمان، آموزش کارکنان به یکی از ارکان اصلی امنیت سایبری تبدیل شد.


امنیت باید مبتنی بر فرض نفوذ باشد

یکی از مهم‌ترین تغییرات فکری پس از Aurora این بود که متخصصان امنیت دیگر فرض نکردند "شبکه امن است".

در عوض، این ایده شکل گرفت که:

«فرض کنید مهاجم همین حالا داخل شبکه شماست؛ چگونه او را پیدا می‌کنید؟»

این طرز فکر بعدها به توسعه مفاهیمی مانند Threat Hunting، Zero Trust و سامانه‌های پیشرفته تشخیص نفوذ کمک کرد.


خسارت واقعی Operation Aurora

برخلاف حملاتی مانند WannaCry یا NotPetya، Aurora کارخانه‌ای را تعطیل نکرد و میلیاردها دلار خسارت مستقیم بر جای نگذاشت.

اما خسارت واقعی آن در جای دیگری بود:

به بیان دیگر، اگر استاکس‌نت ثابت کرد کد می‌تواند به تجهیزات فیزیکی آسیب بزند، Operation Aurora ثابت کرد اطلاعات، ارزشمندترین دارایی عصر دیجیتال است و برای به‌دست آوردن آن، مهاجمان حاضرند ماه‌ها یا حتی سال‌ها در سکوت منتظر بمانند.


چرا Operation Aurora هنوز اهمیت دارد؟

امروز، بیش از پانزده سال پس از افشای این عملیات، تقریباً تمام حملات بزرگ منتسب به گروه‌های APT، الگوهایی را دنبال می‌کنند که در Aurora به‌خوبی دیده می‌شد:

به همین دلیل، بسیاری از متخصصان امنیت، Operation Aurora را نقطه آغاز عصر مدرن جاسوسی سایبری سازمان‌یافته می‌دانند؛ حمله‌ای که نشان داد بزرگ‌ترین تهدید همیشه آن مهاجمی نیست که سر و صدا می‌کند، بلکه گاهی خطرناک‌ترین دشمن، همان کسی است که ماه‌ها در سکوت کنار شما زندگی می‌کند و هیچ ردپایی از خود باقی نمی‌گذارد.

 

فصل سوم: Shamoon؛ حمله‌ای که قلب صنعت نفت جهان را هدف گرفت

اگر استاکس‌نت ثابت کرد که بدافزارها می‌توانند تجهیزات صنعتی را نابود کنند، Shamoon ثابت کرد که یک بدافزار می‌تواند بزرگ‌ترین شرکت نفتی جهان را ظرف چند ساعت به عصر کاغذ و قلم بازگرداند.

در روزهای گرم ماه آگوست سال ۲۰۱۲، هیچ‌کس در شرکت Saudi Aramco تصور نمی‌کرد تنها چند ساعت بعد، یکی از بزرگ‌ترین بحران‌های تاریخ این شرکت آغاز شود.

کارمندان مانند همیشه پشت رایانه‌های خود نشسته بودند. ایمیل‌ها ارسال می‌شد، گزارش‌های مالی ثبت می‌شد و هزاران کارمند در دفاتر مختلف این غول نفتی مشغول کار بودند.

اما در پشت پرده، بدافزاری که ماه‌ها در سکوت داخل شبکه شرکت حرکت کرده بود، منتظر یک زمان مشخص بود.

ساعت از نیمه‌شب گذشت...

و ناگهان همه چیز تغییر کرد.

در عرض چند ساعت، بیش از ۳۰ هزار رایانه تقریباً به‌طور هم‌زمان از کار افتادند.

نه فایل‌ها باقی مانده بودند...

نه سیستم‌عامل...

نه امکان راه‌اندازی دوباره رایانه‌ها.

تنها چیزی که کاربران روی صفحه نمایش می‌دیدند، تصویری از پرچمی در حال سوختن بود.


آرامکو؛ چرا این شرکت هدف قرار گرفت؟

برای درک ابعاد این حمله، ابتدا باید بدانیم Saudi Aramco چه جایگاهی در اقتصاد جهان دارد.

آرامکو فقط یک شرکت نفتی نیست.

این شرکت:

به زبان ساده، اگر فعالیت آرامکو برای مدت طولانی مختل شود، اثر آن فقط محدود به عربستان سعودی نخواهد بود؛ بلکه بازار جهانی انرژی نیز تحت تأثیر قرار می‌گیرد.

به همین دلیل، هدف قرار دادن آرامکو صرفاً حمله به یک شرکت نبود؛ بلکه پیامی به یکی از مهم‌ترین صنایع جهان محسوب می‌شد.


آغاز حمله؛ نفوذی که کسی متوجه آن نشد

مانند بسیاری از حملات پیشرفته، Shamoon نیز با انفجار و سروصدا آغاز نشد.

مهاجمان ابتدا وارد شبکه داخلی شدند.

دقیقاً هنوز مشخص نیست اولین نقطه نفوذ چه بوده است، اما پژوهشگران احتمال می‌دهند ترکیبی از موارد زیر نقش داشته باشد:

پس از ورود، بدافزار هفته‌ها در شبکه حرکت کرد.

این مرحله همان چیزی است که در امنیت سایبری به آن Reconnaissance یا شناسایی داخلی گفته می‌شود.

هدف مهاجم این نبود که سریع حمله کند.

او می‌خواست بداند:


روز موعود

در تاریخ ۱۵ آگوست ۲۰۱۲، Shamoon فعال شد.

اما برخلاف بسیاری از ویروس‌ها، مأموریت آن سرقت اطلاعات نبود.

حتی باج هم درخواست نمی‌کرد.

هدف بسیار ساده بود:

همه چیز را نابود کن.


Wiper؛ مفهومی که دنیا دوباره به یاد آورد

امروزه بسیاری از مردم با مفهوم Ransomware آشنا هستند.

باج‌افزار فایل‌ها را رمزنگاری می‌کند و در ازای دریافت پول، کلید رمزگشایی را ارائه می‌دهد.

اما Shamoon از نوع دیگری بود.

بدافزارهای این خانواده را Wiper Malware می‌نامند.

تفاوت بسیار مهمی میان این دو وجود دارد.

Ransomware

اما...

Wiper

به بیان دیگر، اگر باج‌افزار یک گروگان‌گیر باشد، Wiper بیشتر شبیه کسی است که ساختمان را آتش می‌زند.

Shamoon یکی از معروف‌ترین نمونه‌های این خانواده محسوب می‌شود.


Shamoon چگونه کار می‌کرد؟

بدافزار از سه بخش اصلی تشکیل شده بود.

۱. Dropper

بخش اولیه که بدافزار را روی سیستم اجرا می‌کرد.


۲. Wiper

قلب اصلی عملیات.

این بخش:

Master Boot Record یا MBR یکی از مهم‌ترین بخش‌های هارددیسک است.

رایانه هنگام روشن شدن، ابتدا این قسمت را می‌خواند.

اگر MBR آسیب ببیند، سیستم‌عامل دیگر بالا نمی‌آید.

به همین دلیل، بسیاری از رایانه‌های آلوده حتی امکان بوت شدن نیز نداشتند.


۳. Reporter

بخش سوم وضعیت عملیات را برای سرور فرماندهی ارسال می‌کرد.

به عبارت دیگر، مهاجمان می‌توانستند ببینند چند سیستم با موفقیت نابود شده‌اند.


چرا ۳۰ هزار رایانه تقریباً هم‌زمان از کار افتادند؟

این یکی از شاهکارهای طراحی Shamoon بود.

بدافزار بلافاصله پس از ورود فعال نمی‌شد.

بلکه:

این روش باعث شد تیم فناوری اطلاعات فرصت واکنش نداشته باشد.

وقتی اولین رایانه خاموش شد...

ده‌ها هزار سیستم دیگر نیز هم‌زمان در حال نابود شدن بودند.


تصویر پرچم در حال سوختن

یکی از جنجالی‌ترین بخش‌های Shamoon، تصویری بود که پس از تخریب سیستم‌ها نمایش داده می‌شد.

کاربران به جای ویندوز، تصویری از پرچم آمریکا در حال سوختن مشاهده می‌کردند.

این تصویر باعث شد بسیاری، حمله را دارای انگیزه سیاسی بدانند.

البته بعدها نسخه‌های دیگری از Shamoon نیز کشف شد که تصاویر متفاوتی نمایش می‌دادند.


آیا تولید نفت متوقف شد؟

اینجا نکته جالبی وجود دارد.

برخلاف تصور عمومی، تولید نفت تقریباً متوقف نشد.

چرا؟

زیرا شبکه فناوری اطلاعات (IT) از شبکه کنترل صنعتی (OT) جدا شده بود.

همین جداسازی باعث شد:

اگر این جداسازی وجود نداشت، احتمالاً خسارت بسیار بزرگ‌تر می‌شد.

این اتفاق بعدها به یکی از مثال‌های کلاسیک اهمیت Network Segmentation تبدیل شد.


خسارت واقعی چقدر بود؟

بر اساس گزارش‌های منتشرشده:

برخی گزارش‌ها می‌گویند کارکنان برای مدتی مجبور بودند از:

استفاده کنند؛ اتفاقی که برای یکی از پیشرفته‌ترین شرکت‌های نفتی جهان، تقریباً غیرقابل تصور بود.


چه کسی مسئول این حمله بود؟

چند روز پس از حمله، گروهی با نام Cutting Sword of Justice مسئولیت آن را بر عهده گرفت.

این گروه در بیانیه‌ای اعلام کرد که حمله در اعتراض به برخی سیاست‌های عربستان سعودی انجام شده است.

اما این پایان ماجرا نبود.

دولت آمریکا و تعدادی از شرکت‌های امنیت سایبری، با بررسی زیرساخت‌ها، کد بدافزار و سایر شواهد فنی، این عملیات را به بازیگران منتسب به ایران نسبت دادند.

با این حال:


چرا Shamoon هنوز اهمیت دارد؟

تا پیش از این حمله، بسیاری از مدیران تصور می‌کردند اگر اطلاعات شرکت پشتیبان‌گیری شده باشد، خطر جدی وجود ندارد.

اما Shamoon نشان داد که مهاجم می‌تواند به‌جای سرقت اطلاعات، زیرساخت فناوری اطلاعات یک سازمان را به‌طور کامل نابود کند.

از آن پس، مفاهیمی مانند:

از موضوعاتی لوکس به نیازهای حیاتی برای سازمان‌های بزرگ تبدیل شدند.

اما شاید مهم‌ترین درس Shamoon این بود که در جنگ سایبری، هدف همیشه سرقت اطلاعات نیست؛ گاهی مهاجم فقط می‌خواهد شما را از ادامه فعالیت بازدارد، حتی اگر خودش هیچ منفعت مالی مستقیمی به دست نیاورد.

 

فصل چهارم: Bangladesh Bank Heist؛ سرقتی که بدون اسلحه، ۸۱ میلیون دلار از بانک مرکزی ربود

در فیلم‌های هالیوودی، بزرگ‌ترین سرقت‌های بانکی با انفجار گاوصندوق، گروگان‌گیری و تعقیب‌وگریز همراه هستند. اما در سال ۲۰۱۶، گروهی از هکرها ثابت کردند برای سرقت ده‌ها میلیون دلار، حتی لازم نیست وارد ساختمان بانک شوید.

صبح روز جمعه، ۵ فوریه ۲۰۱۶، کارمندان بانک مرکزی بنگلادش با مشکلی عجیب روبه‌رو شدند.

چاپگر مخصوص تراکنش‌های بین‌المللی از شب گذشته از کار افتاده بود.

در نگاه اول، اتفاق مهمی به نظر نمی‌رسید. چاپگرها خراب می‌شوند؛ تعمیر می‌شوند و دوباره به کار برمی‌گردند.

اما این چاپگر خراب، در واقع مهم‌ترین سرنخ یکی از پیچیده‌ترین سرقت‌های تاریخ بانکداری جهان بود.

وقتی مشکل برطرف شد، کارکنان با ده‌ها پیام تأیید انتقال وجه مواجه شدند.

اما این انتقال‌ها را هیچ‌کس در بانک ثبت نکرده بود.

تقریباً یک میلیارد دلار در حال خروج از حساب بانک مرکزی بود.


بانک مرکزی بنگلادش؛ هدفی که کمتر کسی انتظارش را داشت

بانک مرکزی بنگلادش محل نگهداری بخشی از ذخایر ارزی این کشور بود.

بخش قابل‌توجهی از این ذخایر در حسابی نزد بانک فدرال رزرو نیویورک نگهداری می‌شد؛ روشی رایج میان بانک‌های مرکزی جهان برای تسهیل تسویه‌های بین‌المللی.

این حساب از طریق شبکه‌ای بسیار حساس به نام SWIFT قابل مدیریت بود.

همین شبکه، به نقطه آغاز یکی از بزرگ‌ترین سرقت‌های تاریخ تبدیل شد.


SWIFT چیست و چرا این‌قدر مهم است؟

بسیاری تصور می‌کنند وقتی از حسابی در یک کشور به حسابی در کشور دیگر پول منتقل می‌شود، بانک‌ها مستقیماً با هم ارتباط دارند.

واقعیت پیچیده‌تر است.

بیش از ۱۱ هزار مؤسسه مالی در سراسر جهان از شبکه‌ای به نام SWIFT (Society for Worldwide Interbank Financial Telecommunication) برای ارسال پیام‌های استاندارد مالی استفاده می‌کنند.

نکته بسیار مهم این است که:

SWIFT خودش پول جابه‌جا نمی‌کند.

بلکه پیام‌های رسمی و معتبر میان بانک‌ها را منتقل می‌کند؛ پیام‌هایی که به بانک مقصد می‌گویند چه مبلغی، از کدام حساب و به کجا منتقل شود.

به همین دلیل، اگر مهاجمی بتواند پیام‌های معتبر SWIFT ارسال کند، از دید بانک مقصد، همه‌چیز کاملاً قانونی به نظر می‌رسد.


اولین مرحله؛ نفوذ به بانک

بررسی‌های بعدی نشان داد مهاجمان مدت‌ها قبل از روز سرقت وارد شبکه بانک شده بودند.

مانند بسیاری از عملیات‌های پیشرفته، آن‌ها عجله‌ای نداشتند.

ابتدا:

به احتمال زیاد، نفوذ اولیه از طریق Spear Phishing یا بدافزار انجام شده بود؛ هرچند جزئیات دقیق آن هرگز به‌طور کامل منتشر نشد.


چرا چاپگر را از کار انداختند؟

این شاید هوشمندانه‌ترین بخش عملیات باشد.

در بانک مرکزی بنگلادش، هر پیام SWIFT پس از ارسال روی چاپگری اختصاصی چاپ می‌شد تا کارکنان بتوانند تراکنش‌ها را بررسی کنند.

اگر این چاپگر کار می‌کرد، کارکنان همان شب متوجه انتقال‌های مشکوک می‌شدند و احتمالاً بسیاری از آن‌ها را متوقف می‌کردند.

اما مهاجمان با آلوده کردن سیستم، چاپگر را از کار انداختند.

نتیجه؟

پیام‌های انتقال پول ارسال شدند، اما هیچ‌کس آن‌ها را ندید.

چند ساعت تأخیر، برای اجرای یکی از بزرگ‌ترین سرقت‌های تاریخ کافی بود.


سرقت چگونه انجام شد؟

مهاجمان حدود ۳۵ درخواست انتقال وجه از طریق SWIFT ارسال کردند.

مجموع این درخواست‌ها نزدیک به یک میلیارد دلار بود.

پول قرار بود به حساب‌هایی در:

منتقل شود.

اگر همه این درخواست‌ها تأیید می‌شد، احتمالاً بزرگ‌ترین سرقت بانکی تاریخ رقم می‌خورد.

اما اتفاقی غیرمنتظره، همه‌چیز را تغییر داد.


یک اشتباه تایپی که صدها میلیون دلار را نجات داد

یکی از درخواست‌ها به نام سازمانی ارسال شده بود که قرار بود پول به حساب آن واریز شود.

اما مهاجمان در نوشتن نام آن دچار اشتباه شدند.

به‌جای Foundation، واژه Fandation نوشته شده بود.

همین اشتباه کوچک باعث شد کارکنان یکی از بانک‌های واسط به درخواست مشکوک شوند.

هم‌زمان، برخی تراکنش‌های دیگر نیز به دلیل تطابق با فهرست تحریم‌ها یا کنترل‌های داخلی متوقف شدند.

در نهایت، بیشتر درخواست‌های انتقال رد شد.

اما همه آن‌ها نه.


۸۱ میلیون دلار؛ پولی که ناپدید شد

از مجموع درخواست‌ها، حدود ۸۱ میلیون دلار با موفقیت به حساب‌هایی در فیلیپین منتقل شد.

پس از آن، پول با سرعت بسیار بالا میان چندین حساب جابه‌جا شد و بخش بزرگی از آن وارد کازینوها و شبکه‌های پول‌شویی شد.

همین موضوع، ردیابی وجوه را بسیار دشوار کرد.

سال‌ها بعد نیز تنها بخشی از این مبلغ بازیابی شد.


چرا این حمله این‌قدر خاص بود؟

بیشتر حملات سایبری با هدف:

انجام می‌شوند.

اما Bangladesh Bank Heist هدف دیگری داشت:

سرقت مستقیم پول از سیستم مالی بین‌المللی.

مهاجمان نه کارت بانکی دزدیدند، نه رمز عبور مشتریان را منتشر کردند و نه وب‌سایت بانک را از کار انداختند.

آن‌ها از سازوکار رسمی بانکداری جهانی علیه خود بانک استفاده کردند.

همین موضوع باعث شد بسیاری از کارشناسان این حمله را یکی از هوشمندانه‌ترین نمونه‌های سوءاستفاده از اعتماد در تاریخ امنیت سایبری بدانند.


چه کسی پشت این عملیات بود؟

هیچ گروهی مسئولیت این سرقت را بر عهده نگرفت.

با این حال، تحقیقات انجام‌شده توسط شرکت‌های امنیت سایبری و نهادهای اطلاعاتی، شباهت‌های قابل‌توجهی میان این عملیات و فعالیت‌های گروه Lazarus Group پیدا کرد.

این گروه که به‌طور گسترده به کره شمالی منتسب می‌شود، پیش از این نیز به حملات مالی پیچیده و سرقت از مؤسسات مالی متهم شده بود.

دولت ایالات متحده و چند کشور دیگر، بعدها این عملیات را نیز به Lazarus نسبت دادند.

دولت کره شمالی این اتهامات را رد کرده است.

به همین دلیل، در منابع تخصصی از این حمله به‌عنوان عملیاتی منتسب به Lazarus Group یاد می‌شود، نه حمله‌ای با انتساب قطعی.


Lazarus؛ گروهی که بانک‌ها را هدف قرار داد

برخلاف بسیاری از گروه‌های APT که تمرکز آن‌ها بر جاسوسی است، Lazarus به دلیل حملات مالی گسترده شناخته می‌شود.

در سال‌های بعد، این گروه به حملات بزرگی نیز منتسب شد؛ از جمله:

همین سابقه باعث شد Bangladesh Bank Heist به یکی از شناخته‌شده‌ترین عملیات‌های منتسب به این گروه تبدیل شود.


این حمله چه مفاهیم جدیدی را وارد دنیای امنیت کرد؟

Bangladesh Bank Heist چند درس مهم برای صنعت بانکداری داشت:

۱. امنیت زیرساخت از امنیت نرم‌افزار مهم‌تر است

شبکه SWIFT هک نشد.

آنچه هک شد، رایانه‌ای بود که به SWIFT دسترسی داشت.

این تفاوت بسیار مهم است.


۲. اعتماد کورکورانه خطرناک است

بانک‌ها سال‌ها تصور می‌کردند هر پیام SWIFT معتبر است.

این حمله نشان داد اگر مهاجم بتواند از داخل بانک پیام ارسال کند، همان سازوکار امن نیز می‌تواند علیه خود بانک استفاده شود.


۳. لاگ‌ها و تجهیزات جانبی هم حیاتی هستند

یک چاپگر خراب، شاید در نگاه اول مسئله مهمی نباشد.

اما در این پرونده، همان چاپگر تنها راه کشف فوری سرقت بود.

پس از این حادثه، بسیاری از بانک‌ها روش‌های مانیتورینگ، ثبت رویدادها و کنترل تراکنش‌های SWIFT را بازطراحی کردند.


میراث Bangladesh Bank Heist

این حمله فقط یک سرقت ۸۱ میلیون دلاری نبود.

بلکه زنگ خطری برای کل نظام مالی جهان بود.

بانک‌ها دریافتند که امنیت، فقط به رمزنگاری و فایروال محدود نمی‌شود؛ بلکه فرآیندها، نیروی انسانی، تجهیزات جانبی و نظارت مستمر نیز به همان اندازه اهمیت دارند.

Bangladesh Bank Heist نشان داد که در عصر دیجیتال، بزرگ‌ترین سرقت‌های بانکی دیگر با انفجار گاوصندوق انجام نمی‌شوند؛ بلکه با چند پیام معتبر، چند خط کد و هفته‌ها صبر و برنامه‌ریزی ممکن است رخ دهند.

فصل پنجم: WannaCry؛ روزی که بیمارستان‌ها خاموش شدند و جهان فهمید باج‌افزار فقط یک مشکل کامپیوتری نیست

جمعه، ۱۲ می ۲۰۱۷. بسیاری از کارکنان شرکت‌ها و سازمان‌های دولتی، آخرین ساعات کاری هفته را می‌گذراندند. کمتر از چند ساعت بعد، یکی از سریع‌ترین و گسترده‌ترین حملات سایبری تاریخ آغاز شد؛ حمله‌ای که تنها در یک روز، بیش از ۲۰۰ هزار رایانه را در بیش از ۱۵۰ کشور آلوده کرد.

اما چیزی که WannaCry را به یک حمله تاریخی تبدیل کرد، فقط سرعت انتشار آن نبود.

برای نخستین بار، میلیون‌ها نفر در سراسر جهان با چشمان خود دیدند که یک حمله سایبری می‌تواند:

تا پیش از آن، امنیت سایبری برای بسیاری از مدیران، موضوعی مربوط به «واحد فناوری اطلاعات» بود.

بعد از WannaCry، دیگر همه فهمیدند امنیت سایبری، موضوعی مرتبط با ادامه حیات یک سازمان است.


دنیایی که برای این حمله آماده نبود

برای درک ابعاد فاجعه باید به وضعیت ویندوز در سال ۲۰۱۷ نگاه کنیم.

در آن زمان، هنوز میلیون‌ها رایانه در سراسر جهان از نسخه‌های قدیمی ویندوز مانند:

استفاده می‌کردند.

بسیاری از این سیستم‌ها سال‌ها به‌روزرسانی نشده بودند.

در بیمارستان‌ها، بانک‌ها، کارخانه‌ها و سازمان‌های دولتی، تجهیزات پزشکی و صنعتی قدیمی به همین سیستم‌عامل‌ها وابسته بودند و ارتقای آن‌ها هزینه و ریسک بالایی داشت.

این یعنی میلیون‌ها هدف بالقوه، آماده آلوده شدن بودند.


EternalBlue؛ سلاحی که هرگز قرار نبود منتشر شود

داستان WannaCry بدون آشنایی با EternalBlue کامل نمی‌شود.

چند ماه قبل از این حمله، گروهی با نام Shadow Brokers مجموعه‌ای از ابزارهای نفوذ منتسب به آژانس امنیت ملی آمریکا (NSA) را منتشر کرد.

در میان این ابزارها، یکی از خطرناک‌ترین اکسپلویت‌های تاریخ قرار داشت:

EternalBlue

این ابزار از آسیب‌پذیری موجود در پروتکل SMBv1 (Server Message Block) ویندوز سوءاستفاده می‌کرد.

SMB پروتکلی است که برای اشتراک‌گذاری فایل‌ها و چاپگرها در شبکه‌های ویندوزی استفاده می‌شود.

اگر سیستمی وصله امنیتی مایکروسافت را دریافت نکرده بود، EternalBlue می‌توانست بدون نیاز به دانستن رمز عبور یا دخالت کاربر، کد مخرب را روی آن اجرا کند.

این یعنی مهاجم تنها با دسترسی شبکه، قادر بود کنترل کامل سیستم را به دست بگیرد.


مایکروسافت هشدار داده بود

دو ماه پیش از حمله، مایکروسافت وصله امنیتی MS17-010 را منتشر کرده بود.

اما میلیون‌ها سیستم هرگز آن را نصب نکردند.

برخی سازمان‌ها به دلیل نگرانی از ناسازگاری نرم‌افزارهای قدیمی، به‌روزرسانی را به تعویق انداختند.

برخی دیگر اصلاً از وجود این وصله خبر نداشتند.

همین تأخیر، هزینه‌ای میلیارددلاری به همراه داشت.


WannaCry چگونه کار می‌کرد؟

در نگاه اول، WannaCry یک باج‌افزار معمولی به نظر می‌رسید.

پس از آلوده کردن سیستم:

اما تفاوت اصلی آن با باج‌افزارهای قبلی، قابلیت انتشار خودکار بود.


ترکیب دو سلاح در یک بدافزار

WannaCry در واقع ترکیبی از دو نوع حمله بود:

اول: Ransomware

رمزنگاری فایل‌ها و درخواست باج.

دوم: Worm

کرم‌های رایانه‌ای (Worm) برخلاف ویروس‌ها، برای انتشار نیازی به دخالت کاربر ندارند.

آن‌ها پس از آلوده کردن یک سیستم، به‌طور خودکار سایر سیستم‌های آسیب‌پذیر در شبکه را پیدا می‌کنند و آن‌ها را نیز آلوده می‌کنند.

WannaCry از EternalBlue برای همین کار استفاده کرد.

در نتیجه:

یک رایانه آلوده می‌توانست در عرض چند دقیقه، صدها رایانه دیگر را در همان شبکه آلوده کند.

همین ویژگی باعث شد سرعت انتشار آن با بسیاری از بدافزارهای قبلی قابل مقایسه نباشد.


کمتر از یک روز؛ فاجعه جهانی

در کمتر از ۲۴ ساعت، نقشه اینترنت پر از نقاط قرمز شد.

شرکت‌های امنیتی شاهد موجی بی‌سابقه از آلودگی بودند.

قربانیان از سراسر جهان گزارش می‌دادند که فایل‌هایشان قفل شده است.

اما اتفاقات دردناک‌تر تازه در راه بود.


وقتی بیمارستان‌ها از کار افتادند

یکی از بزرگ‌ترین قربانیان، سازمان خدمات درمانی ملی بریتانیا (NHS) بود.

ده‌ها بیمارستان و مرکز درمانی با مشکلات جدی روبه‌رو شدند.

نتایج حمله شامل موارد زیر بود:

برای نخستین بار، جهان با این واقعیت روبه‌رو شد که یک حمله سایبری می‌تواند مستقیماً کیفیت خدمات درمانی را کاهش دهد و در شرایط بحرانی، جان بیماران را نیز به خطر بیندازد.


کارخانه‌هایی که ناگهان متوقف شدند

WannaCry فقط بیمارستان‌ها را هدف قرار نداد.

کارخانه‌های بزرگی نیز فعالیت خود را متوقف کردند.

از جمله:

در بسیاری از موارد، مدیران تصمیم گرفتند کل شبکه را خاموش کنند تا از انتشار بیشتر بدافزار جلوگیری شود.


چرا این حمله این‌قدر سریع گسترش یافت؟

سه عامل اصلی باعث موفقیت WannaCry شد:

۱. استفاده از آسیب‌پذیری بسیار قدرتمند

EternalBlue یکی از مؤثرترین اکسپلویت‌های عمومی آن زمان بود.


۲. میلیون‌ها سیستم وصله‌نشده

اگرچه وصله امنیتی منتشر شده بود، اما بسیاری از سازمان‌ها آن را نصب نکرده بودند.


۳. قابلیت Worm

این ویژگی باعث شد آلودگی بدون نیاز به کلیک کاربر، از یک رایانه به رایانه دیگر منتقل شود.

به همین دلیل، WannaCry بیشتر شبیه یک بیماری واگیردار بود تا یک باج‌افزار معمولی.


قهرمان غیرمنتظره؛ جوانی که دنیا را نجات داد

در اوج بحران، پژوهشگر امنیتی جوانی با نام مستعار MalwareTech (نام واقعی: Marcus Hutchins) در حال تحلیل کد بدافزار بود.

او متوجه شد بدافزار قبل از اجرا، تلاش می‌کند به دامنه‌ای بسیار عجیب متصل شود.

این دامنه ثبت نشده بود.

هیوچینز برای بررسی بیشتر، دامنه را با هزینه‌ای حدود ۱۰ دلار ثبت کرد.

اتفاقی عجیب رخ داد.

ناگهان سرعت انتشار WannaCry به‌شدت کاهش یافت.


Kill Switch؛ اشتباهی که به نجات جهان انجامید

سازندگان WannaCry مکانیزمی در بدافزار قرار داده بودند که بعدها به نام Kill Switch شناخته شد.

اگر بدافزار موفق می‌شد به آن دامنه متصل شود، اجرای خود را متوقف می‌کرد.

هدف اصلی این مکانیزم احتمالاً جلوگیری از تحلیل بدافزار در محیط‌های آزمایشگاهی (Sandbox) بود، اما ثبت همان دامنه باعث شد میلیون‌ها نسخه از WannaCry تصور کنند در محیط تحلیل قرار دارند و از ادامه فعالیت منصرف شوند.

البته این پایان حمله نبود؛ نسخه‌های دیگری بدون Kill Switch نیز بعدها مشاهده شدند، اما نسخه اصلی تا حد زیادی مهار شد.


آیا مهاجمان واقعاً پول زیادی به دست آوردند؟

شاید عجیب باشد، اما پاسخ خیر است.

با وجود خسارت‌های میلیارددلاری، مبلغی که از طریق کیف‌پول‌های بیت‌کوین مرتبط با WannaCry دریافت شد، در مقایسه با ابعاد حمله بسیار ناچیز بود.

همین موضوع باعث شد برخی پژوهشگران معتقد باشند هدف اصلی عملیات، صرفاً کسب درآمد نبوده است.


چه کسی پشت WannaCry بود؟

پس از ماه‌ها تحقیق، دولت‌های:

و چند کشور دیگر، این حمله را به Lazarus Group منتسب کردند؛ گروهی که به‌طور گسترده با کره شمالی مرتبط دانسته می‌شود.

شرکت‌های امنیت سایبری مانند Symantec، Kaspersky و دیگران نیز شباهت‌هایی میان کد WannaCry و نمونه‌های قبلی منتسب به Lazarus پیدا کردند.

با این حال، دولت کره شمالی هرگونه دخالت را رد کرده است و این انتساب همچنان بر پایه تحلیل‌های فنی و اطلاعاتی انجام می‌شود، نه پذیرش رسمی مسئولیت.


درس‌هایی که WannaCry به دنیا داد

اگر استاکس‌نت اهمیت امنیت زیرساخت‌های صنعتی را نشان داد و Operation Aurora ارزش اطلاعات را آشکار کرد، WannaCry یک پیام ساده اما حیاتی داشت:

به‌روزرسانی نکردن سیستم‌ها، می‌تواند هزینه‌ای بسیار بیشتر از توقف چند دقیقه‌ای سرویس‌ها داشته باشد.

پس از این حمله، سازمان‌ها در سراسر جهان سرمایه‌گذاری بیشتری روی موارد زیر انجام دادند:

اما مهم‌تر از همه، WannaCry نشان داد که امنیت سایبری دیگر فقط دغدغه مدیران فناوری اطلاعات نیست؛ بلکه موضوعی است که می‌تواند بر سلامت، اقتصاد، حمل‌ونقل و حتی امنیت ملی کشورها تأثیر مستقیم بگذارد.


میراث WannaCry

WannaCry یکی از نخستین حملاتی بود که میلیون‌ها نفر از مردم عادی نام آن را شنیدند. تصاویر بیمارستان‌های مختل‌شده، کارخانه‌های تعطیل و صفحه قرمز درخواست باج، برای همیشه در حافظه جمعی دنیای فناوری باقی ماند.

این حمله ثابت کرد که در عصر دیجیتال، یک آسیب‌پذیری وصله‌نشده می‌تواند در عرض چند ساعت، به بحرانی جهانی تبدیل شود. از آن پس، مدیران سازمان‌ها دیگر امنیت را یک هزینه اضافی نمی‌دیدند؛ بلکه آن را بخشی جدایی‌ناپذیر از تداوم کسب‌وکار می‌دانستند.

 

فصل ششم: NotPetya؛ بدافزاری که دنیا را فریب داد و گران‌ترین حمله سایبری تاریخ را رقم زد

اگر از متخصصان امنیت سایبری بپرسید مخرب‌ترین بدافزار تاریخ چیست، بسیاری بدون لحظه‌ای تردید یک نام را می‌گویند: NotPetya.

جالب اینجاست که NotPetya حتی یک باج‌افزار واقعی هم نبود.

در روزهای نخست، همه تصور می‌کردند با نمونه‌ای جدید از خانواده باج‌افزار Petya روبه‌رو هستند. صفحه‌ای قرمز ظاهر می‌شد، فایل‌ها غیرقابل دسترس می‌شدند و مهاجم درخواست پرداخت ۳۰۰ دلار بیت‌کوین می‌کرد.

همه چیز شبیه یک حمله باج‌افزاری معمولی بود.

اما فقط چند روز طول کشید تا پژوهشگران متوجه شوند حقیقت، بسیار تاریک‌تر از آن چیزی است که تصور می‌شد.

NotPetya اصلاً برای دریافت باج طراحی نشده بود.

هدف آن فقط یک چیز بود:

تخریب.


تابستان ۲۰۱۷؛ هنوز دنیا از شوک WannaCry خارج نشده بود

فقط شش هفته از حمله جهانی WannaCry گذشته بود.

سازمان‌ها هنوز درگیر نصب وصله‌های امنیتی، بررسی خسارت‌ها و بازسازی شبکه‌های خود بودند.

بسیاری تصور می‌کردند بدترین بحران امنیت سایبری سال را پشت سر گذاشته‌اند.

اما در ظهر روز ۲۷ ژوئن ۲۰۱۷، حمله‌ای آغاز شد که حتی از WannaCry نیز خطرناک‌تر بود.

در ابتدا، گزارش‌ها فقط از اوکراین می‌آمد.

بانک‌ها از کار افتاده بودند.

فرودگاه‌ها دچار اختلال شده بودند.

شرکت‌های حمل‌ونقل فعالیت خود را متوقف کرده بودند.

اما چند ساعت بعد...

این حمله از مرزهای اوکراین عبور کرد.


نقطه شروع؛ یک به‌روزرسانی نرم‌افزار

بیشتر حملات با یک ایمیل فیشینگ آغاز می‌شوند.

اما NotPetya راه متفاوتی را انتخاب کرد.

مهاجمان موفق شدند به شرکت سازنده نرم‌افزار حسابداری محبوبی به نام M.E.Doc نفوذ کنند؛ نرم‌افزاری که هزاران شرکت اوکراینی برای امور مالی و مالیاتی از آن استفاده می‌کردند.

کاربران طبق روال همیشگی، آخرین به‌روزرسانی نرم‌افزار را دریافت کردند.

اما این بار، به‌جای یک فایل سالم، بدافزار وارد شبکه آن‌ها شد.

این دقیقاً همان مفهومی است که امروز آن را Supply Chain Attack می‌نامیم.


Supply Chain Attack؛ وقتی به نرم‌افزار خودتان هم نمی‌توانید اعتماد کنید

تا پیش از NotPetya، بیشتر مدیران تصور می‌کردند اگر نرم‌افزاری را از شرکت سازنده دانلود کنند، امنیت آن تضمین شده است.

اما این حمله ثابت کرد:

گاهی خود شرکت سازنده قربانی می‌شود.

در Supply Chain Attack، مهاجم مستقیماً به قربانی نهایی حمله نمی‌کند.

او ابتدا یکی از تأمین‌کنندگان نرم‌افزار، سخت‌افزار یا خدمات را آلوده می‌کند.

سپس قربانی، با اعتماد کامل، بدافزار را خودش نصب می‌کند.

این یکی از خطرناک‌ترین مفاهیم امنیت سایبری مدرن است؛ مفهومی که سه سال بعد در حمله SolarWinds دوباره جهان را شوکه کرد.


اما چرا فقط اوکراین؟

پژوهشگران معتقدند هدف اولیه عملیات، زیرساخت‌های اوکراین بود.

در آن زمان، بسیاری از شرکت‌های اوکراینی برای ارسال گزارش‌های مالیاتی، ناچار به استفاده از M.E.Doc بودند.

به همین دلیل، آلوده کردن این نرم‌افزار، راهی بسیار مؤثر برای نفوذ به هزاران سازمان بود.

اما مشکل اینجا بود که اقتصاد امروز جهانی است.

بسیاری از شرکت‌های بین‌المللی نیز در اوکراین شعبه داشتند.

وقتی یکی از دفاتر آن‌ها آلوده شد...

بدافزار وارد شبکه جهانی همان شرکت شد.

و اینجا بود که فاجعه آغاز شد.


چرا نام آن NotPetya شد؟

در ابتدا، همه تصور می‌کردند نسخه جدیدی از باج‌افزار Petya منتشر شده است.

اما بررسی کد نشان داد:

تقریباً هیچ ارتباطی با Petya اصلی ندارد.

از آن زمان، پژوهشگران برای جلوگیری از اشتباه، نام NotPetya را برای آن انتخاب کردند.


باج‌افزاری که اصلاً قصد دریافت باج نداشت

در ظاهر، قربانی پیام زیر را می‌دید:

فایل‌های شما رمزنگاری شده‌اند. برای بازیابی آن‌ها ۳۰۰ دلار بیت‌کوین پرداخت کنید.

اما در عمل...

پرداخت باج تقریباً هیچ فایده‌ای نداشت.

چرا؟

زیرا مکانیزم بازیابی فایل‌ها عملاً وجود نداشت.

ایمیل تماس مهاجمان نیز خیلی زود توسط سرویس‌دهنده مسدود شد.

هیچ سامانه‌ای برای ثبت پرداخت‌ها طراحی نشده بود.

هیچ کلید اختصاصی برای قربانیان تولید نمی‌شد.

در واقع، حتی اگر همه قربانیان پول پرداخت می‌کردند، راهی برای بازگرداندن اطلاعات وجود نداشت.

به همین دلیل، متخصصان امنیت نتیجه گرفتند که پیام درخواست باج، صرفاً پوششی برای پنهان کردن ماهیت واقعی بدافزار بوده است.


Wiper در لباس Ransomware

در فصل Shamoon با مفهوم Wiper آشنا شدیم.

NotPetya همان ایده را با ظاهری متفاوت اجرا کرد.

به‌جای اینکه مستقیم اعلام کند اطلاعات را نابود می‌کند، وانمود کرد یک باج‌افزار است.

اما در پشت پرده، ساختار فایل‌ها را به شکلی تغییر می‌داد که عملاً بازیابی آن‌ها غیرممکن می‌شد.

این تفاوت بسیار مهمی بود.

اگر هدف درآمد باشد، مهاجم باید بتواند فایل‌ها را پس از دریافت پول بازگرداند.

اما اگر هدف تخریب باشد...

اصلاً نیازی به چنین قابلیتی وجود ندارد.


شاهکار فنی NotPetya؛ انتشار برق‌آسا

اگر سرعت WannaCry شما را شگفت‌زده کرد، NotPetya یک گام جلوتر بود.

این بدافزار فقط به EternalBlue متکی نبود.

پس از آلوده کردن اولین سیستم، تلاش می‌کرد:

این تکنیک‌ها باعث شد حتی شبکه‌هایی که آسیب‌پذیری EternalBlue را وصله کرده بودند نیز در امان نباشند.


Living off the Land؛ استفاده از ابزارهای خود ویندوز

یکی از مهم‌ترین مفاهیمی که پس از NotPetya بیش از گذشته مورد توجه قرار گرفت، Living off the Land بود.

در این روش، مهاجم به‌جای نصب ابزارهای عجیب، از همان ابزارهایی استفاده می‌کند که مدیران سیستم هر روز از آن‌ها استفاده می‌کنند.

مزیت این روش چیست؟

تشخیص آن بسیار دشوارتر است.

وقتی یک مدیر شبکه از PsExec استفاده می‌کند، طبیعی است.

اما اگر مهاجم همان ابزار را با همان دسترسی اجرا کند، تشخیص رفتار مخرب بسیار سخت‌تر خواهد بود.

امروزه تقریباً تمام گروه‌های APT از این تکنیک استفاده می‌کنند.


شرکت‌هایی که ناگهان فلج شدند

اگرچه هدف اولیه اوکراین بود، اما خسارت واقعی در سراسر جهان احساس شد.

یکی از معروف‌ترین قربانیان، شرکت کشتیرانی Maersk بود.

Maersk حدود ۲۰ درصد حمل‌ونقل کانتینری جهان را انجام می‌دهد.

چند ساعت پس از آلودگی:

مدیران شرکت بعدها گفتند:

تقریباً تمام زیرساخت فناوری اطلاعات آن‌ها از کار افتاده بود.

برای بازگرداندن شبکه، هزاران سرور و ده‌ها هزار رایانه مجدداً نصب شدند.

روایت مشهور مهندسان Maersk از بازیابی یکی از کنترل‌کننده‌های دامنه سالم از دفتری در غنا، بعدها به یکی از داستان‌های کلاسیک تاب‌آوری سایبری تبدیل شد؛ زیرا همان نسخه سالم نقش مهمی در بازسازی زیرساخت هویتی شرکت داشت.


قربانیان فقط Maersk نبودند

شرکت‌های بزرگ دیگری نیز آسیب دیدند، از جمله:

در بسیاری از این شرکت‌ها، خطوط تولید برای روزها یا هفته‌ها متوقف شد.

این حمله نشان داد که حتی اگر شرکت شما در کشور هدف نباشد، ارتباط با یک شعبه آلوده یا یک زنجیره تأمین مشترک می‌تواند شما را نیز قربانی کند.


گران‌ترین حمله سایبری تاریخ

برآورد خسارت NotPetya سرسام‌آور بود.

کارشناسان مجموع خسارت جهانی را بیش از ۱۰ میلیارد دلار تخمین زده‌اند.

این رقم شامل:

بود.

به همین دلیل، بسیاری از منابع امنیتی و اقتصادی، NotPetya را گران‌ترین حمله سایبری تاریخ می‌دانند.


چه کسی پشت NotPetya بود؟

هیچ گروهی مسئولیت این عملیات را بر عهده نگرفت.

با این حال، دولت‌های:

و چند کشور دیگر، این حمله را به بازیگران منتسب به روسیه نسبت دادند و آن را با گروهی که در گزارش‌های امنیتی با نام Sandworm شناخته می‌شود مرتبط دانستند.

دولت روسیه این اتهامات را رد کرده است.

مانند بسیاری از عملیات‌های سایبری در سطح دولت‌ها، انتساب بر پایه مجموعه‌ای از شواهد فنی، اطلاعاتی و تحلیل‌های بین‌المللی انجام شده است، نه پذیرش رسمی مسئولیت.


مهم‌ترین درس NotPetya

اگر بخواهیم تنها یک جمله از این حمله به خاطر بسپاریم، شاید این باشد:

گاهی خطرناک‌ترین بدافزارها، آن‌هایی هستند که اصلاً قصد کسب درآمد ندارند.

NotPetya نشان داد که یک حمله می‌تواند با هدف ایجاد اختلال اقتصادی، بی‌ثبات کردن زیرساخت‌ها و وارد کردن خسارت گسترده طراحی شود؛ حتی اگر مهاجمان هیچ سود مالی مستقیمی از آن نبرند.

همچنین این حمله باعث شد مفاهیمی مانند:

به اولویت‌های اصلی سازمان‌های بزرگ تبدیل شوند.


میراث NotPetya

اگر WannaCry به دنیا یاد داد که وصله‌های امنیتی را جدی بگیرد، NotPetya درس سخت‌تری داد:

حتی اگر سیستم‌های خودتان را ایمن کرده باشید، امنیت شما به امنیت تأمین‌کنندگان، شرکای تجاری و نرم‌افزارهایی که به آن‌ها اعتماد می‌کنید نیز وابسته است.

این حمله، مفهوم ریسک زنجیره تأمین را از یک نگرانی نظری به واقعیتی انکارناپذیر تبدیل کرد؛ واقعیتی که تنها سه سال بعد، در حمله مشهور SolarWinds دوباره با ابعادی حتی پیچیده‌تر خود را نشان داد.

 

فصل هفتم: حمله به شبکه برق اوکراین؛ نخستین خاموشی بزرگ که با چند کلیک آغاز شد

۲۳ دسامبر ۲۰۱۵. کمتر از دو روز به کریسمس مانده بود. هوا سرد بود و هزاران خانواده اوکراینی خود را برای تعطیلات آماده می‌کردند. اما در ساعت ۳:۳۰ بعدازظهر، چراغ خانه‌ها یکی پس از دیگری خاموش شد.

در ابتدا، بسیاری تصور کردند مشکل از طوفان زمستانی یا نقص فنی است.

اما مهندسان شرکت‌های توزیع برق، وقتی وارد سامانه‌های کنترل شدند، با صحنه‌ای روبه‌رو شدند که پیش از آن تنها در فیلم‌های علمی‌تخیلی دیده بودند.

نشانگر ماوس روی صفحه حرکت می‌کرد...

اما هیچ‌کس پشت رایانه ننشسته بود.

کلیدهای قطع برق یکی پس از دیگری فعال می‌شدند.

پست‌های برق از راه دور خاموش می‌شدند.

و اپراتورها فقط نظاره‌گر بودند.

این نخستین حمله شناخته‌شده‌ای بود که به‌طور مستقیم باعث قطع برق گسترده برای شهروندان شد و ثابت کرد که جنگ سایبری دیگر محدود به سرقت اطلاعات یا از کار انداختن وب‌سایت‌ها نیست؛ بلکه می‌تواند زندگی روزمره مردم را مختل کند.


شبکه برق؛ یکی از پیچیده‌ترین سامانه‌های جهان

بسیاری تصور می‌کنند شبکه برق فقط مجموعه‌ای از کابل‌ها و نیروگاه‌هاست.

اما واقعیت بسیار پیچیده‌تر است.

یک شبکه برق مدرن از هزاران جزء تشکیل شده است:

همه این اجزا از طریق سامانه‌هایی موسوم به SCADA (Supervisory Control and Data Acquisition) مدیریت می‌شوند.

SCADA به اپراتورها اجازه می‌دهد از صدها کیلومتر دورتر:

همین قابلیت که بهره‌وری شبکه را افزایش داده بود، به نقطه ورود مهاجمان نیز تبدیل شد.


حمله‌ای که ماه‌ها قبل آغاز شده بود

برخلاف تصور عمومی، خاموشی برق در دسامبر ۲۰۱۵ فقط چند دقیقه طول کشید؛ اما عملیات سایبری ماه‌ها قبل آغاز شده بود.

تحقیقات بعدی نشان داد مهاجمان مدت زیادی را صرف آماده‌سازی کرده بودند.

مراحل حمله تقریباً به این شکل بود:

  1. ارسال ایمیل‌های فیشینگ به کارکنان شرکت‌های برق.

  2. آلوده کردن رایانه‌های داخلی.

  3. سرقت اطلاعات ورود کارکنان.

  4. حرکت جانبی در شبکه.

  5. شناسایی سامانه‌های SCADA.

  6. مطالعه دقیق فرآیندهای عملیاتی.

  7. انتخاب زمان مناسب برای اجرای حمله.

این دقیقاً همان الگوی Advanced Persistent Threat (APT) بود که پیش‌تر در Operation Aurora نیز مشاهده کردیم.


BlackEnergy؛ بدافزاری که راه را باز کرد

یکی از ابزارهای اصلی مهاجمان، بدافزاری به نام BlackEnergy بود.

نسخه‌های اولیه BlackEnergy سال‌ها قبل برای حملات DDoS طراحی شده بودند، اما در طول زمان به بستری برای جاسوسی، جمع‌آوری اطلاعات و اجرای ماژول‌های مخرب تبدیل شدند.

در حمله به اوکراین، این بدافزار به مهاجمان کمک کرد تا:

اما BlackEnergy تنها ابزار آن‌ها نبود.


وقتی هکرها مانند اپراتور برق عمل کردند

یکی از شگفت‌انگیزترین بخش‌های این عملیات، نحوه اجرای آن بود.

مهاجمان آسیب‌پذیری ناشناخته‌ای در تجهیزات صنعتی پیدا نکرده بودند.

آن‌ها کار بسیار ساده‌تری انجام دادند.

با استفاده از نام کاربری و رمز عبور واقعی کارکنان، وارد سامانه SCADA شدند.

سپس دقیقاً همان کاری را انجام دادند که یک اپراتور مجاز انجام می‌دهد:

در واقع، بسیاری از دستورات ارسال‌شده کاملاً قانونی بودند.

تنها تفاوت این بود که شخص پشت صفحه‌کلید، یک مهاجم بود.

این حمله بار دیگر نشان داد که گاهی سرقت اعتبارنامه‌ها بسیار ارزشمندتر از کشف یک آسیب‌پذیری پیچیده است.


حمله فقط به برق محدود نبود

اگر مهاجمان فقط برق را قطع می‌کردند، احتمالاً شرکت‌ها خیلی زود شبکه را بازیابی می‌کردند.

اما آن‌ها برای هر مرحله برنامه داشتند.

هم‌زمان با قطع برق:

هزاران تماس هم‌زمان باعث شد مشترکان نتوانند خرابی را گزارش دهند یا اطلاعات دریافت کنند.

این هماهنگی نشان می‌داد مهاجمان صرفاً برنامه‌نویسان ماهری نبودند؛ بلکه فرآیندهای عملیاتی شرکت‌های برق را نیز به‌خوبی مطالعه کرده بودند.


KillDisk؛ مرحله پایانی عملیات

پس از پایان خاموشی، مهاجمان ابزار دیگری را فعال کردند:

KillDisk

وظیفه این بدافزار، پاک کردن فایل‌ها و تخریب برخی سیستم‌ها بود تا فرآیند بازیابی دشوارتر شود.

به این ترتیب، حتی پس از بازگشت برق، تیم‌های فناوری اطلاعات با شبکه‌ای روبه‌رو بودند که بخشی از آن عمداً تخریب شده بود.

این الگو را بعدها دوباره در حملاتی مانند NotPetya نیز مشاهده کردیم؛ جایی که هدف فقط ایجاد اختلال لحظه‌ای نبود، بلکه افزایش هزینه و زمان بازیابی نیز اهمیت داشت.


چه تعداد از مردم تحت تأثیر قرار گرفتند؟

برآوردها نشان می‌دهد حدود ۲۲۵ هزار تا ۲۵۰ هزار نفر برای چند ساعت برق خود را از دست دادند.

در مقایسه با خاموشی‌های ناشی از بلایای طبیعی، این عدد شاید بزرگ به نظر نرسد.

اما اهمیت تاریخی این حمله در تعداد قربانیان نبود.

برای نخستین بار، جهان دید که یک حمله سایبری می‌تواند مستقیماً زیرساخت حیاتی یک کشور را مختل کند.


آیا مهاجمان فقط از بدافزار استفاده کردند؟

خیر.

یکی از مهم‌ترین ویژگی‌های این عملیات، ترکیب چندین تکنیک مختلف بود:

امروزه این نوع عملیات را Multi-Stage Attack یا حمله چندمرحله‌ای می‌نامند.

موفقیت حمله، نتیجه یک ابزار خاص نبود؛ بلکه حاصل هماهنگی دقیق میان چندین تکنیک مختلف بود.


چه کسی پشت این حمله بود؟

شرکت‌های امنیت سایبری مانند ESET، Dragos و دیگر پژوهشگران، با بررسی شواهد فنی، این عملیات را به گروهی که با نام Sandworm شناخته می‌شود منتسب کردند.

دولت‌های آمریکا و چند کشور غربی نیز در سال‌های بعد، این گروه را با نهادهای اطلاعاتی و نظامی روسیه مرتبط دانستند.

دولت روسیه این اتهامات را رد کرده است.

در ادبیات امنیت سایبری، حمله به شبکه برق اوکراین معمولاً به‌عنوان عملیاتی منتسب به Sandworm شناخته می‌شود.


یک سال بعد؛ حمله‌ای حتی پیشرفته‌تر

ماجرا به همین‌جا ختم نشد.

در سال ۲۰۱۶، حمله دیگری علیه شبکه برق اوکراین رخ داد.

این بار، پژوهشگران با بدافزار جدیدی به نام Industroyer (یا CrashOverride) روبه‌رو شدند.

برخلاف حمله سال ۲۰۱۵ که بخش زیادی از عملیات به‌صورت دستی انجام شده بود، Industroyer برای صحبت کردن با پروتکل‌های صنعتی طراحی شده بود و می‌توانست بخشی از فرآیند حمله را خودکار کند.

بسیاری از متخصصان، Industroyer را یکی از خطرناک‌ترین بدافزارهای تاریخ زیرساخت‌های صنعتی می‌دانند؛ زیرا مستقیماً پروتکل‌های مورد استفاده در شبکه‌های برق را هدف قرار می‌داد.


مهم‌ترین مفهومی که این حمله وارد دنیای امنیت کرد

اگر بخواهیم تنها یک درس از این عملیات انتخاب کنیم، آن درس این است:

امنیت فناوری اطلاعات (IT) و امنیت فناوری عملیاتی (OT) دیگر دو دنیای جداگانه نیستند.

سال‌ها، شرکت‌ها تصور می‌کردند حفاظت از رایانه‌های اداری کافی است.

اما حمله به اوکراین نشان داد اگر مهاجم بتواند از شبکه اداری به سامانه‌های کنترل صنعتی برسد، پیامدها می‌تواند از خاموش شدن یک رایانه بسیار فراتر رود.

از آن زمان، سرمایه‌گذاری روی امنیت OT، تفکیک شبکه‌های صنعتی، پایش مداوم تجهیزات SCADA و آموزش اپراتورها به اولویت بسیاری از کشورها تبدیل شد.


چرا این حمله هنوز در دانشگاه‌ها تدریس می‌شود؟

حمله به شبکه برق اوکراین فقط یک نمونه موفق از نفوذ نبود.

این عملیات نشان داد که مهاجمان:

به همین دلیل، این حمله هنوز هم در دوره‌های تخصصی امنیت صنعتی، تحلیل تهدیدات و مدیریت بحران به‌عنوان یکی از مهم‌ترین مطالعات موردی (Case Study) تدریس می‌شود.


میراث حمله به شبکه برق اوکراین

اگر Stuxnet نشان داد که بدافزارها می‌توانند تجهیزات صنعتی را تخریب کنند، حمله به شبکه برق اوکراین ثابت کرد که همان فناوری می‌تواند مستقیماً زندگی شهروندان را مختل کند.

خاموش شدن چراغ‌ها فقط یک اختلال فنی نبود؛ بلکه نمادی از ورود جهان به دوره‌ای بود که در آن، خطوط مقدم جنگ دیگر فقط در زمین، دریا و هوا قرار ندارند. شبکه‌های برق، آب، حمل‌ونقل و ارتباطات نیز به میدان نبردی خاموش تبدیل شده‌اند؛ نبردی که در آن، گاهی تنها با چند کلیک، شهری در تاریکی فرو می‌رود.

 

فصل هشتم: Triton (Trisis)؛ بدافزاری که می‌توانست یک پالایشگاه را منفجر کند

اگر از متخصصان امنیت صنعتی بپرسید ترسناک‌ترین بدافزار تاریخ چیست، بسیاری به جای Stuxnet یا WannaCry، نام دیگری را انتخاب می‌کنند: Triton. زیرا این بار هدف، نه سرقت اطلاعات بود، نه اخاذی و نه حتی قطع برق؛ بلکه آخرین سامانه‌ای هدف قرار گرفت که وظیفه‌اش نجات جان انسان‌ها در لحظه وقوع حادثه بود.

در تابستان سال ۲۰۱۷، مهندسان یک مجتمع بزرگ پتروشیمی در خاورمیانه با اتفاقی عجیب روبه‌رو شدند.

بدون هیچ دلیل مشخصی، بخشی از سامانه‌های ایمنی کارخانه وارد وضعیت اضطراری شدند.

در نگاه اول، این اتفاق شاید نشانه عملکرد صحیح سیستم‌های حفاظتی بود.

اما بررسی‌های بعدی حقیقتی نگران‌کننده را آشکار کرد.

این بار، مشکل از تجهیزات صنعتی نبود.

کسی در حال تلاش برای دستکاری سامانه‌ای بود که وظیفه داشت از انفجار، نشت مواد سمی و مرگ کارکنان جلوگیری کند.


Safety Instrumented System؛ آخرین خط دفاع

برای درک اهمیت Triton، باید ابتدا با مفهومی آشنا شویم که بسیاری از مردم هرگز نام آن را نشنیده‌اند.

در پالایشگاه‌ها، نیروگاه‌ها، کارخانه‌های پتروشیمی و صنایع شیمیایی، همه چیز بر اساس فشار، دما و جریان سیالات کنترل می‌شود.

اگر یکی از این پارامترها از حد مجاز فراتر برود، ممکن است اتفاقاتی مانند:

رخ دهد.

برای جلوگیری از چنین حوادثی، سامانه‌ای مستقل به نام Safety Instrumented System (SIS) طراحی می‌شود.

وظیفه SIS بسیار ساده اما حیاتی است.

اگر همه سیستم‌های دیگر شکست بخورند، SIS باید کارخانه را به‌صورت ایمن خاموش کند.

به بیان دیگر، اگر سیستم کنترل صنعتی مغز کارخانه باشد، SIS آخرین سپر دفاعی آن است.


تفاوت SCADA و SIS

در فصل قبل درباره سامانه‌های SCADA صحبت کردیم.

اما این دو سامانه تفاوت مهمی دارند.

SCADA

هدف آن مدیریت و بهره‌برداری از تجهیزات است.

اپراتور از طریق آن:

اما...

SIS

در شرایط عادی تقریباً هیچ کاری انجام نمی‌دهد.

فقط زمانی وارد عمل می‌شود که خطر واقعی وجود داشته باشد.

اگر فشار بیش از حد بالا برود یا دما از محدوده ایمن خارج شود، SIS بدون نیاز به دخالت انسان کارخانه را خاموش می‌کند.

این همان سیستمی بود که Triton هدف قرار داد.


چرا حمله به SIS این‌قدر خطرناک است؟

تصور کنید در یک خودرو، کسی ترمز را دستکاری کند.

ممکن است خودرو تا مدت‌ها کاملاً عادی حرکت کند.

اما لحظه‌ای که راننده واقعاً به ترمز نیاز دارد...

دیگر هیچ چیز کار نکند.

SIS نیز دقیقاً همین نقش را در صنایع ایفا می‌کند.

اگر این سامانه از کار بیفتد و هم‌زمان حادثه‌ای رخ دهد، احتمال انفجار یا فاجعه صنعتی به‌شدت افزایش می‌یابد.

به همین دلیل، بسیاری از متخصصان Triton را نخستین بدافزاری می‌دانند که مستقیماً جان انسان‌ها را هدف قرار داده بود.


نفوذ چگونه آغاز شد؟

مانند بسیاری از حملات APT، عملیات از یک‌شبه آغاز نشد.

مهاجمان ابتدا به شبکه فناوری اطلاعات (IT) سازمان نفوذ کردند.

سپس:

این مرحله، ماه‌ها زمان برد.

زیرا مهاجمان باید ساختار کارخانه را به‌خوبی می‌شناختند.


Schneider Electric؛ هدف واقعی چه بود؟

سیستم ایمنی مورد استفاده در این مجتمع، از کنترل‌کننده‌های Triconex ساخت شرکت Schneider Electric استفاده می‌کرد.

Triconex یکی از معتبرترین سامانه‌های ایمنی جهان است و در پالایشگاه‌ها، نیروگاه‌ها و صنایع حساس استفاده می‌شود.

بدافزار Triton به‌طور اختصاصی برای همین تجهیزات نوشته شده بود.

این نکته اهمیت بسیار زیادی دارد.

نوشتن چنین بدافزاری نیازمند:

بود.

چنین دانشی معمولاً در اختیار افراد عادی قرار ندارد.


Triton چگونه عمل می‌کرد؟

پس از دسترسی به رایانه مهندسی، بدافزار تلاش می‌کرد:

اگر این مرحله با موفقیت انجام می‌شد، مهاجمان می‌توانستند رفتار سیستم ایمنی را تغییر دهند.

به زبان ساده:

در شرایط خطر، SIS ممکن بود دیگر وظیفه خود را انجام ندهد.


اشتباهی که شاید از یک فاجعه جلوگیری کرد

اما عملیات طبق برنامه پیش نرفت.

هنگام بارگذاری تغییرات، یکی از کنترل‌کننده‌ها وارد وضعیت خطا شد.

در نتیجه، سامانه ایمنی به‌طور خودکار کارخانه را متوقف کرد.

همین توقف اضطراری باعث شد مهندسان برای بررسی موضوع وارد عمل شوند.

در جریان همین بررسی‌ها بود که وجود Triton کشف شد.

بسیاری از پژوهشگران معتقدند اگر این خطا رخ نمی‌داد، شاید مهاجمان مدت بیشتری در شبکه باقی می‌ماندند و امکان اجرای مرحله بعدی عملیات را پیدا می‌کردند.


آیا هدف واقعاً انفجار بود؟

این سؤال هنوز هم یکی از بحث‌برانگیزترین موضوعات امنیت سایبری است.

هیچ سند رسمی وجود ندارد که نشان دهد مهاجمان قصد داشتند حتماً انفجار ایجاد کنند.

اما چند نکته باعث نگرانی شدید کارشناسان شد:

به همین دلیل، بسیاری از تحلیلگران معتقدند Triton ظرفیت ایجاد پیامدهای بسیار خطرناک را داشت، هرچند این سناریو هرگز در عمل رخ نداد.


چه کسی پشت Triton بود؟

شرکت‌های امنیت سایبری مانند FireEye و Dragos و همچنین چند نهاد دولتی، این عملیات را به گروهی که بعدها با نام Xenotime شناخته شد منتسب کردند.

در سال‌های بعد، دولت ایالات متحده و برخی کشورها اعلام کردند این گروه با یک مرکز تحقیقاتی وابسته به دولت روسیه ارتباط دارد.

روسیه این اتهامات را رد کرده است.

مانند بسیاری از پرونده‌های بزرگ سایبری، این انتساب بر پایه تحلیل‌های فنی، زیرساخت‌های مورد استفاده و اطلاعات اطلاعاتی انجام شده است.


چرا Triton یک نقطه عطف بود؟

اگر Stuxnet تجهیزات صنعتی را هدف قرار داد...

و حمله به شبکه برق اوکراین باعث قطع برق شد...

Triton یک گام جلوتر رفت.

این نخستین نمونه شناخته‌شده‌ای بود که:

سامانه‌های ایمنی طراحی‌شده برای حفاظت از جان انسان‌ها را هدف قرار می‌داد.

این تفاوت، اهمیت Triton را دوچندان می‌کند.


مهندسی معکوس در سطح دولت‌ها

یکی از موضوعات شگفت‌انگیز این حمله، میزان دانش فنی موردنیاز برای توسعه آن بود.

برای ساخت Triton، مهاجمان باید:

همین پیچیدگی باعث شد بسیاری از پژوهشگران نتیجه بگیرند که توسعه چنین ابزاری، فراتر از توان اغلب گروه‌های مجرم سایبری است و به منابع گسترده، زمان و تخصص در سطح بازیگران دولتی نیاز دارد.


تأثیر Triton بر امنیت صنعتی

پس از افشای این حمله، صنایع نفت، گاز، برق و پتروشیمی در سراسر جهان بازنگری گسترده‌ای در سیاست‌های امنیتی خود انجام دادند.

تمرکز از حفاظت صرفِ سامانه‌های کنترل، به حفاظت از سامانه‌های ایمنی نیز گسترش یافت.

موضوعاتی مانند:

به اولویت‌های اصلی بسیاری از صنایع تبدیل شد.


میراث Triton

Triton شاید به‌اندازه WannaCry مشهور نباشد.

شاید میلیون‌ها رایانه را آلوده نکرده باشد.

شاید تیتر اول رسانه‌های عمومی نشده باشد.

اما در میان متخصصان امنیت صنعتی، این حمله جایگاه ویژه‌ای دارد.

زیرا برای نخستین بار نشان داد که مرز میان حمله سایبری و ایمنی فیزیکی تا چه اندازه باریک است.

اگر روزی هدف یک بدافزار، نه اطلاعات و نه تجهیزات، بلکه آخرین سامانه محافظ جان انسان‌ها باشد، دیگر نمی‌توان امنیت سایبری را صرفاً یک مسئله فناوری دانست.

از این لحظه به بعد، امنیت سایبری به بخشی از مفهوم ایمنی صنعتی تبدیل شد؛ جایی که یک خط کد اشتباه، می‌تواند پیامدهایی بسیار فراتر از خاموش شدن یک رایانه داشته باشد.

 

فصل نهم: SolarWinds؛ جاسوسی‌ای که از یک به‌روزرسانی ساده آغاز شد

گاهی خطرناک‌ترین حمله سایبری، حمله‌ای نیست که صدای انفجارش را بشنوید؛ بلکه همان به‌روزرسانی نرم‌افزاری است که با خیال راحت روی دکمه «Install» آن کلیک می‌کنید.

در دنیای فناوری، یک توصیه تقریباً همیشه درست است:

«نرم‌افزارها را به‌روز نگه دارید.»

اما در سال ۲۰۲۰، جهان با حمله‌ای روبه‌رو شد که این اصل بدیهی را زیر سؤال برد.

نه به این دلیل که به‌روزرسانی‌ها خطرناک هستند...

بلکه چون مهاجمان موفق شده بودند خودِ به‌روزرسانی را آلوده کنند.

این حمله با نام SolarWinds شناخته می‌شود؛ عملیاتی که بسیاری آن را پیچیده‌ترین عملیات جاسوسی سایبری تاریخ مدرن می‌دانند.

برخلاف WannaCry، این حمله میلیون‌ها رایانه را آلوده نکرد.

برخلاف NotPetya، کارخانه‌ها را از کار نینداخت.

برخلاف Shamoon، هارددیسک‌ها را نابود نکرد.

اما توانست بدون ایجاد کوچک‌ترین سروصدا، به هزاران سازمان نفوذ کند؛ آن هم از طریق نرم‌افزاری که همه به آن اعتماد داشتند.


SolarWinds چه شرکتی بود؟

برای درک اهمیت این حمله، ابتدا باید بدانیم SolarWinds چه کاری انجام می‌داد.

SolarWinds یک شرکت آمریکایی بود که نرم‌افزارهای مدیریت زیرساخت فناوری اطلاعات تولید می‌کرد.

محصول معروف آن، Orion Platform، توسط هزاران سازمان برای مدیریت مواردی مانند:

استفاده می‌شد.

به زبان ساده، Orion یکی از چشم‌های مدیر شبکه بود.

اگر این نرم‌افزار آلوده می‌شد...

مهاجم می‌توانست به همان جایی دسترسی پیدا کند که مدیر شبکه از آن کل زیرساخت را مدیریت می‌کرد.


آغاز حمله؛ نه به قربانی، بلکه به تولیدکننده

اکثر حملات مستقیماً قربانی نهایی را هدف می‌گیرند.

اما در SolarWinds، مهاجمان هدف دیگری انتخاب کردند.

آن‌ها ابتدا وارد شبکه داخلی خود شرکت SolarWinds شدند.

سپس به فرآیند Build نرم‌افزار نفوذ کردند.

این مرحله فوق‌العاده حساس است.

وقتی برنامه‌نویسان کد می‌نویسند، در نهایت سیستم Build آن کدها را به نسخه نهایی قابل نصب تبدیل می‌کند.

اگر مهاجم بتواند این مرحله را کنترل کند، دیگر نیازی به آلوده کردن تک‌تک مشتریان ندارد.

زیرا مشتریان، خودشان نسخه آلوده را دانلود خواهند کرد.


Sunburst؛ بدافزاری که کسی متوجه آن نشد

مهاجمان کد مخربی را داخل نسخه رسمی Orion قرار دادند.

این بدافزار بعدها با نام Sunburst شناخته شد.

نکته شگفت‌انگیز این بود که:

برای مدیر شبکه، همه چیز طبیعی به نظر می‌رسید.

اما پس از نصب...

مرحله واقعی عملیات آغاز می‌شد.


صبر؛ مهم‌ترین سلاح مهاجمان

یکی از ویژگی‌های جالب Sunburst این بود که بلافاصله فعال نمی‌شد.

گاهی تا دو هفته هیچ کاری انجام نمی‌داد.

چرا؟

زیرا بسیاری از سامانه‌های امنیتی، رفتار نرم‌افزارها را در ساعات یا روزهای نخست بررسی می‌کنند.

اگر بدافزار فوراً شروع به ارسال اطلاعات کند، احتمال شناسایی بسیار بیشتر است.

بنابراین Sunburst صبر می‌کرد.

بعد از گذشت مدتی، آرام‌آرام ارتباط خود را با سرورهای فرماندهی آغاز می‌کرد.

این همان مفهوم Dormant Malware یا بدافزار خفته است؛ کدی که حضور دارد، اما تا زمان مناسب هیچ واکنشی نشان نمی‌دهد.


همه قربانیان، هدف نبودند

یکی از حرفه‌ای‌ترین بخش‌های این عملیات، انتخاب قربانیان بود.

حدود ۱۸ هزار سازمان نسخه آلوده Orion را دریافت کردند.

اما مهاجمان به همه آن‌ها حمله نکردند.

ابتدا اطلاعات اولیه را جمع‌آوری کردند:

سپس تنها تعداد محدودی از سازمان‌ها برای مرحله بعد انتخاب شدند.

این روش باعث شد حجم ترافیک مشکوک کاهش یابد و احتمال کشف عملیات کمتر شود.


حرکت بدون جلب توجه

پس از انتخاب هدف، مهاجمان تلاش می‌کردند تا جای ممکن شبیه مدیران واقعی سیستم رفتار کنند.

آن‌ها:

اگر هدف، تخریب بود، این عملیات می‌توانست در همان روز اول پایان یابد.

اما هدف، اطلاعات بود.


چه کسانی قربانی شدند؟

وقتی خبر حمله منتشر شد، ابعاد آن همه را شگفت‌زده کرد.

در میان قربانیان، نام سازمان‌های بسیار مهمی دیده می‌شد، از جمله:

این موضوع نشان داد که حتی سازمان‌هایی با بودجه‌های میلیارددلاری امنیت نیز می‌توانند از طریق زنجیره تأمین نرم‌افزار آسیب ببینند.


چه کسی حمله را کشف کرد؟

جالب است بدانید SolarWinds توسط یک دولت کشف نشد.

بلکه شرکت امنیت سایبری FireEye اولین زنگ خطر را به صدا درآورد.

داستان از جایی شروع شد که FireEye متوجه شد برخی ابزارهای اختصاصی تست نفوذ این شرکت به سرقت رفته‌اند.

این موضوع آن‌قدر غیرعادی بود که تحقیقات داخلی آغاز شد.

در جریان همین بررسی‌ها، پژوهشگران متوجه شدند منشأ نفوذ، نرم‌افزار Orion است.

اگر FireEye خودش قربانی نشده بود، شاید این عملیات برای مدت بسیار طولانی‌تری ناشناخته باقی می‌ماند.


چرا SolarWinds این‌قدر حرفه‌ای بود؟

این عملیات چند ویژگی داشت که آن را از بسیاری از حملات دیگر متمایز می‌کند.

۱. نفوذ به زنجیره تولید نرم‌افزار

به‌جای حمله به هزاران شرکت، تنها یک شرکت هدف قرار گرفت.


۲. امضای دیجیتال معتبر

بدافزار با گواهی رسمی شرکت امضا شده بود.

بنابراین بیشتر سامانه‌های امنیتی به آن اعتماد کردند.


۳. انتخاب هوشمند قربانیان

همه قربانیان آلوده شدند.

اما فقط برخی از آن‌ها هدف جاسوسی قرار گرفتند.


۴. پنهان‌کاری فوق‌العاده

مهاجمان ماه‌ها در شبکه‌ها حضور داشتند بدون اینکه توجهی جلب کنند.

این همان سطحی از عملیات است که معمولاً از گروه‌های APT انتظار می‌رود.


چه کسی پشت SolarWinds بود؟

هیچ گروهی مسئولیت این حمله را بر عهده نگرفت.

با این حال، دولت آمریکا و چند کشور دیگر، این عملیات را به گروهی که در گزارش‌های امنیتی با نام APT29 یا Cozy Bear شناخته می‌شود منتسب کردند؛ گروهی که به‌طور گسترده با سرویس اطلاعات خارجی روسیه (SVR) مرتبط دانسته می‌شود.

روسیه این اتهامات را رد کرده است.

مانند بسیاری از عملیات‌های اطلاعاتی، انتساب بر پایه تحلیل‌های فنی، زیرساخت‌های ارتباطی، تاکتیک‌ها و اطلاعات اطلاعاتی انجام شده است.


مفهومی که SolarWinds برای همیشه تغییر داد

اگر NotPetya مفهوم Supply Chain Attack را مشهور کرد...

SolarWinds آن را به سطحی کاملاً جدید رساند.

بعد از این حمله، دیگر سؤال سازمان‌ها این نبود که:

«آیا نرم‌افزار ما امن است؟»

بلکه سؤال جدید این بود:

«آیا فرایند تولید نرم‌افزار تأمین‌کننده ما نیز امن است؟»

از همین نقطه، مفاهیمی مانند:

بیش از هر زمان دیگری مورد توجه قرار گرفتند.


Zero Trust؛ ایده‌ای که جان تازه‌ای گرفت

یکی دیگر از پیامدهای مهم SolarWinds، گسترش معماری Zero Trust بود.

اصل Zero Trust بسیار ساده است:

«به هیچ کاربر، هیچ دستگاه و هیچ نرم‌افزاری صرفاً به دلیل حضور در شبکه اعتماد نکن.»

پیش از این، بسیاری از سازمان‌ها تصور می‌کردند اگر نرم‌افزار از داخل شبکه اجرا شود یا امضای دیجیتال معتبر داشته باشد، قابل اعتماد است.

SolarWinds نشان داد این فرض دیگر معتبر نیست.

اعتماد باید پیوسته بررسی و راستی‌آزمایی شود، نه اینکه یک‌بار برای همیشه اعطا شود.


میراث SolarWinds

برخلاف بسیاری از حملات مشهور، SolarWinds نه با تصاویر صفحه قرمز باج‌افزار شناخته می‌شود و نه با خاموشی گسترده یا انفجار.

قدرت واقعی آن در سکوت بود.

این حمله ثابت کرد که خطرناک‌ترین مهاجم، لزوماً کسی نیست که سیستم‌های شما را نابود کند؛ بلکه کسی است که ماه‌ها در شبکه شما حضور داشته باشد، همه چیز را ببیند، اطلاعات موردنیازش را جمع‌آوری کند و بدون اینکه اثری از خود باقی بگذارد، خارج شود.

اگر استاکس‌نت آغاز جنگ سایبری بود، و WannaCry امنیت را به دغدغه عمومی تبدیل کرد، SolarWinds آغاز عصری بود که در آن، اعتماد به زنجیره تأمین نرم‌افزار دیگر یک فرض بدیهی نیست، بلکه مسئله‌ای است که باید هر روز اثبات شود.

 

فصل دهم: Colonial Pipeline؛ حمله‌ای که آمریکا را برای خرید بنزین به صف کشاند

گاهی لازم نیست نیروگاه را منفجر کنید یا شبکه برق را از کار بیندازید. کافی است یک شرکت، برای جلوگیری از گسترش حمله، خودش شیر اصلی انتقال سوخت را ببندد.

صبح روز ۷ می ۲۰۲۱، مدیران شرکت Colonial Pipeline با بحرانی روبه‌رو شدند که تنها چند ساعت بعد، به تیتر اول رسانه‌های جهان تبدیل شد.

در ابتدا، مسئله شبیه ده‌ها حمله باج‌افزاری دیگر به نظر می‌رسید.

چند سرور رمزنگاری شده بودند.

پیامی برای پرداخت باج روی صفحه ظاهر شده بود.

اما این بار قربانی، یک شرکت معمولی نبود.

Colonial Pipeline بزرگ‌ترین خط لوله انتقال سوخت در ایالات متحده را اداره می‌کرد.

و تصمیمی که مدیران این شرکت تنها چند ساعت بعد گرفتند، زنجیره تأمین انرژی یکی از بزرگ‌ترین اقتصادهای جهان را مختل کرد.


Colonial Pipeline؛ شریان حیاتی شرق آمریکا

برای درک اهمیت این حمله، ابتدا باید بدانیم Colonial Pipeline چه نقشی در اقتصاد آمریکا دارد.

این شرکت بیش از ۸۸۰۰ کیلومتر خط لوله را مدیریت می‌کند.

روزانه میلیون‌ها بشکه:

از طریق این شبکه از پالایشگاه‌های ساحل خلیج مکزیک به ایالت‌های شرق آمریکا منتقل می‌شود.

برآورد می‌شود حدود ۴۵ درصد سوخت مصرفی ساحل شرقی آمریکا از طریق این خط لوله تأمین شود.

به بیان دیگر، توقف Colonial Pipeline فقط یک مشکل برای یک شرکت نبود؛ بلکه می‌توانست زندگی میلیون‌ها نفر را تحت تأثیر قرار دهد.


حمله چگونه آغاز شد؟

برخلاف Stuxnet یا SolarWinds، مهاجمان در این پرونده از بدافزارهای پیچیده یا آسیب‌پذیری‌های ناشناخته استفاده نکردند.

بر اساس گزارش‌های منتشرشده، یکی از حساب‌های کاربری مرتبط با دسترسی از راه دور (VPN)، با رمز عبوری که قبلاً در رخدادهای نشت اطلاعات فاش شده بود محافظت می‌شد و احراز هویت چندمرحله‌ای (MFA) نیز برای آن فعال نبود.

مهاجمان پس از به‌دست آوردن این اعتبارنامه، وارد شبکه شرکت شدند.

این موضوع یک درس مهم داشت:

گاهی بزرگ‌ترین بحران‌های امنیتی، نه از پیچیده‌ترین حملات، بلکه از ساده‌ترین اشتباهات آغاز می‌شوند.


DarkSide؛ مدل جدید باج‌افزار

حمله توسط گروهی با نام DarkSide انجام شد.

DarkSide فقط یک گروه هکری نبود.

آن‌ها از مدلی استفاده می‌کردند که امروز با عنوان:

Ransomware-as-a-Service (RaaS)

شناخته می‌شود.

در این مدل:

این مدل، دنیای باج‌افزار را متحول کرد.

دیگر لازم نبود هر مهاجم خودش برنامه‌نویس حرفه‌ای باشد.

کافی بود به یک سرویس آماده دسترسی داشته باشد.


Double Extortion؛ اخاذی دو مرحله‌ای

DarkSide از روش دیگری نیز استفاده می‌کرد که بعدها به استاندارد بسیاری از گروه‌های باج‌افزاری تبدیل شد.

ابتدا:

سپس:

در پایان دو تهدید هم‌زمان مطرح می‌شد:

۱. اگر پول ندهید، فایل‌ها بازگردانده نمی‌شوند.

۲. اگر پول ندهید، اطلاعات سرقت‌شده نیز منتشر خواهد شد.

به این روش Double Extortion گفته می‌شود.

این مدل باعث شد حتی شرکت‌هایی که نسخه پشتیبان سالم داشتند نیز همچنان تحت فشار قرار بگیرند.


چرا شرکت خودش خط لوله را متوقف کرد؟

یکی از سؤالاتی که آن زمان زیاد مطرح شد این بود:

اگر حمله فقط شبکه اداری را هدف قرار داده بود، چرا انتقال سوخت متوقف شد؟

پاسخ در مفهوم Cyber Risk Management نهفته است.

هرچند گزارش‌ها نشان می‌داد سامانه‌های عملیاتی (OT) مستقیماً رمزنگاری نشده بودند، اما شرکت اطمینان نداشت که مهاجمان تا چه اندازه در شبکه نفوذ کرده‌اند.

مدیران تصمیم گرفتند برای جلوگیری از هرگونه خطر احتمالی، انتقال سوخت را موقتاً متوقف کنند تا بررسی‌های امنیتی کامل انجام شود.

این تصمیم از نظر اقتصادی بسیار پرهزینه بود، اما از منظر مدیریت ریسک، اقدامی محتاطانه به شمار می‌رفت.


اثر دومینویی

تنها چند روز کافی بود تا آثار این تصمیم در سراسر شرق آمریکا دیده شود.

در بسیاری از ایالت‌ها:

جالب اینجاست که بخش مهمی از بحران، نتیجه رفتار مصرف‌کنندگان بود.

ترس از کمبود، باعث شد بسیاری بیش از نیاز واقعی خود سوخت خریداری کنند؛ پدیده‌ای که اقتصاددانان آن را یکی از نمونه‌های کلاسیک رفتار هراس‌محور (Panic Buying) می‌دانند.


وقتی امنیت سایبری به امنیت ملی تبدیل شد

حمله به Colonial Pipeline فقط یک پرونده امنیت اطلاعات نبود.

برای نخستین بار، مردم عادی ارتباط مستقیم میان امنیت سایبری و زندگی روزمره خود را احساس کردند.

اگر یک حمله دیجیتال بتواند:

دیگر نمی‌توان آن را صرفاً مشکل واحد فناوری اطلاعات دانست.

به همین دلیل، این حادثه به یکی از مهم‌ترین نمونه‌های ارتباط امنیت سایبری و امنیت اقتصادی تبدیل شد.


آیا شرکت باج را پرداخت کرد؟

بله.

شرکت Colonial Pipeline حدود ۴٫۴ میلیون دلار باج پرداخت کرد.

اما داستان به همین‌جا ختم نشد.

کلید رمزگشایی ارائه‌شده توسط مهاجمان آن‌قدر کند بود که شرکت بخش بزرگی از فرآیند بازیابی را با استفاده از نسخه‌های پشتیبان و روش‌های داخلی انجام داد.

چند هفته بعد، وزارت دادگستری آمریکا اعلام کرد که توانسته است بخش قابل‌توجهی از بیت‌کوین پرداخت‌شده را با دسترسی به یکی از کیف‌پول‌های مرتبط با مهاجمان بازیابی کند.

این اتفاق نشان داد که برخلاف تصور رایج، تراکنش‌های ارزهای دیجیتال همیشه غیرقابل ردیابی نیستند.


چه کسی پشت DarkSide بود؟

گروه DarkSide مسئولیت حمله را پذیرفت.

آن‌ها حتی بیانیه‌ای منتشر کردند و مدعی شدند هدفشان صرفاً کسب درآمد است، نه ایجاد مشکلات اجتماعی یا سیاسی.

پس از فشار گسترده نهادهای امنیتی، زیرساخت‌های آنلاین DarkSide از دسترس خارج شد و این گروه اعلام کرد فعالیت خود را متوقف می‌کند.

با این حال، بسیاری از پژوهشگران معتقدند برخی اعضای آن بعدها با نام‌ها و گروه‌های جدید به فعالیت ادامه دادند؛ الگویی که در اکوسیستم باج‌افزار بسیار رایج است.


مهم‌ترین درس Colonial Pipeline

اگر بخواهیم تنها یک مفهوم را از این حمله انتخاب کنیم، آن مفهوم این است:

تاب‌آوری سایبری (Cyber Resilience) مهم‌تر از جلوگیری مطلق از حمله است.

هیچ سازمانی نمی‌تواند با اطمینان بگوید هرگز هک نخواهد شد.

اما هر سازمان باید بتواند:

از همین رو، پس از این حادثه، بسیاری از اپراتورهای زیرساخت‌های حیاتی سرمایه‌گذاری گسترده‌ای روی:

انجام دادند.


پایان یک مسیر؛ آغاز عصر جدید

اگر به ده حمله‌ای که تاکنون بررسی کردیم نگاه کنیم، یک روند مشخص دیده می‌شود.

در ابتدا، حملات بیشتر بر تخریب فنی متمرکز بودند.

سپس به جاسوسی اطلاعاتی رسیدند.

بعد به اخاذی مالی تبدیل شدند.

و امروز، هدف آن‌ها می‌تواند زنجیره تأمین، انرژی، سلامت، حمل‌ونقل، زیرساخت‌های حیاتی و حتی اعتماد عمومی باشد.

دیگر امنیت سایبری فقط محافظت از رایانه‌ها نیست.

موضوع، حفاظت از اقتصاد، زیرساخت، جان انسان‌ها و ثبات کشورهاست.

Colonial Pipeline آخرین حلقه این زنجیره نیست؛ بلکه نمادی از دنیای جدیدی است که در آن، یک رمز عبور ضعیف می‌تواند میلیون‌ها نفر را در صف پمپ‌بنزین قرار دهد.

 

مقایسه ۱۰ حمله بزرگ تاریخ؛ از اولین جنگ سایبری تا حمله به زیرساخت‌های حیاتی

بعد از بررسی ده مورد از مشهورترین و اثرگذارترین حملات سایبری تاریخ، یک سؤال مهم مطرح می‌شود:

کدام حمله از همه خطرناک‌تر بود؟

پاسخ ساده‌ای برای این سؤال وجود ندارد.

زیرا هر حمله، معیار متفاوتی را جابه‌جا کرده است.

به همین دلیل، مقایسه این حملات از چند زاویه مختلف، تصویر کامل‌تری از تکامل جنگ سایبری ارائه می‌دهد.


جدول مقایسه ۱۰ حمله بزرگ تاریخ

حملهسالهدف اصلیگروه یا عامل منتسبخسارت و پیامدمهم‌ترین مفهوم امنیتی
Operation Aurora۲۰۰۹جاسوسی از شرکت‌های فناوریمنتسب به بازیگران مرتبط با چینسرقت کدهای منبع و اطلاعات محرمانهAPT، عملیات بلندمدت، حملات هدفمند
Stuxnet۲۰۱۰تأسیسات هسته‌ای ایرانمنتسب به آمریکا و اسرائیلتخریب سانتریفیوژهاCyber Warfare، Air Gap، ICS Malware
Shamoon۲۰۱۲شرکت آرامکومنتسب به گروه‌های مرتبط با ایراننابودی ده‌ها هزار رایانهWiper Malware
WannaCry۲۰۱۷سازمان‌های سراسر جهانمنتسب به Lazarusصدها هزار سیستم آلوده، اختلال جهانیWorm، EternalBlue، Patch Management
NotPetya۲۰۱۷شرکت‌های اوکراینی و بین‌المللیمنتسب به Sandwormبیش از ۱۰ میلیارد دلار خسارتSupply Chain Attack، Wiper، Living off the Land
حمله به شبکه برق اوکراین۲۰۱۵زیرساخت برقمنتسب به Sandwormقطع برق برای حدود ۲۵۰ هزار نفرامنیت OT، حمله به زیرساخت حیاتی
Triton (Trisis)۲۰۱۷سیستم‌های ایمنی پالایشگاهمنتسب به Xenotimeتهدید بالقوه جان انسان‌هاحمله به SIS، امنیت صنعتی
SolarWinds۲۰۲۰هزاران سازمان دولتی و خصوصیمنتسب به APT29 (Cozy Bear)جاسوسی گسترده و طولانی‌مدتSupply Chain Security، Zero Trust
Colonial Pipeline۲۰۲۱شبکه انتقال سوخت آمریکاDarkSideاختلال در زنجیره تأمین سوختRaaS، Cyber Resilience
Sony Pictures۲۰۱۴صنعت سرگرمیمنتسب به Lazarusافشای گسترده اطلاعات و تخریب سامانه‌هاترکیب جاسوسی، Wiper و جنگ روانی

اگر بخواهیم این حملات را بر اساس نوع اثر رتبه‌بندی کنیم

بزرگ‌ترین خسارت مالی

🏆 NotPetya

بیش از ۱۰ میلیارد دلار خسارت مستقیم و غیرمستقیم.

هنوز هم بسیاری آن را پرهزینه‌ترین حمله سایبری تاریخ می‌دانند.


پیچیده‌ترین عملیات فنی

🏆 Stuxnet

توسعه چندین آسیب‌پذیری روز صفر، نفوذ به شبکه‌های Air-Gapped، برنامه‌ریزی PLCها و پنهان‌سازی عملیات در سطحی که تا آن زمان سابقه نداشت.


بزرگ‌ترین عملیات جاسوسی

🏆 SolarWinds

نفوذ بی‌سروصدا به هزاران سازمان و انتخاب هدف‌های ارزشمند برای جاسوسی بلندمدت.


خطرناک‌ترین حمله برای جان انسان‌ها

🏆 Triton

تنها حمله شناخته‌شده‌ای که مستقیماً سامانه‌های ایمنی یک مجتمع صنعتی را هدف قرار داد و می‌توانست در شرایط خاص، احتمال وقوع یک حادثه صنعتی شدید را افزایش دهد.


بزرگ‌ترین حمله خودانتشار (Worm)

🏆 WannaCry

در مدت کوتاهی صدها هزار رایانه را در بیش از ۱۵۰ کشور آلوده کرد و اهمیت مدیریت وصله‌های امنیتی را به جهان یادآوری کرد.


مهم‌ترین حمله به زیرساخت حیاتی

🏆 حمله به شبکه برق اوکراین

نخستین نمونه شناخته‌شده‌ای که باعث قطع برق گسترده برای شهروندان شد.


بزرگ‌ترین حمله زنجیره تأمین

🏆 SolarWinds

هرچند NotPetya نیز از زنجیره تأمین سوءاستفاده کرد، اما SolarWinds نشان داد حتی فرآیند تولید نرم‌افزار نیز می‌تواند به نقطه نفوذ تبدیل شود.


مؤثرترین حمله باج‌افزاری بر اقتصاد

🏆 Colonial Pipeline

خسارت این حمله فقط به قربانی مستقیم محدود نشد؛ بلکه بازار سوخت، رفتار مصرف‌کنندگان و امنیت انرژی را نیز تحت تأثیر قرار داد.


تایم‌لاین تحول جنگ سایبری

در کمتر از دو دهه، حملات سایبری مسیر شگفت‌انگیزی را طی کرده‌اند.

۲۰۰۹

Operation Aurora

شروع عصر عملیات‌های APT و جاسوسی سازمان‌یافته علیه شرکت‌های بزرگ.

⬇️

۲۰۱۰

Stuxnet

ورود رسمی جنگ سایبری به زیرساخت‌های صنعتی.

⬇️

۲۰۱۲

Shamoon

ظهور بدافزارهای تخریب‌گر (Wiper) در مقیاس گسترده.

⬇️

۲۰۱۴

Sony Pictures

ترکیب حمله سایبری، افشای اطلاعات و جنگ روانی.

⬇️

۲۰۱۵

حمله به شبکه برق اوکراین

اولین خاموشی گسترده ناشی از حمله سایبری.

⬇️

۲۰۱۷

WannaCry

نمایش قدرت کرم‌های اینترنتی و اهمیت به‌روزرسانی امنیتی.

⬇️

۲۰۱۷

NotPetya

اثبات اینکه یک حمله سایبری می‌تواند میلیاردها دلار خسارت اقتصادی ایجاد کند.

⬇️

۲۰۱۷

Triton

ورود مهاجمان به حساس‌ترین بخش صنایع؛ سامانه‌های ایمنی.

⬇️

۲۰۲۰

SolarWinds

آغاز عصر بی‌اعتمادی به زنجیره تأمین نرم‌افزار.

⬇️

۲۰۲۱

Colonial Pipeline

پیوند مستقیم امنیت سایبری با امنیت انرژی و اقتصاد ملی.


الگوی تکامل حملات سایبری

اگر این حملات را کنار هم قرار دهیم، روندی مشخص دیده می‌شود:

نسل اول

هدف:

سرقت اطلاعات

نمونه‌ها:


نسل دوم

هدف:

تخریب تجهیزات

نمونه‌ها:


نسل سوم

هدف:

اختلال گسترده

نمونه‌ها:


نسل چهارم

هدف:

زیرساخت‌های حیاتی

نمونه‌ها:


نسل پنجم

هدف:

اعتماد دیجیتال

نمونه:

در این نسل، مهاجمان دیگر صرفاً به شبکه قربانی حمله نمی‌کنند؛ بلکه اعتماد سازمان‌ها به نرم‌افزارها، به‌روزرسانی‌ها و زنجیره تأمین را هدف قرار می‌دهند.


یک نکته مهم

اگر دقت کنید، تقریباً تمام حملات بزرگ تاریخ یک ویژگی مشترک دارند:

هیچ‌کدام صرفاً به خاطر یک بدافزار موفق نشدند.

عامل اصلی موفقیت آن‌ها معمولاً ترکیبی از موارد زیر بود:

به همین دلیل، امنیت سایبری امروز بیش از هر زمان دیگری بر مدیریت ریسک، معماری امنیتی، پایش مداوم و آمادگی برای پاسخ به حادثه تمرکز دارد، نه صرفاً بر نصب یک آنتی‌ویروس یا فایروال.

 

۱۰ مفهومی که این حملات برای همیشه وارد دنیای امنیت سایبری کردند

اگر فقط نام حملات را به خاطر بسپارید، احتمالاً چند سال بعد بسیاری از جزئیات آن‌ها را فراموش خواهید کرد.

اما اگر مفاهیمی که این حملات خلق یا رایج کردند را یاد بگیرید، نه‌تنها تاریخ امنیت سایبری را بهتر درک می‌کنید، بلکه اخبار و تهدیدات آینده را نیز راحت‌تر تحلیل خواهید کرد.

جالب است بدانید بسیاری از اصطلاحاتی که امروز تقریباً هر روز در گزارش‌های امنیتی دیده می‌شوند، پس از همین حملات مشهور وارد ادبیات امنیت سایبری شدند یا به‌شدت مورد توجه قرار گرفتند.


۱. Zero-Day؛ آسیب‌پذیری‌ای که هیچ‌کس از آن خبر ندارد

یکی از ارزشمندترین دارایی‌ها در دنیای هک، یک آسیب‌پذیری روز صفر (Zero-Day) است.

منظور از Zero-Day، نقص امنیتی‌ای است که سازنده نرم‌افزار هنوز از آن اطلاع ندارد یا برای آن وصله‌ای منتشر نکرده است.

به همین دلیل، مهاجم می‌تواند پیش از آماده شدن راهکار دفاعی از آن سوءاستفاده کند.

چرا «روز صفر»؟

زیرا از لحظه‌ای که آسیب‌پذیری کشف می‌شود، توسعه‌دهنده صفر روز فرصت داشته است تا آن را اصلاح کند.


معروف‌ترین نمونه

Stuxnet

این بدافزار از چندین آسیب‌پذیری روز صفر ویندوز به‌طور هم‌زمان استفاده می‌کرد؛ اتفاقی که در آن زمان بی‌سابقه بود و نشان داد برخی عملیات‌ها به منابع مالی و فنی بسیار گسترده دسترسی دارند.


درس مهم

وجود آنتی‌ویروس یا فایروال همیشه کافی نیست.

اگر آسیب‌پذیری هنوز شناخته نشده باشد، بسیاری از ابزارهای دفاعی نیز ممکن است قادر به شناسایی آن نباشند.


۲. APT؛ مهاجمی که عجله ندارد

یکی از مهم‌ترین اصطلاحات امنیت سایبری، Advanced Persistent Threat یا APT است.

در این نوع عملیات:


نمونه‌های مشهور


تفاوت با هکرهای معمولی

یک مهاجم عادی ممکن است فقط چند ساعت در شبکه بماند.

اما یک گروه APT گاهی آن‌قدر آرام حرکت می‌کند که قربانی ماه‌ها متوجه حضور او نمی‌شود.


۳. Air Gap؛ وقتی اینترنت هم مانع نفوذ نیست

سال‌ها تصور می‌شد اگر یک سامانه به اینترنت متصل نباشد، امن است.

به چنین شبکه‌ای Air-Gapped Network گفته می‌شود.

اما...

Stuxnet نشان داد حتی این شبکه‌ها نیز مصون نیستند.

از طریق:

می‌توان به چنین شبکه‌هایی نیز نفوذ کرد.


نتیجه

امروزه Air Gap همچنان یکی از لایه‌های مهم امنیتی است، اما دیگر به‌تنهایی تضمین‌کننده امنیت محسوب نمی‌شود.


۴. Supply Chain Attack؛ حمله از مسیر اعتماد

در این نوع حمله، هدف اصلی قربانی نهایی نیست.

بلکه یکی از شرکت‌ها یا نرم‌افزارهایی هدف قرار می‌گیرد که قربانی به آن اعتماد دارد.


نمونه‌ها

NotPetya

نفوذ به نرم‌افزار حسابداری M.E.Doc


SolarWinds

نفوذ به فرایند ساخت نرم‌افزار Orion


اهمیت

امروزه تقریباً تمام شرکت‌های بزرگ، امنیت زنجیره تأمین را به اندازه امنیت داخلی خود جدی می‌گیرند.


۵. Wiper؛ نابودی به‌جای اخاذی

برخلاف باج‌افزارها، هدف Wiper دریافت پول نیست.

هدف فقط یک چیز است:

نابودی اطلاعات


نمونه‌ها


گاهی Wiper حتی خود را به شکل باج‌افزار نشان می‌دهد تا تحلیل حمله را دشوارتر کند.


۶. Worm؛ بدافزاری که خودش منتشر می‌شود

بیشتر بدافزارها نیاز دارند قربانی روی فایل کلیک کند.

اما Wormها مستقل هستند.

آن‌ها:


نمونه مشهور

WannaCry

به همین دلیل، صدها هزار رایانه ظرف مدت کوتاهی آلوده شدند.


اهمیت

Wormها نشان دادند سرعت انتشار گاهی از پیچیدگی حمله مهم‌تر است.


۷. Living off the Land؛ استفاده از سلاح‌های خود قربانی

یکی از محبوب‌ترین تکنیک‌های مهاجمان مدرن این است که به‌جای آوردن ابزارهای جدید، از ابزارهای قانونی سیستم‌عامل استفاده کنند.

مانند:


نمونه

NotPetya

SolarWinds


چرا خطرناک است؟

زیرا تشخیص تفاوت میان رفتار یک مدیر شبکه و یک مهاجم بسیار دشوار می‌شود.


۸. Zero Trust؛ اعتماد، امتیاز نیست

برای سال‌ها، معماری بسیاری از شبکه‌ها بر این فرض استوار بود:

اگر داخل شبکه باشی، قابل اعتماد هستی.

SolarWinds این فرض را نابود کرد.


فلسفه Zero Trust

هر درخواست باید:

فرقی ندارد درخواست از داخل شبکه آمده باشد یا خارج از آن.


شعار معروف

Never Trust, Always Verify


۹. Ransomware-as-a-Service (RaaS)

باج‌افزار امروز دیگر فقط محصول چند برنامه‌نویس نیست.

به یک کسب‌وکار زیرزمینی تبدیل شده است.

در مدل RaaS:


نمونه مشهور

DarkSide

(حمله Colonial Pipeline)


نتیجه

ورود به دنیای باج‌افزار برای مهاجمان بسیار ساده‌تر شد.


۱۰. Double Extortion؛ اخاذی دو مرحله‌ای

قبلاً اگر نسخه پشتیبان داشتید، باج‌افزارها تا حد زیادی بی‌اثر می‌شدند.

اما مهاجمان روش جدیدی ابداع کردند.

قبل از رمزنگاری:

اطلاعات را سرقت می‌کنند.

سپس تهدید می‌کنند:


نمونه

DarkSide

REvil

Conti

و بسیاری از گروه‌های مدرن.


حملات بعد از سال ۲۰۲۰ چه تفاوتی دارند؟

اگر این مفاهیم را کنار هم قرار دهیم، متوجه می‌شویم مهاجمان دیگر صرفاً به دنبال «نفوذ» نیستند.

امروز آن‌ها روی چهار هدف اصلی تمرکز دارند:

۱. اعتماد

نمونه:

SolarWinds


۲. زیرساخت حیاتی

نمونه:

Colonial Pipeline

شبکه برق اوکراین

Triton


۳. اقتصاد

نمونه:

NotPetya


۴. روان جامعه

نمونه:

Sony Pictures

WannaCry

زیرا گاهی اثر روانی یک حمله، بسیار فراتر از خسارت فنی آن است.


آینده جنگ سایبری

وقتی به مسیر این حملات نگاه می‌کنیم، یک روند مشخص دیده می‌شود.

ابتدا:

هدف فقط رایانه‌ها بودند.

سپس:

کارخانه‌ها.

بعد:

شبکه برق.

بعد:

زنجیره تأمین.

و امروز...

هوش مصنوعی، خودروهای متصل، اینترنت اشیا، بیمارستان‌های هوشمند، ماهواره‌ها و زیرساخت‌های ابری، همگی به اهداف بالقوه تبدیل شده‌اند.

به همین دلیل، بسیاری از متخصصان معتقدند امنیت سایبری دیگر صرفاً یک شاخه از فناوری اطلاعات نیست؛ بلکه بخشی از امنیت ملی، امنیت اقتصادی و حتی امنیت انسانی محسوب می‌شود.


یک وجه مشترک میان تمام این حملات

با وجود تفاوت‌های فراوان، تقریباً همه این حملات یک پیام مشترک دارند:

هیچ سامانه‌ای آن‌قدر بزرگ نیست که هک نشود، و هیچ سامانه‌ای آن‌قدر کوچک نیست که ارزش محافظت نداشته باشد.

گاهی یک فلش USB، یک رمز عبور تکراری، یک به‌روزرسانی آلوده یا یک حساب کاربری فراموش‌شده، کافی است تا زنجیره‌ای از رویدادها آغاز شود که میلیاردها دلار خسارت به بار آورد.

شاید مهم‌ترین درس تاریخ امنیت سایبری همین باشد:

امنیت، یک محصول نیست که یک‌بار بخرید و تمام شود؛ بلکه یک فرایند مداوم از یادگیری، ارزیابی، بهبود و آمادگی است.

جمع‌بندی؛ تاریخ امنیت سایبری، تاریخ جنگی است که هنوز تمام نشده است

در سال ۱۹۸۸، زمانی که «کرم موریس» بخش بزرگی از اینترنت آن روز را مختل کرد، کمتر کسی تصور می‌کرد تنها چند دهه بعد، بدافزارها بتوانند سانتریفیوژهای هسته‌ای را تخریب کنند، برق یک شهر را قطع کنند، شبکه انتقال سوخت یک کشور را متوقف کنند یا از طریق یک به‌روزرسانی نرم‌افزاری، به هزاران سازمان دولتی و خصوصی نفوذ کنند.

تاریخ امنیت سایبری فقط تاریخ ویروس‌ها و هکرها نیست؛ تاریخ اعتماد، رقابت، قدرت و تغییر است.

اگر به حملاتی که در این مقاله بررسی کردیم نگاه کنیم، یک مسیر تکاملی کاملاً روشن دیده می‌شود.

در ابتدا، هدف مهاجمان بیشتر کنجکاوی یا اثبات توانایی فنی بود.

سپس انگیزه‌ها به سمت جاسوسی اطلاعاتی حرکت کردند.

بعد، تخریب تجهیزات صنعتی و زیرساخت‌های حیاتی به میدان نبرد تبدیل شد.

در سال‌های بعد، اخاذی مالی به یک صنعت زیرزمینی چندمیلیارد دلاری بدل شد.

و امروز، حملات سایبری هم‌زمان می‌توانند بر اقتصاد، سیاست، امنیت ملی، سلامت، انرژی و حتی زندگی روزمره میلیون‌ها انسان اثر بگذارند.


بزرگ‌ترین اشتباه؛ تصور اینکه «هدف جذابی نیستیم»

یکی از رایج‌ترین باورهای اشتباه این است که:

«ما بانک نیستیم، دولت نیستیم، شرکت بزرگی نیستیم؛ پس کسی به ما حمله نمی‌کند.»

اما تجربه تقریباً تمام حملات بزرگ خلاف این را نشان داده است.

مهاجمان همیشه به دنبال مشهورترین قربانی نیستند.

گاهی آن‌ها به دنبال ضعیف‌ترین حلقه زنجیره هستند.

یک شرکت کوچک می‌تواند دروازه ورود به یک سازمان بزرگ باشد.

یک پیمانکار می‌تواند مسیر نفوذ به یک وزارتخانه شود.

یک حساب کاربری فراموش‌شده می‌تواند آغازگر بحرانی چندمیلیارددلاری باشد.


امنیت سایبری؛ مسابقه‌ای که خط پایان ندارد

در بسیاری از رشته‌های مهندسی، می‌توان پروژه‌ای را تکمیل کرد و گفت کار تمام شد.

اما در امنیت سایبری چنین چیزی وجود ندارد.

امروز یک آسیب‌پذیری برطرف می‌شود.

فردا فناوری جدیدی معرفی می‌شود.

پس‌فردا مهاجمان روش تازه‌ای پیدا می‌کنند.

به همین دلیل است که متخصصان امنیت همیشه از واژه Continuous Improvement یا «بهبود مستمر» استفاده می‌کنند.

امنیت، مقصد نیست؛ یک مسیر دائمی است.


شاید مهم‌ترین درس تمام این حملات

اگر بخواهیم هزاران صفحه گزارش فنی را تنها در یک جمله خلاصه کنیم، شاید این جمله بهترین توصیف باشد:

تقریباً هیچ‌کدام از بزرگ‌ترین حملات تاریخ فقط به خاطر یک آسیب‌پذیری نرم‌افزاری موفق نشدند؛ آن‌ها نتیجه ترکیب فناوری، خطای انسانی، اعتماد بیش از حد، ضعف فرایندها و تصمیم‌های اشتباه بودند.

به همین دلیل، امنیت سایبری فقط خرید تجهیزات گران‌قیمت یا نصب آنتی‌ویروس نیست.

امنیت یعنی:


آینده جنگ سایبری به کدام سمت می‌رود؟

با گسترش هوش مصنوعی، اینترنت اشیا، خودروهای متصل، شهرهای هوشمند، زیرساخت‌های ابری و سامانه‌های خودکار، سطح حمله هر روز بزرگ‌تر می‌شود.

در سال‌های آینده احتمالاً شاهد حملاتی خواهیم بود که اهدافی مانند:

را هدف قرار دهند.

در مقابل، فناوری‌های دفاعی نیز با سرعت در حال پیشرفت هستند؛ از تشخیص تهدید مبتنی بر هوش مصنوعی گرفته تا معماری Zero Trust، تحلیل رفتار کاربران و سامانه‌های خودکار پاسخ به رخداد.

نبرد ادامه دارد؛ فقط ابزارهای آن تغییر می‌کنند.


سخن پایانی

اگر تا اینجا همراه این مقاله بوده‌اید، احتمالاً متوجه شده‌اید که تاریخ امنیت سایبری، مجموعه‌ای از داستان‌های جدا از هم نیست.

Stuxnet بدون شناخت از سامانه‌های صنعتی قابل درک نیست.

NotPetya بدون درک زنجیره تأمین نرم‌افزار معنا پیدا نمی‌کند.

SolarWinds مفهوم اعتماد دیجیتال را زیر سؤال می‌برد.

Colonial Pipeline نشان می‌دهد یک حمله سایبری چگونه می‌تواند به بحران اقتصادی و اجتماعی تبدیل شود.

هر حمله، پاسخی به حمله قبل و زمینه‌ساز نسل بعدی تهدیدها بوده است.

شاید ده سال دیگر، فهرست بزرگ‌ترین حملات تاریخ کاملاً متفاوت باشد.

اما درس‌هایی که از این پرونده‌ها آموخته‌ایم، همچنان ارزشمند خواهند ماند.

زیرا فناوری تغییر می‌کند، اما اصول امنیت—مدیریت ریسک، دفاع لایه‌ای، آموزش، پایش مستمر و آمادگی برای پاسخ به بحران—همچنان ستون‌های اصلی دفاع سایبری باقی خواهند ماند.


سؤالات متداول (FAQ)

۱. بزرگ‌ترین حمله سایبری تاریخ کدام است؟

اگر معیار خسارت مالی باشد، بسیاری از پژوهشگران NotPetya را با برآوردی بیش از ۱۰ میلیارد دلار، پرهزینه‌ترین حمله سایبری تاریخ می‌دانند. اگر معیار پیچیدگی فنی باشد، Stuxnet و SolarWinds نیز در میان مهم‌ترین نمونه‌ها قرار می‌گیرند.


۲. خطرناک‌ترین بدافزار تاریخ چیست؟

پاسخ به معیار بستگی دارد. Stuxnet از نظر پیچیدگی، NotPetya از نظر خسارت اقتصادی، WannaCry از نظر سرعت انتشار و Triton از نظر تهدید بالقوه برای ایمنی انسان‌ها، هر کدام در دسته خود از مهم‌ترین بدافزارهای تاریخ محسوب می‌شوند.


۳. استاکس‌نت (Stuxnet) چه بود؟

استاکس‌نت یک بدافزار بسیار پیشرفته بود که در سال ۲۰۱۰ کشف شد و تأسیسات غنی‌سازی اورانیوم ایران را هدف قرار داد. این بدافزار توانست کنترل‌کننده‌های صنعتی (PLC) را دستکاری کند و بدون جلب توجه، به سانتریفیوژها آسیب برساند.


۴. تفاوت باج‌افزار و Wiper چیست؟

باج‌افزار با هدف دریافت پول، فایل‌ها را رمزنگاری می‌کند و معمولاً امکان بازیابی پس از پرداخت را وعده می‌دهد. اما Wiper برای نابودی اطلاعات طراحی شده است و هدف آن اخاذی نیست، بلکه ایجاد خسارت و اختلال است.


۵. حمله زنجیره تأمین (Supply Chain Attack) چیست؟

در این نوع حمله، مهاجم به‌جای حمله مستقیم به قربانی، یکی از تأمین‌کنندگان نرم‌افزار یا خدمات او را آلوده می‌کند تا از مسیر اعتماد، به اهداف اصلی دسترسی پیدا کند. حملات NotPetya و SolarWinds از مشهورترین نمونه‌ها هستند.


۶. APT یعنی چه؟

APT یا Advanced Persistent Threat به عملیات‌های هدفمند، طولانی‌مدت و پیچیده‌ای گفته می‌شود که معمولاً توسط گروه‌های سازمان‌یافته یا بازیگران وابسته به دولت‌ها انجام می‌شوند و هدف آن‌ها جاسوسی یا دسترسی ماندگار به شبکه قربانی است.


۷. گروه Lazarus چه گروهی است؟

Lazarus نامی است که شرکت‌های امنیتی به یک گروه هکری منتسب به کره شمالی داده‌اند. این گروه در گزارش‌های مختلف با حملاتی مانند WannaCry و سرقت‌های بزرگ ارزهای دیجیتال مرتبط دانسته شده است. دولت کره شمالی این اتهامات را رد می‌کند.


۸. چرا حمله SolarWinds تا این حد مهم بود؟

زیرا مهاجمان با نفوذ به فرآیند تولید نرم‌افزار، نسخه رسمی و امضاشده محصولی را آلوده کردند که هزاران سازمان به آن اعتماد داشتند. این حمله مفهوم امنیت زنجیره تأمین نرم‌افزار را به یکی از اولویت‌های اصلی سازمان‌ها تبدیل کرد.


۹. آیا شبکه‌ای که به اینترنت متصل نیست کاملاً امن است؟

خیر. هرچند شبکه‌های Air-Gapped امنیت بیشتری دارند، اما نمونه‌هایی مانند Stuxnet نشان داده‌اند که از طریق ابزارهایی مانند حافظه USB، لپ‌تاپ‌های پیمانکاران یا زنجیره تأمین نیز امکان نفوذ وجود دارد.


۱۰. چرا امنیت سایبری فقط مسئولیت تیم فناوری اطلاعات نیست؟

زیرا بسیاری از حملات از خطاهای انسانی، ضعف فرایندها، مدیریت نادرست دسترسی‌ها یا تصمیم‌های مدیریتی آغاز می‌شوند. امنیت سایبری نیازمند همکاری مدیران، کارکنان، تیم‌های فنی و حتی شرکای تجاری است.


۱۱. آیا پرداخت باج باعث بازگشت اطلاعات می‌شود؟

همیشه خیر. در برخی حملات مانند NotPetya، حتی با پرداخت باج نیز عملاً راهی برای بازیابی اطلاعات وجود نداشت. به همین دلیل، بسیاری از نهادهای امنیتی توصیه می‌کنند سازمان‌ها بر پیشگیری، نسخه پشتیبان و برنامه بازیابی تمرکز کنند.


۱۲. مهم‌ترین درس این حملات برای سازمان‌ها چیست؟

هیچ سازمانی نمی‌تواند فرض کند که هرگز هدف حمله قرار نمی‌گیرد. آنچه اهمیت دارد، تاب‌آوری سایبری است؛ یعنی توانایی پیشگیری، شناسایی، مهار و بازیابی سریع پس از یک حمله.


نتیجه‌گیری نهایی

ده حمله‌ای که در این مقاله بررسی شدند، فقط رویدادهایی در گذشته نیستند؛ هر کدام نقطه عطفی بودند که قوانین بازی را تغییر دادند و شیوه طراحی، دفاع و مدیریت امنیت را متحول کردند. شناخت این پرونده‌ها صرفاً مطالعه تاریخ نیست؛ بلکه شناخت آینده‌ای است که همچنان در حال شکل‌گیری است.