مقدمه
اگر به شما بگویند یک بدافزار میتواند بدون شلیک حتی یک گلوله، هزاران سانتریفیوژ هستهای را نابود کند، برق یک کشور را قطع کند، بزرگترین شرکتهای دنیا را فلج کند و میلیاردها دلار خسارت به اقتصاد جهان وارد کند، آیا باور میکنید؟
تا دو دهه پیش، حملات سایبری بیشتر به خرابکاریهای ساده، انتشار ویروسهای کامپیوتری یا هک شدن وبسایتها محدود میشد. در آن دوران، اگر وبسایتی از دسترس خارج میشد یا اطلاعات چند هزار کاربر به سرقت میرفت، خبر مهمی محسوب میشد. اما امروز شرایط کاملاً متفاوت است.
امروزه یک حمله سایبری میتواند باعث تعطیلی بیمارستانها، توقف خطوط تولید کارخانهها، قطع سوخترسانی، خاموشی شبکه برق، از کار افتادن بانکها و حتی آسیب دیدن تجهیزات فیزیکی شود. در دنیای مدرن، میدان نبرد دیگر فقط زمین، دریا، هوا و فضا نیست؛ فضای سایبری به پنجمین میدان جنگ تبدیل شده است.
همین موضوع باعث شده اصطلاحاتی مانند Cyber Warfare (جنگ سایبری)، Advanced Persistent Threat (APT)، Zero-Day Exploit، Supply Chain Attack و Ransomware از واژههای تخصصی به مفاهیمی آشنا حتی برای کاربران عادی تبدیل شوند.
اما این تحول یکشبه اتفاق نیفتاد. پشت هر یک از این مفاهیم، حملهای وجود دارد که نگاه متخصصان امنیت، دولتها و شرکتهای فناوری را برای همیشه تغییر داده است.
در این مقاله، قصد داریم به سراغ ۱۰ حمله سایبری برویم که نهتنها خسارتهای میلیارد دلاری بر جای گذاشتند، بلکه قوانین بازی در دنیای امنیت سایبری را نیز تغییر دادند.
برخی از این حملات، نخستین نمونههای شناختهشده جنگ سایبری میان دولتها بودند. برخی دیگر، ضعفهایی را آشکار کردند که میلیونها سازمان در سراسر جهان را در معرض خطر قرار داده بود. تعدادی نیز آنقدر پیچیده بودند که هنوز سالها بعد، در دانشگاهها و دورههای تخصصی امنیت سایبری بهعنوان نمونههای کلاسیک مورد بررسی قرار میگیرند.
چرا این حملات مهم هستند؟
ممکن است این سؤال مطرح شود که چرا با وجود هزاران حمله سایبری که هر سال رخ میدهد، تنها ۱۰ مورد در این فهرست قرار گرفتهاند؟
پاسخ ساده است؛ این حملات یکی یا چند مورد از ویژگیهای زیر را داشتند:
- برای نخستین بار یک تکنیک جدید را وارد دنیای امنیت سایبری کردند.
- خسارت مالی بیسابقهای به بار آوردند.
- زیرساختهای حیاتی مانند برق، انرژی، حملونقل یا سلامت را هدف قرار دادند.
- میلیونها یا حتی میلیاردها کاربر را تحت تأثیر قرار دادند.
- باعث تغییر سیاستهای امنیتی دولتها و شرکتهای بزرگ شدند.
- نگاه جهان به مفهوم «جنگ سایبری» را برای همیشه تغییر دادند.
به بیان دیگر، اگر این حملات هرگز رخ نمیدادند، احتمالاً امنیت سایبری امروز شکل کاملاً متفاوتی داشت.
حمله سایبری چیست و چه تفاوتی با هکهای معمولی دارد؟
وقتی نام «هک» را میشنویم، معمولاً تصویری از فردی با هودی مشکی، مانیتورهای متعدد و خطوط سبز رنگ ترمینال در ذهنمان شکل میگیرد؛ تصویری که فیلمهای هالیوودی طی سالها ساختهاند.
اما واقعیت بسیار پیچیدهتر است.
بسیاری از بزرگترین حملات تاریخ، حاصل کار یک نفر نبودهاند؛ بلکه نتیجه ماهها یا حتی سالها برنامهریزی، توسعه بدافزار، شناسایی هدف، جمعآوری اطلاعات و هماهنگی تیمهای بزرگ بودهاند.
در دنیای امنیت، به چنین عملیاتهایی معمولاً APT (Advanced Persistent Threat) گفته میشود؛ یعنی حملاتی که با منابع مالی، زمان و تخصص بسیار بالا و اغلب با اهداف راهبردی انجام میشوند.
در مقابل، هکهای رایجتر معمولاً اهدافی مانند سرقت اطلاعات، اخاذی با باجافزار یا سوءاستفاده مالی دارند و از نظر پیچیدگی و دامنه، قابل مقایسه با عملیاتهای APT نیستند.
از ویروسهای ساده تا سلاحهای سایبری
دهه ۱۹۸۰ و ۱۹۹۰، دوران ویروسهایی مانند Brain، Melissa و ILOVEYOU بود؛ بدافزارهایی که بیشتر با تکثیر خودکار و ایجاد اختلال شناخته میشدند.
اما با گسترش اینترنت، دیجیتالی شدن زیرساختهای حیاتی و اتصال صنایع به شبکه، مهاجمان نیز روشهای خود را تغییر دادند.
دیگر هدف صرفاً آلوده کردن یک رایانه شخصی نبود؛ بلکه خاموش کردن یک پالایشگاه، متوقف کردن شبکه حملونقل، نفوذ به یک نیروگاه یا جاسوسی از دولتها به اهداف اصلی تبدیل شد.
در همین دوره، حملاتی مانند Operation Aurora و سپس Stuxnet نشان دادند که جنگ سایبری دیگر یک فرضیه علمی-تخیلی نیست؛ بلکه به بخشی از واقعیت روابط بینالملل تبدیل شده است.
۱۰ حملهای که امنیت سایبری را بازتعریف کردند
در ادامه این مقاله، به ترتیب با این عملیاتها آشنا میشویم:
- Stuxnet؛ نخستین سلاح سایبری جهان که تأسیسات هستهای را هدف گرفت.
- Operation Aurora؛ حملهای که مفهوم APT را وارد ادبیات امنیت سایبری کرد.
- Shamoon؛ بدافزاری که دهها هزار رایانه یک غول نفتی را نابود کرد.
- Bangladesh Bank Heist؛ یکی از هوشمندانهترین سرقتهای تاریخ بانکداری.
- WannaCry؛ باجافزاری که بیمارستانها، کارخانهها و شرکتها را در بیش از ۱۵۰ کشور فلج کرد.
- NotPetya؛ حملهای که بیش از ۱۰ میلیارد دلار خسارت بر جای گذاشت و به گرانترین حمله سایبری تاریخ تبدیل شد.
- حمله به شبکه برق اوکراین؛ نخستین خاموشی گسترده ناشی از حمله سایبری.
- Triton (Trisis)؛ بدافزاری که سیستمهای ایمنی کارخانههای صنعتی را هدف گرفت و میتوانست به فاجعهای انسانی منجر شود.
- SolarWinds؛ حملهای که نشان داد حتی بهروزرسانی نرمافزارهای معتبر نیز میتوانند به دروازه نفوذ مهاجمان تبدیل شوند.
- Colonial Pipeline؛ حملهای که تنها با آلوده کردن شبکه یک شرکت، زنجیره تأمین سوخت آمریکا را مختل کرد.
هر کدام از این حملات، فصل جدیدی در تاریخ امنیت سایبری نوشتند؛ فصلهایی که هنوز هم متخصصان، دانشگاهها و سازمانهای امنیتی در حال مطالعه و درس گرفتن از آنها هستند.
اما شاید هیچکدام به اندازه اولین مورد این فهرست، یعنی Stuxnet، مسیر آینده جنگهای سایبری را تغییر نداده باشد؛ بدافزاری که بسیاری آن را پیچیدهترین و تأثیرگذارترین سلاح سایبری تاریخ میدانند.
فصل اول: استاکسنت؛ بدافزاری که ثابت کرد یک خط کد میتواند از یک بمب خطرناکتر باشد
اگر بخواهیم تنها یک حمله سایبری را بهعنوان نقطه آغاز جنگ سایبری مدرن معرفی کنیم، بدون تردید آن حمله "Stuxnet" است.
در دنیای امنیت سایبری، حملات زیادی رخ دادهاند که میلیونها دلار خسارت به بار آوردهاند؛ از سرقت اطلاعات گرفته تا باجافزارهایی که بیمارستانها و شرکتهای بزرگ را فلج کردهاند. اما استاکسنت از جنس دیگری بود.
برای نخستین بار در تاریخ، یک بدافزار نه برای سرقت اطلاعات، نه برای اخاذی و نه برای خراب کردن چند فایل طراحی شده بود؛ بلکه هدف آن تخریب فیزیکی تجهیزات صنعتی بود.
تا پیش از آن، بسیاری از متخصصان تصور میکردند حملات سایبری فقط در دنیای دیجیتال باقی میمانند. استاکسنت این تصور را برای همیشه از بین برد.
تابستانی که همهچیز تغییر کرد
تابستان سال ۲۰۱۰، شرکت امنیتی بلاروسی VirusBlokAda با بدافزاری عجیب روبهرو شد.
در نگاه اول، این بدافزار تفاوت زیادی با نمونههای دیگر نداشت؛ اما هرچه مهندسان بیشتر آن را بررسی کردند، با ویژگیهایی مواجه شدند که تا آن زمان تقریباً غیرقابل تصور بود.
بدافزار:
-
از چندین آسیبپذیری ناشناخته (Zero-Day) استفاده میکرد.
-
دارای گواهیهای دیجیتال معتبر و سرقتشده بود.
-
میتوانست بدون نیاز به اینترنت گسترش پیدا کند.
-
فقط یک هدف خاص را آلوده میکرد.
-
و مهمتر از همه، میتوانست تجهیزات صنعتی را تغییر دهد.
این دیگر یک ویروس معمولی نبود.
هدف واقعی چه بود؟
بعدها مشخص شد که هدف اصلی استاکسنت، تأسیسات غنیسازی اورانیوم نطنز بوده است.
اما سؤال اینجاست:
چگونه یک فایل کامپیوتری میتواند سانتریفیوژهای یک مرکز هستهای را نابود کند؟
پاسخ در دنیایی نهفته است که بسیاری از کاربران حتی نام آن را هم نشنیدهاند.
SCADA و PLC؛ مغز کارخانههای جهان
وقتی صحبت از حملات سایبری میشود، بیشتر افراد لپتاپ، سرور یا وبسایت را تصور میکنند.
اما بخش بزرگی از زیرساختهای جهان توسط رایانههای معمولی کنترل نمیشوند.
نیروگاهها، پالایشگاهها، خطوط تولید خودرو، کارخانههای فولاد، تصفیهخانههای آب، متروها و حتی سانتریفیوژهای هستهای توسط سیستمهایی به نام SCADA و PLC کنترل میشوند.
به زبان ساده:
PLC یک رایانه صنعتی بسیار مقاوم است که وظیفه کنترل تجهیزات فیزیکی را بر عهده دارد.
برای مثال:
-
باز و بسته کردن شیرهای نفت
-
کنترل سرعت موتور
-
تنظیم فشار گاز
-
کنترل توربین نیروگاه
-
کنترل دمای کوره
-
تنظیم سرعت سانتریفیوژ
همه این کارها توسط PLC انجام میشود.
در سطح بالاتر نیز سیستم SCADA قرار دارد که مانند مرکز فرماندهی، صدها یا هزاران PLC را مدیریت میکند.
تا پیش از استاکسنت، کمتر کسی تصور میکرد مهاجمان بتوانند این تجهیزات را هدف قرار دهند.
مشکل بزرگ مهاجمان؛ تأسیسات نطنز به اینترنت وصل نبود
اینجا یکی از جذابترین بخشهای داستان آغاز میشود.
تأسیسات حساس هستهای معمولاً به اینترنت متصل نیستند.
به چنین شبکههایی گفته میشود:
Air-Gapped Network
شبکهای که هیچ ارتباط مستقیمی با اینترنت ندارد.
سالها تصور میشد Air Gap بهترین روش دفاعی است.
اما طراحان استاکسنت نشان دادند حتی این روش نیز شکستپذیر است.
استاکسنت چگونه وارد یک شبکه بدون اینترنت شد؟
پاسخ، یک وسیله بسیار ساده بود:
فلش USB
بدافزار روی حافظههای USB قرار میگرفت.
به محض اتصال فلش به یک رایانه ویندوزی، بدون نیاز به اجرای هیچ فایلی، بدافزار فعال میشد.
این اتفاق به لطف استفاده از یکی از خطرناکترین مفاهیم امنیت سایبری رخ داد.
Zero-Day؛ سلاح مخفی استاکسنت
در امنیت سایبری اصطلاحی وجود دارد به نام:
Zero-Day Vulnerability
یعنی آسیبپذیریای که سازنده نرمافزار هنوز از وجود آن خبر ندارد و در نتیجه هیچ وصله امنیتی برای آن منتشر نشده است.
استاکسنت از چهار آسیبپذیری Zero-Day به طور همزمان استفاده میکرد.
برای مقایسه، حتی امروز نیز پیدا کردن یک Zero-Day بسیار ارزشمند است و در بازارهای قانونی و غیرقانونی ممکن است صدها هزار یا حتی میلیونها دلار قیمت داشته باشد.
اینکه یک بدافزار به طور همزمان از چهار Zero-Day استفاده کند، در سال ۲۰۱۰ تقریباً بیسابقه بود.
همین موضوع اولین زنگ خطر را برای متخصصان امنیت به صدا درآورد.
گواهیهای دیجیتال سرقتشده
ویندوز برای اطمینان از معتبر بودن نرمافزارها، از چیزی به نام Digital Certificate استفاده میکند.
اگر یک برنامه با گواهی معتبر امضا شده باشد، سیستمعامل راحتتر به آن اعتماد میکند.
استاکسنت موفق شده بود گواهیهای معتبر دو شرکت سختافزاری تایوانی را سرقت کند.
در نتیجه:
ویندوز تصور میکرد این بدافزار یک نرمافزار قانونی است.
این سطح از برنامهریزی نشان میداد سازندگان بدافزار، منابع و زمان بسیار زیادی در اختیار داشتهاند.
اما استاکسنت همه را آلوده نمیکرد
اینجا شاهکار واقعی آغاز میشود.
اگر استاکسنت وارد رایانهای میشد که هدف اصلی نبود، تقریباً هیچ کاری انجام نمیداد.
بدافزار ابتدا بررسی میکرد:
-
آیا نرمافزار Siemens Step7 نصب شده است؟
-
آیا PLCهای خاص زیمنس متصل هستند؟
-
آیا مدل تجهیزات با هدف از پیش تعیینشده مطابقت دارد؟
اگر پاسخ منفی بود...
تقریباً غیرفعال باقی میماند.
این رفتار باعث شد ماهها هیچکس متوجه مأموریت واقعی آن نشود.
حمله به سانتریفیوژها
وقتی همه شرایط برقرار میشد، استاکسنت وارد مرحله اصلی عملیات میشد.
وظیفه آن بسیار عجیب بود.
بدافزار سرعت چرخش سانتریفیوژها را تغییر میداد.
برای مدتی سرعت را به شکل غیرطبیعی افزایش میداد.
سپس ناگهان آن را کاهش میداد.
بعد دوباره همهچیز را عادی نشان میداد.
در ظاهر...
همه دستگاهها سالم بودند.
اما در واقع، تجهیزات تحت فشار مکانیکی شدید قرار میگرفتند.
در نتیجه، پس از مدتی سانتریفیوژها یکی پس از دیگری از کار میافتادند.
هوشمندانهترین بخش حمله
اگر اپراتورها به مانیتورها نگاه میکردند...
همه چیز طبیعی به نظر میرسید.
چرا؟
زیرا استاکسنت دادههای واقعی سنسورها را مخفی میکرد و اطلاعات قدیمی و سالم را نمایش میداد.
در واقع:
-
دستگاه خراب میشد.
-
اما مهندس تصور میکرد همه چیز طبیعی است.
این تکنیک بعدها به یکی از معروفترین نمونههای Data Manipulation در سیستمهای صنعتی تبدیل شد.
Rootkit برای PLC؛ چیزی که دنیا انتظارش را نداشت
قبل از استاکسنت، مفهوم Rootkit بیشتر در سیستمعاملهایی مانند ویندوز و لینوکس مطرح بود.
اما استاکسنت اولین بدافزاری بود که چیزی شبیه Rootkit برای PLC پیادهسازی کرد.
یعنی:
نهتنها خودش را از ویندوز مخفی میکرد،
بلکه حضورش را از خود کنترلکننده صنعتی نیز پنهان میکرد.
این سطح از پیچیدگی، بسیاری از پژوهشگران را شگفتزده کرد.
چه کسانی پشت استاکسنت بودند؟
هیچ کشوری تاکنون رسماً مسئولیت ساخت استاکسنت را بر عهده نگرفته است.
اما طی سالهای بعد، روزنامهنگاران، پژوهشگران و منابع اطلاعاتی مختلف، از جمله گزارشهای منتشرشده در کتاب Confront and Conceal نوشته روزنامهنگار آمریکایی David E. Sanger و تحقیقات متعدد رسانههایی مانند نیویورکتایمز، این عملیات را به پروژهای مشترک میان ایالات متحده و اسرائیل نسبت دادند.
در این گزارشها، از پروژهای محرمانه با نام Olympic Games یاد شده است؛ برنامهای که هدف آن کند کردن برنامه هستهای ایران از طریق ابزارهای سایبری بود.
با این حال، دولتهای آمریکا و اسرائیل هرگز بهصورت رسمی مسئولیت این عملیات را نپذیرفتهاند.
خسارت واقعی چقدر بود؟
بر اساس برآوردهای منتشرشده:
-
حدود ۱۰۰۰ سانتریفیوژ از مدار خارج شدند.
-
برنامه غنیسازی ایران برای مدتی با اختلال روبهرو شد.
-
میلیونها دلار خسارت مستقیم و غیرمستقیم ایجاد شد.
اما شاید مهمتر از خسارت مالی، پیام استاکسنت بود:
از این پس، کدهای کامپیوتری میتوانستند همان کاری را انجام دهند که پیشتر تنها از موشکها و بمبها انتظار میرفت.
استاکسنت چه مفاهیمی را وارد دنیای امنیت سایبری کرد؟
شاید بزرگترین میراث استاکسنت، خسارت آن نبود؛ بلکه تغییر نگرش جهان به امنیت سایبری بود.
پس از این حمله، مفاهیم زیر بهشدت مورد توجه قرار گرفتند:
-
Cyber Warfare (جنگ سایبری) بهعنوان یک ابزار واقعی در منازعات بینالمللی
-
حفاظت از ICS/SCADA بهعنوان زیرساختهای حیاتی
-
اهمیت امنیت شبکههای Air-Gapped
-
ارزش راهبردی Zero-Day Exploitها
-
حملات هدفمند به PLCها
-
استفاده از Rootkit در سامانههای صنعتی
-
مفهوم «تخریب فیزیکی از طریق کد»
در واقع، بسیاری از استانداردها، دستورالعملها و سرمایهگذاریهای امنیتی در حوزه فناوری عملیاتی (OT) و سیستمهای صنعتی، پس از افشای استاکسنت با جدیت بیشتری دنبال شدند.
چرا استاکسنت هنوز هم بیرقیب است؟
بیش از پانزده سال از کشف این بدافزار میگذرد، اما هنوز هم در دانشگاهها، دورههای تخصصی امنیت سایبری و آموزشهای مربوط به امنیت زیرساختهای صنعتی، استاکسنت بهعنوان یک مطالعه موردی تدریس میشود.
دلیل این ماندگاری، تنها پیچیدگی فنی آن نیست؛ بلکه این واقعیت است که استاکسنت مرز میان دنیای دیجیتال و فیزیکی را از بین برد. این حمله نشان داد که یک بدافزار میتواند نهتنها فایلها را پاک کند یا اطلاعات را بدزدد، بلکه به تجهیزات واقعی آسیب برساند و بر معادلات سیاسی و امنیتی جهان اثر بگذارد.
اگر پیش از سال ۲۰۱۰ بسیاری جنگ سایبری را مفهومی نظری میدانستند، پس از استاکسنت دیگر تردیدی باقی نماند: آینده جنگها فقط در میدانهای نبرد سنتی رقم نخواهد خورد؛ بلکه در خطوطی از کد نیز نوشته خواهد شد.
فصل دوم: Operation Aurora؛ حملهای که گوگل را وادار کرد با چین روبهرو شود
اگر استاکسنت آغاز جنگ سایبری بود، Operation Aurora آغاز عصر جاسوسی سایبری مدرن علیه شرکتهای فناوری محسوب میشود.
زمستان سال ۲۰۰۹، مهندسان امنیت گوگل با اتفاقی عجیب روبهرو شدند.
در ظاهر، همه چیز عادی به نظر میرسید. سرورها فعال بودند، سرویسها بدون مشکل کار میکردند و میلیونها کاربر روزانه از موتور جستجوی گوگل استفاده میکردند. هیچ خبری از باجافزار، پیامهای اخاذی یا خرابی گسترده نبود.
اما پشت پرده، مهاجمانی ناشناس ماهها بود که در سکوت، داخل شبکه گوگل زندگی میکردند.
آنها نه میخواستند سرورها را نابود کنند، نه اطلاعات کاربران عادی را بدزدند و نه سروصدا به پا کنند. هدفشان بسیار ارزشمندتر بود: دسترسی به اسرار یکی از مهمترین شرکتهای فناوری جهان.
این عملیات بعدها با نام Operation Aurora شناخته شد؛ حملهای که مفهوم Advanced Persistent Threat (APT) را از یک اصطلاح تخصصی به یکی از مهمترین مفاهیم امنیت سایبری تبدیل کرد.
اینترنت در آستانه یک جنگ پنهان
برای درک اهمیت Operation Aurora باید به فضای فناوری در اواخر دهه ۲۰۰۰ برگردیم.
گوگل دیگر فقط یک موتور جستجو نبود. این شرکت:
-
جیمیل را در اختیار صدها میلیون کاربر قرار داده بود.
-
اندروید را توسعه میداد.
-
روی فناوریهای ابری سرمایهگذاری میکرد.
-
و حجم عظیمی از دادههای ارزشمند، کدهای منبع و فناوریهای اختصاصی را در اختیار داشت.
در همان زمان، رقابت فناوری میان قدرتهای جهانی نیز شدت گرفته بود. اطلاعات فنی، مالکیت فکری (Intellectual Property) و دادههای پژوهشی، به داراییهایی همارزش منابع طبیعی تبدیل شده بودند.
در چنین فضایی، حمله به یک شرکت فناوری میتوانست ارزشی معادل نفوذ به یک مرکز نظامی داشته باشد.
اولین نشانهها؛ چیزی درست نبود
در اواخر سال ۲۰۰۹، تیم امنیت گوگل متوجه رفتارهایی غیرعادی در شبکه داخلی شد.
هیچ سیستم از کار نیفتاده بود، اما برخی درخواستها از سرورهایی ارسال میشد که نباید به اطلاعات حساس دسترسی میداشتند.
ردپای مهاجمان بسیار تمیز بود.
آنها:
-
لاگهای زیادی از خود باقی نگذاشته بودند.
-
از ابزارهای رایج هکری استفاده نمیکردند.
-
ترافیک شبکه را شبیه فعالیت عادی کاربران جلوه میدادند.
این همان چیزی است که امروز به آن Low and Slow Attack میگویند؛ حملهای که بهجای سرعت، بر مخفی ماندن تکیه دارد.
هدف واقعی چه بود؟
بررسیهای بعدی نشان داد که مهاجمان چند هدف مشخص داشتند.
مهمترین آنها عبارت بودند از:
۱. سرقت کدهای منبع (Source Code)
برای هر شرکت نرمافزاری، کد منبع ارزشمندترین دارایی است.
اگر مهاجم به کدهای داخلی دسترسی پیدا کند، میتواند:
-
آسیبپذیریهای ناشناخته را پیدا کند.
-
محصولات را مهندسی معکوس کند.
-
یا حتی نسخههای آلوده تولید کند.
گوگل یکی از مهمترین اهداف این بخش بود.
۲. دسترسی به حسابهای جیمیل
طبق اعلام گوگل، مهاجمان تلاش کرده بودند به حسابهای جیمیل متعلق به فعالان حقوق بشر چینی دسترسی پیدا کنند.
گوگل اعلام کرد که این حمله صرفاً یک عملیات سرقت اطلاعات تجاری نبوده، بلکه ابعاد سیاسی نیز داشته است.
۳. جاسوسی صنعتی
علاوه بر گوگل، دهها شرکت بزرگ دیگر نیز هدف قرار گرفتند.
از جمله:
-
Adobe
-
Juniper Networks
-
Rackspace
-
Yahoo
-
Symantec
-
Northrop Grumman
-
Dow Chemical
بعدها مشخص شد تعداد شرکتهای قربانی احتمالاً بیش از ۳۰ شرکت بوده است.
مهاجمان چگونه وارد گوگل شدند؟
یکی از جذابترین بخشهای این حمله، روش اولیه نفوذ بود.
مهاجمان از یک Zero-Day در مرورگر Internet Explorer استفاده کردند.
به زبان ساده:
کارمند شرکت تنها با باز کردن یک صفحه وب آلوده، بدافزار را اجرا میکرد.
در آن زمان، این آسیبپذیری برای مایکروسافت ناشناخته بود و هیچ وصله امنیتی برای آن وجود نداشت.
این موضوع بار دیگر اهمیت Zero-Dayها را به جهان نشان داد؛ مفهومی که پیشتر در استاکسنت نیز نقش کلیدی داشت.
مهندسی اجتماعی؛ نقطه شروع بسیاری از حملات
اما سؤال مهم این بود:
چگونه کارمند گوگل وارد آن صفحه آلوده شد؟
پاسخ، همان تکنیکی است که امروز نیز در بسیاری از حملات پیشرفته استفاده میشود:
Spear Phishing
برخلاف فیشینگ معمولی که هزاران ایمیل عمومی ارسال میشود، در Spear Phishing هر قربانی بهصورت اختصاصی انتخاب میشود.
مهاجم:
-
درباره قربانی تحقیق میکند.
-
علایق او را میشناسد.
-
همکارانش را بررسی میکند.
-
و ایمیلی کاملاً واقعی برای او ارسال میکند.
همین دقت باعث میشود قربانی کمتر به حمله مشکوک شود.
Operation Aurora یکی از نخستین نمونههای مشهور استفاده گسترده از این روش بود.
پس از نفوذ چه اتفاقی افتاد؟
بسیاری تصور میکنند هک شدن یعنی مهاجم فوراً اطلاعات را دانلود میکند و خارج میشود.
اما در عملیاتهای APT، تازه پس از نفوذ، مرحله اصلی آغاز میشود.
مهاجمان Aurora:
-
دسترسی خود را تثبیت کردند.
-
سطح دسترسی را افزایش دادند.
-
در شبکه حرکت جانبی (Lateral Movement) انجام دادند.
-
سرورهای مهم را شناسایی کردند.
-
و ماهها بدون جلب توجه اطلاعات جمعآوری کردند.
این مدل حمله بعدها به الگوی بسیاری از عملیاتهای جاسوسی سایبری تبدیل شد.
APT؛ مفهومی که دنیا آن را جدی گرفت
اگرچه اصطلاح Advanced Persistent Threat پیش از این نیز در برخی محافل امنیتی وجود داشت، اما Operation Aurora باعث شد این مفهوم بهطور گسترده وارد ادبیات امنیت سایبری شود.
بیایید این عبارت را ساده کنیم:
Advanced
یعنی مهاجم از ابزارها، آسیبپذیریها و تکنیکهای پیشرفته استفاده میکند.
Persistent
یعنی هدف او حضور طولانیمدت در شبکه است.
نه چند دقیقه...
نه چند ساعت...
بلکه گاهی ماهها یا حتی سالها.
Threat
یعنی با یک مهاجم حرفهای روبهرو هستیم، نه یک هکر تفننی.
امروزه تقریباً تمام شرکتهای امنیت سایبری، گروههای وابسته به دولتها را با همین عنوان معرفی میکنند؛ مانند:
-
APT28
-
APT29
-
APT35
-
APT41
چه کسی پشت Operation Aurora بود؟
گوگل در بیانیه رسمی خود مستقیماً نام کشوری را اعلام نکرد، اما منشأ حملات را چین دانست.
پس از آن، شرکتهای امنیتی از جمله McAfee، Symantec و Mandiant با تحلیل زیرساختها، بدافزارها و الگوهای رفتاری، این عملیات را به بازیگرانی منتسب کردند که با چین ارتباط داشتند.
سالها بعد، نام گروهی که امروزه با شناسه APT17 یا در برخی گزارشها Elderwood شناخته میشود نیز در ارتباط با این عملیات مطرح شد، هرچند انتساب دقیق همچنان موضوع بحث میان پژوهشگران است.
دولت چین هرگونه دخالت در این حمله را رد کرده است.
تصمیم تاریخی گوگل
شاید مهمترین پیامد Operation Aurora، اتفاقی بود که خارج از دنیای فنی رخ داد.
در ژانویه ۲۰۱۰، گوگل اعلام کرد دیگر حاضر نیست نتایج جستجو را مطابق خواسته دولت چین سانسور کند.
این تصمیم در نهایت به خروج بخش بزرگی از فعالیتهای جستجوی گوگل از بازار اصلی چین و انتقال خدمات جستجو به هنگکنگ منجر شد.
به این ترتیب، یک حمله سایبری نهتنها پیامدهای امنیتی، بلکه آثار سیاسی، اقتصادی و دیپلماتیک نیز به همراه داشت.
Operation Aurora چه چیزی را به دنیای امنیت سایبری آموخت؟
این حمله چند درس مهم برای جهان داشت:
امنیت فقط دیوار آتش نیست
تا پیش از آن، بسیاری از شرکتها تصور میکردند داشتن Firewall و آنتیویروس کافی است.
Aurora نشان داد مهاجم میتواند از طریق یک کارمند وارد شود.
انسان ضعیفترین حلقه امنیت است
حتی پیشرفتهترین شرکت فناوری جهان نیز از طریق یک حمله مهندسی اجتماعی آسیبپذیر بود.
از آن زمان، آموزش کارکنان به یکی از ارکان اصلی امنیت سایبری تبدیل شد.
امنیت باید مبتنی بر فرض نفوذ باشد
یکی از مهمترین تغییرات فکری پس از Aurora این بود که متخصصان امنیت دیگر فرض نکردند "شبکه امن است".
در عوض، این ایده شکل گرفت که:
«فرض کنید مهاجم همین حالا داخل شبکه شماست؛ چگونه او را پیدا میکنید؟»
این طرز فکر بعدها به توسعه مفاهیمی مانند Threat Hunting، Zero Trust و سامانههای پیشرفته تشخیص نفوذ کمک کرد.
خسارت واقعی Operation Aurora
برخلاف حملاتی مانند WannaCry یا NotPetya، Aurora کارخانهای را تعطیل نکرد و میلیاردها دلار خسارت مستقیم بر جای نگذاشت.
اما خسارت واقعی آن در جای دیگری بود:
-
افشای آسیبپذیری شرکتهای فناوری
-
سرقت احتمالی مالکیت فکری
-
تشدید رقابت سایبری میان قدرتهای جهانی
-
تغییر سیاستهای امنیتی شرکتهای بزرگ
-
آغاز سرمایهگذاری گسترده در تیمهای Threat Intelligence
به بیان دیگر، اگر استاکسنت ثابت کرد کد میتواند به تجهیزات فیزیکی آسیب بزند، Operation Aurora ثابت کرد اطلاعات، ارزشمندترین دارایی عصر دیجیتال است و برای بهدست آوردن آن، مهاجمان حاضرند ماهها یا حتی سالها در سکوت منتظر بمانند.
چرا Operation Aurora هنوز اهمیت دارد؟
امروز، بیش از پانزده سال پس از افشای این عملیات، تقریباً تمام حملات بزرگ منتسب به گروههای APT، الگوهایی را دنبال میکنند که در Aurora بهخوبی دیده میشد:
-
نفوذ اولیه از طریق مهندسی اجتماعی
-
استفاده از Zero-Day
-
حضور طولانیمدت و مخفیانه
-
حرکت جانبی در شبکه
-
سرقت اطلاعات حساس بهجای ایجاد تخریب فوری
به همین دلیل، بسیاری از متخصصان امنیت، Operation Aurora را نقطه آغاز عصر مدرن جاسوسی سایبری سازمانیافته میدانند؛ حملهای که نشان داد بزرگترین تهدید همیشه آن مهاجمی نیست که سر و صدا میکند، بلکه گاهی خطرناکترین دشمن، همان کسی است که ماهها در سکوت کنار شما زندگی میکند و هیچ ردپایی از خود باقی نمیگذارد.
فصل سوم: Shamoon؛ حملهای که قلب صنعت نفت جهان را هدف گرفت
اگر استاکسنت ثابت کرد که بدافزارها میتوانند تجهیزات صنعتی را نابود کنند، Shamoon ثابت کرد که یک بدافزار میتواند بزرگترین شرکت نفتی جهان را ظرف چند ساعت به عصر کاغذ و قلم بازگرداند.
در روزهای گرم ماه آگوست سال ۲۰۱۲، هیچکس در شرکت Saudi Aramco تصور نمیکرد تنها چند ساعت بعد، یکی از بزرگترین بحرانهای تاریخ این شرکت آغاز شود.
کارمندان مانند همیشه پشت رایانههای خود نشسته بودند. ایمیلها ارسال میشد، گزارشهای مالی ثبت میشد و هزاران کارمند در دفاتر مختلف این غول نفتی مشغول کار بودند.
اما در پشت پرده، بدافزاری که ماهها در سکوت داخل شبکه شرکت حرکت کرده بود، منتظر یک زمان مشخص بود.
ساعت از نیمهشب گذشت...
و ناگهان همه چیز تغییر کرد.
در عرض چند ساعت، بیش از ۳۰ هزار رایانه تقریباً بهطور همزمان از کار افتادند.
نه فایلها باقی مانده بودند...
نه سیستمعامل...
نه امکان راهاندازی دوباره رایانهها.
تنها چیزی که کاربران روی صفحه نمایش میدیدند، تصویری از پرچمی در حال سوختن بود.
آرامکو؛ چرا این شرکت هدف قرار گرفت؟
برای درک ابعاد این حمله، ابتدا باید بدانیم Saudi Aramco چه جایگاهی در اقتصاد جهان دارد.
آرامکو فقط یک شرکت نفتی نیست.
این شرکت:
-
بزرگترین تولیدکننده نفت جهان است.
-
میلیونها بشکه نفت در روز تولید میکند.
-
یکی از باارزشترین شرکتهای جهان محسوب میشود.
-
نقش مهمی در ثبات بازار جهانی انرژی دارد.
به زبان ساده، اگر فعالیت آرامکو برای مدت طولانی مختل شود، اثر آن فقط محدود به عربستان سعودی نخواهد بود؛ بلکه بازار جهانی انرژی نیز تحت تأثیر قرار میگیرد.
به همین دلیل، هدف قرار دادن آرامکو صرفاً حمله به یک شرکت نبود؛ بلکه پیامی به یکی از مهمترین صنایع جهان محسوب میشد.
آغاز حمله؛ نفوذی که کسی متوجه آن نشد
مانند بسیاری از حملات پیشرفته، Shamoon نیز با انفجار و سروصدا آغاز نشد.
مهاجمان ابتدا وارد شبکه داخلی شدند.
دقیقاً هنوز مشخص نیست اولین نقطه نفوذ چه بوده است، اما پژوهشگران احتمال میدهند ترکیبی از موارد زیر نقش داشته باشد:
-
مهندسی اجتماعی
-
سرقت اطلاعات ورود کاربران
-
آلوده شدن یکی از رایانههای داخلی
-
دسترسی از طریق شبکه شرکتهای پیمانکار
پس از ورود، بدافزار هفتهها در شبکه حرکت کرد.
این مرحله همان چیزی است که در امنیت سایبری به آن Reconnaissance یا شناسایی داخلی گفته میشود.
هدف مهاجم این نبود که سریع حمله کند.
او میخواست بداند:
-
چند رایانه وجود دارد؟
-
سرورهای اصلی کجا هستند؟
-
چه زمانی بیشترین خسارت ممکن ایجاد میشود؟
روز موعود
در تاریخ ۱۵ آگوست ۲۰۱۲، Shamoon فعال شد.
اما برخلاف بسیاری از ویروسها، مأموریت آن سرقت اطلاعات نبود.
حتی باج هم درخواست نمیکرد.
هدف بسیار ساده بود:
همه چیز را نابود کن.
Wiper؛ مفهومی که دنیا دوباره به یاد آورد
امروزه بسیاری از مردم با مفهوم Ransomware آشنا هستند.
باجافزار فایلها را رمزنگاری میکند و در ازای دریافت پول، کلید رمزگشایی را ارائه میدهد.
اما Shamoon از نوع دیگری بود.
بدافزارهای این خانواده را Wiper Malware مینامند.
تفاوت بسیار مهمی میان این دو وجود دارد.
Ransomware
-
اطلاعات را رمزنگاری میکند.
-
مهاجم به دنبال کسب درآمد است.
-
امکان بازیابی فایلها (در برخی موارد) وجود دارد.
اما...
Wiper
-
اطلاعات را عمداً نابود میکند.
-
هیچ راهی برای بازگرداندن دادهها وجود ندارد.
-
هدف، ایجاد حداکثر خسارت است.
به بیان دیگر، اگر باجافزار یک گروگانگیر باشد، Wiper بیشتر شبیه کسی است که ساختمان را آتش میزند.
Shamoon یکی از معروفترین نمونههای این خانواده محسوب میشود.
Shamoon چگونه کار میکرد؟
بدافزار از سه بخش اصلی تشکیل شده بود.
۱. Dropper
بخش اولیه که بدافزار را روی سیستم اجرا میکرد.
۲. Wiper
قلب اصلی عملیات.
این بخش:
-
فایلها را حذف میکرد.
-
Master Boot Record را بازنویسی میکرد.
-
اطلاعات دیسک را تخریب میکرد.
Master Boot Record یا MBR یکی از مهمترین بخشهای هارددیسک است.
رایانه هنگام روشن شدن، ابتدا این قسمت را میخواند.
اگر MBR آسیب ببیند، سیستمعامل دیگر بالا نمیآید.
به همین دلیل، بسیاری از رایانههای آلوده حتی امکان بوت شدن نیز نداشتند.
۳. Reporter
بخش سوم وضعیت عملیات را برای سرور فرماندهی ارسال میکرد.
به عبارت دیگر، مهاجمان میتوانستند ببینند چند سیستم با موفقیت نابود شدهاند.
چرا ۳۰ هزار رایانه تقریباً همزمان از کار افتادند؟
این یکی از شاهکارهای طراحی Shamoon بود.
بدافزار بلافاصله پس از ورود فعال نمیشد.
بلکه:
-
خودش را تکثیر میکرد.
-
منتظر زمان تعیینشده میماند.
-
و سپس تقریباً روی همه سیستمها همزمان اجرا میشد.
این روش باعث شد تیم فناوری اطلاعات فرصت واکنش نداشته باشد.
وقتی اولین رایانه خاموش شد...
دهها هزار سیستم دیگر نیز همزمان در حال نابود شدن بودند.
تصویر پرچم در حال سوختن
یکی از جنجالیترین بخشهای Shamoon، تصویری بود که پس از تخریب سیستمها نمایش داده میشد.
کاربران به جای ویندوز، تصویری از پرچم آمریکا در حال سوختن مشاهده میکردند.
این تصویر باعث شد بسیاری، حمله را دارای انگیزه سیاسی بدانند.
البته بعدها نسخههای دیگری از Shamoon نیز کشف شد که تصاویر متفاوتی نمایش میدادند.
آیا تولید نفت متوقف شد؟
اینجا نکته جالبی وجود دارد.
برخلاف تصور عمومی، تولید نفت تقریباً متوقف نشد.
چرا؟
زیرا شبکه فناوری اطلاعات (IT) از شبکه کنترل صنعتی (OT) جدا شده بود.
همین جداسازی باعث شد:
-
پالایشگاهها همچنان کار کنند.
-
استخراج نفت ادامه پیدا کند.
-
اما بخش اداری شرکت تقریباً فلج شود.
اگر این جداسازی وجود نداشت، احتمالاً خسارت بسیار بزرگتر میشد.
این اتفاق بعدها به یکی از مثالهای کلاسیک اهمیت Network Segmentation تبدیل شد.
خسارت واقعی چقدر بود؟
بر اساس گزارشهای منتشرشده:
-
بیش از ۳۰ هزار رایانه نابود شدند.
-
هزاران هارددیسک تعویض شد.
-
بسیاری از خدمات اداری برای هفتهها مختل شدند.
-
شرکت مجبور شد بخش زیادی از عملیات روزانه را بهصورت دستی انجام دهد.
برخی گزارشها میگویند کارکنان برای مدتی مجبور بودند از:
-
دستگاههای فکس
-
تلفن
-
فرمهای کاغذی
استفاده کنند؛ اتفاقی که برای یکی از پیشرفتهترین شرکتهای نفتی جهان، تقریباً غیرقابل تصور بود.
چه کسی مسئول این حمله بود؟
چند روز پس از حمله، گروهی با نام Cutting Sword of Justice مسئولیت آن را بر عهده گرفت.
این گروه در بیانیهای اعلام کرد که حمله در اعتراض به برخی سیاستهای عربستان سعودی انجام شده است.
اما این پایان ماجرا نبود.
دولت آمریکا و تعدادی از شرکتهای امنیت سایبری، با بررسی زیرساختها، کد بدافزار و سایر شواهد فنی، این عملیات را به بازیگران منتسب به ایران نسبت دادند.
با این حال:
-
هیچ دادگاه بینالمللی این انتساب را اثبات نکرده است.
-
ایران نیز این اتهام را رد کرده است.
-
بنابراین در ادبیات امنیت سایبری، Shamoon همچنان بهعنوان حملهای منتسب به بازیگران مرتبط با ایران شناخته میشود، نه حملهای با انتساب قطعی.
چرا Shamoon هنوز اهمیت دارد؟
تا پیش از این حمله، بسیاری از مدیران تصور میکردند اگر اطلاعات شرکت پشتیبانگیری شده باشد، خطر جدی وجود ندارد.
اما Shamoon نشان داد که مهاجم میتواند بهجای سرقت اطلاعات، زیرساخت فناوری اطلاعات یک سازمان را بهطور کامل نابود کند.
از آن پس، مفاهیمی مانند:
-
Disaster Recovery
-
Business Continuity
-
Offline Backup
-
Incident Response
از موضوعاتی لوکس به نیازهای حیاتی برای سازمانهای بزرگ تبدیل شدند.
اما شاید مهمترین درس Shamoon این بود که در جنگ سایبری، هدف همیشه سرقت اطلاعات نیست؛ گاهی مهاجم فقط میخواهد شما را از ادامه فعالیت بازدارد، حتی اگر خودش هیچ منفعت مالی مستقیمی به دست نیاورد.
فصل چهارم: Bangladesh Bank Heist؛ سرقتی که بدون اسلحه، ۸۱ میلیون دلار از بانک مرکزی ربود
در فیلمهای هالیوودی، بزرگترین سرقتهای بانکی با انفجار گاوصندوق، گروگانگیری و تعقیبوگریز همراه هستند. اما در سال ۲۰۱۶، گروهی از هکرها ثابت کردند برای سرقت دهها میلیون دلار، حتی لازم نیست وارد ساختمان بانک شوید.
صبح روز جمعه، ۵ فوریه ۲۰۱۶، کارمندان بانک مرکزی بنگلادش با مشکلی عجیب روبهرو شدند.
چاپگر مخصوص تراکنشهای بینالمللی از شب گذشته از کار افتاده بود.
در نگاه اول، اتفاق مهمی به نظر نمیرسید. چاپگرها خراب میشوند؛ تعمیر میشوند و دوباره به کار برمیگردند.
اما این چاپگر خراب، در واقع مهمترین سرنخ یکی از پیچیدهترین سرقتهای تاریخ بانکداری جهان بود.
وقتی مشکل برطرف شد، کارکنان با دهها پیام تأیید انتقال وجه مواجه شدند.
اما این انتقالها را هیچکس در بانک ثبت نکرده بود.
تقریباً یک میلیارد دلار در حال خروج از حساب بانک مرکزی بود.
بانک مرکزی بنگلادش؛ هدفی که کمتر کسی انتظارش را داشت
بانک مرکزی بنگلادش محل نگهداری بخشی از ذخایر ارزی این کشور بود.
بخش قابلتوجهی از این ذخایر در حسابی نزد بانک فدرال رزرو نیویورک نگهداری میشد؛ روشی رایج میان بانکهای مرکزی جهان برای تسهیل تسویههای بینالمللی.
این حساب از طریق شبکهای بسیار حساس به نام SWIFT قابل مدیریت بود.
همین شبکه، به نقطه آغاز یکی از بزرگترین سرقتهای تاریخ تبدیل شد.
SWIFT چیست و چرا اینقدر مهم است؟
بسیاری تصور میکنند وقتی از حسابی در یک کشور به حسابی در کشور دیگر پول منتقل میشود، بانکها مستقیماً با هم ارتباط دارند.
واقعیت پیچیدهتر است.
بیش از ۱۱ هزار مؤسسه مالی در سراسر جهان از شبکهای به نام SWIFT (Society for Worldwide Interbank Financial Telecommunication) برای ارسال پیامهای استاندارد مالی استفاده میکنند.
نکته بسیار مهم این است که:
SWIFT خودش پول جابهجا نمیکند.
بلکه پیامهای رسمی و معتبر میان بانکها را منتقل میکند؛ پیامهایی که به بانک مقصد میگویند چه مبلغی، از کدام حساب و به کجا منتقل شود.
به همین دلیل، اگر مهاجمی بتواند پیامهای معتبر SWIFT ارسال کند، از دید بانک مقصد، همهچیز کاملاً قانونی به نظر میرسد.
اولین مرحله؛ نفوذ به بانک
بررسیهای بعدی نشان داد مهاجمان مدتها قبل از روز سرقت وارد شبکه بانک شده بودند.
مانند بسیاری از عملیاتهای پیشرفته، آنها عجلهای نداشتند.
ابتدا:
-
ساختار شبکه را شناسایی کردند.
-
رایانههای مرتبط با SWIFT را پیدا کردند.
-
سطح دسترسی خود را افزایش دادند.
-
رفتار کارکنان را بررسی کردند.
به احتمال زیاد، نفوذ اولیه از طریق Spear Phishing یا بدافزار انجام شده بود؛ هرچند جزئیات دقیق آن هرگز بهطور کامل منتشر نشد.
چرا چاپگر را از کار انداختند؟
این شاید هوشمندانهترین بخش عملیات باشد.
در بانک مرکزی بنگلادش، هر پیام SWIFT پس از ارسال روی چاپگری اختصاصی چاپ میشد تا کارکنان بتوانند تراکنشها را بررسی کنند.
اگر این چاپگر کار میکرد، کارکنان همان شب متوجه انتقالهای مشکوک میشدند و احتمالاً بسیاری از آنها را متوقف میکردند.
اما مهاجمان با آلوده کردن سیستم، چاپگر را از کار انداختند.
نتیجه؟
پیامهای انتقال پول ارسال شدند، اما هیچکس آنها را ندید.
چند ساعت تأخیر، برای اجرای یکی از بزرگترین سرقتهای تاریخ کافی بود.
سرقت چگونه انجام شد؟
مهاجمان حدود ۳۵ درخواست انتقال وجه از طریق SWIFT ارسال کردند.
مجموع این درخواستها نزدیک به یک میلیارد دلار بود.
پول قرار بود به حسابهایی در:
-
فیلیپین
-
سریلانکا
منتقل شود.
اگر همه این درخواستها تأیید میشد، احتمالاً بزرگترین سرقت بانکی تاریخ رقم میخورد.
اما اتفاقی غیرمنتظره، همهچیز را تغییر داد.
یک اشتباه تایپی که صدها میلیون دلار را نجات داد
یکی از درخواستها به نام سازمانی ارسال شده بود که قرار بود پول به حساب آن واریز شود.
اما مهاجمان در نوشتن نام آن دچار اشتباه شدند.
بهجای Foundation، واژه Fandation نوشته شده بود.
همین اشتباه کوچک باعث شد کارکنان یکی از بانکهای واسط به درخواست مشکوک شوند.
همزمان، برخی تراکنشهای دیگر نیز به دلیل تطابق با فهرست تحریمها یا کنترلهای داخلی متوقف شدند.
در نهایت، بیشتر درخواستهای انتقال رد شد.
اما همه آنها نه.
۸۱ میلیون دلار؛ پولی که ناپدید شد
از مجموع درخواستها، حدود ۸۱ میلیون دلار با موفقیت به حسابهایی در فیلیپین منتقل شد.
پس از آن، پول با سرعت بسیار بالا میان چندین حساب جابهجا شد و بخش بزرگی از آن وارد کازینوها و شبکههای پولشویی شد.
همین موضوع، ردیابی وجوه را بسیار دشوار کرد.
سالها بعد نیز تنها بخشی از این مبلغ بازیابی شد.
چرا این حمله اینقدر خاص بود؟
بیشتر حملات سایبری با هدف:
-
سرقت اطلاعات
-
اخاذی
-
یا ایجاد اختلال
انجام میشوند.
اما Bangladesh Bank Heist هدف دیگری داشت:
سرقت مستقیم پول از سیستم مالی بینالمللی.
مهاجمان نه کارت بانکی دزدیدند، نه رمز عبور مشتریان را منتشر کردند و نه وبسایت بانک را از کار انداختند.
آنها از سازوکار رسمی بانکداری جهانی علیه خود بانک استفاده کردند.
همین موضوع باعث شد بسیاری از کارشناسان این حمله را یکی از هوشمندانهترین نمونههای سوءاستفاده از اعتماد در تاریخ امنیت سایبری بدانند.
چه کسی پشت این عملیات بود؟
هیچ گروهی مسئولیت این سرقت را بر عهده نگرفت.
با این حال، تحقیقات انجامشده توسط شرکتهای امنیت سایبری و نهادهای اطلاعاتی، شباهتهای قابلتوجهی میان این عملیات و فعالیتهای گروه Lazarus Group پیدا کرد.
این گروه که بهطور گسترده به کره شمالی منتسب میشود، پیش از این نیز به حملات مالی پیچیده و سرقت از مؤسسات مالی متهم شده بود.
دولت ایالات متحده و چند کشور دیگر، بعدها این عملیات را نیز به Lazarus نسبت دادند.
دولت کره شمالی این اتهامات را رد کرده است.
به همین دلیل، در منابع تخصصی از این حمله بهعنوان عملیاتی منتسب به Lazarus Group یاد میشود، نه حملهای با انتساب قطعی.
Lazarus؛ گروهی که بانکها را هدف قرار داد
برخلاف بسیاری از گروههای APT که تمرکز آنها بر جاسوسی است، Lazarus به دلیل حملات مالی گسترده شناخته میشود.
در سالهای بعد، این گروه به حملات بزرگی نیز منتسب شد؛ از جمله:
-
حمله به Sony Pictures در سال ۲۰۱۴
-
حمله باجافزاری WannaCry در سال ۲۰۱۷
-
سرقت صدها میلیون دلار از صرافیهای ارز دیجیتال
همین سابقه باعث شد Bangladesh Bank Heist به یکی از شناختهشدهترین عملیاتهای منتسب به این گروه تبدیل شود.
این حمله چه مفاهیم جدیدی را وارد دنیای امنیت کرد؟
Bangladesh Bank Heist چند درس مهم برای صنعت بانکداری داشت:
۱. امنیت زیرساخت از امنیت نرمافزار مهمتر است
شبکه SWIFT هک نشد.
آنچه هک شد، رایانهای بود که به SWIFT دسترسی داشت.
این تفاوت بسیار مهم است.
۲. اعتماد کورکورانه خطرناک است
بانکها سالها تصور میکردند هر پیام SWIFT معتبر است.
این حمله نشان داد اگر مهاجم بتواند از داخل بانک پیام ارسال کند، همان سازوکار امن نیز میتواند علیه خود بانک استفاده شود.
۳. لاگها و تجهیزات جانبی هم حیاتی هستند
یک چاپگر خراب، شاید در نگاه اول مسئله مهمی نباشد.
اما در این پرونده، همان چاپگر تنها راه کشف فوری سرقت بود.
پس از این حادثه، بسیاری از بانکها روشهای مانیتورینگ، ثبت رویدادها و کنترل تراکنشهای SWIFT را بازطراحی کردند.
میراث Bangladesh Bank Heist
این حمله فقط یک سرقت ۸۱ میلیون دلاری نبود.
بلکه زنگ خطری برای کل نظام مالی جهان بود.
بانکها دریافتند که امنیت، فقط به رمزنگاری و فایروال محدود نمیشود؛ بلکه فرآیندها، نیروی انسانی، تجهیزات جانبی و نظارت مستمر نیز به همان اندازه اهمیت دارند.
Bangladesh Bank Heist نشان داد که در عصر دیجیتال، بزرگترین سرقتهای بانکی دیگر با انفجار گاوصندوق انجام نمیشوند؛ بلکه با چند پیام معتبر، چند خط کد و هفتهها صبر و برنامهریزی ممکن است رخ دهند.
فصل پنجم: WannaCry؛ روزی که بیمارستانها خاموش شدند و جهان فهمید باجافزار فقط یک مشکل کامپیوتری نیست
جمعه، ۱۲ می ۲۰۱۷. بسیاری از کارکنان شرکتها و سازمانهای دولتی، آخرین ساعات کاری هفته را میگذراندند. کمتر از چند ساعت بعد، یکی از سریعترین و گستردهترین حملات سایبری تاریخ آغاز شد؛ حملهای که تنها در یک روز، بیش از ۲۰۰ هزار رایانه را در بیش از ۱۵۰ کشور آلوده کرد.
اما چیزی که WannaCry را به یک حمله تاریخی تبدیل کرد، فقط سرعت انتشار آن نبود.
برای نخستین بار، میلیونها نفر در سراسر جهان با چشمان خود دیدند که یک حمله سایبری میتواند:
-
بیمارستانها را تعطیل کند،
-
عملهای جراحی را به تعویق بیندازد،
-
کارخانههای خودروسازی را متوقف کند،
-
شرکتهای مخابراتی را فلج کند،
-
و حتی جان بیماران را به خطر بیندازد.
تا پیش از آن، امنیت سایبری برای بسیاری از مدیران، موضوعی مربوط به «واحد فناوری اطلاعات» بود.
بعد از WannaCry، دیگر همه فهمیدند امنیت سایبری، موضوعی مرتبط با ادامه حیات یک سازمان است.
دنیایی که برای این حمله آماده نبود
برای درک ابعاد فاجعه باید به وضعیت ویندوز در سال ۲۰۱۷ نگاه کنیم.
در آن زمان، هنوز میلیونها رایانه در سراسر جهان از نسخههای قدیمی ویندوز مانند:
-
Windows XP
-
Windows 7
-
Windows Server 2003
استفاده میکردند.
بسیاری از این سیستمها سالها بهروزرسانی نشده بودند.
در بیمارستانها، بانکها، کارخانهها و سازمانهای دولتی، تجهیزات پزشکی و صنعتی قدیمی به همین سیستمعاملها وابسته بودند و ارتقای آنها هزینه و ریسک بالایی داشت.
این یعنی میلیونها هدف بالقوه، آماده آلوده شدن بودند.
EternalBlue؛ سلاحی که هرگز قرار نبود منتشر شود
داستان WannaCry بدون آشنایی با EternalBlue کامل نمیشود.
چند ماه قبل از این حمله، گروهی با نام Shadow Brokers مجموعهای از ابزارهای نفوذ منتسب به آژانس امنیت ملی آمریکا (NSA) را منتشر کرد.
در میان این ابزارها، یکی از خطرناکترین اکسپلویتهای تاریخ قرار داشت:
EternalBlue
این ابزار از آسیبپذیری موجود در پروتکل SMBv1 (Server Message Block) ویندوز سوءاستفاده میکرد.
SMB پروتکلی است که برای اشتراکگذاری فایلها و چاپگرها در شبکههای ویندوزی استفاده میشود.
اگر سیستمی وصله امنیتی مایکروسافت را دریافت نکرده بود، EternalBlue میتوانست بدون نیاز به دانستن رمز عبور یا دخالت کاربر، کد مخرب را روی آن اجرا کند.
این یعنی مهاجم تنها با دسترسی شبکه، قادر بود کنترل کامل سیستم را به دست بگیرد.
مایکروسافت هشدار داده بود
دو ماه پیش از حمله، مایکروسافت وصله امنیتی MS17-010 را منتشر کرده بود.
اما میلیونها سیستم هرگز آن را نصب نکردند.
برخی سازمانها به دلیل نگرانی از ناسازگاری نرمافزارهای قدیمی، بهروزرسانی را به تعویق انداختند.
برخی دیگر اصلاً از وجود این وصله خبر نداشتند.
همین تأخیر، هزینهای میلیارددلاری به همراه داشت.
WannaCry چگونه کار میکرد؟
در نگاه اول، WannaCry یک باجافزار معمولی به نظر میرسید.
پس از آلوده کردن سیستم:
-
فایلها را رمزنگاری میکرد.
-
پسوند آنها را تغییر میداد.
-
و پیامی روی صفحه نمایش میداد که از قربانی میخواست مبلغی به بیتکوین پرداخت کند.
اما تفاوت اصلی آن با باجافزارهای قبلی، قابلیت انتشار خودکار بود.
ترکیب دو سلاح در یک بدافزار
WannaCry در واقع ترکیبی از دو نوع حمله بود:
اول: Ransomware
رمزنگاری فایلها و درخواست باج.
دوم: Worm
کرمهای رایانهای (Worm) برخلاف ویروسها، برای انتشار نیازی به دخالت کاربر ندارند.
آنها پس از آلوده کردن یک سیستم، بهطور خودکار سایر سیستمهای آسیبپذیر در شبکه را پیدا میکنند و آنها را نیز آلوده میکنند.
WannaCry از EternalBlue برای همین کار استفاده کرد.
در نتیجه:
یک رایانه آلوده میتوانست در عرض چند دقیقه، صدها رایانه دیگر را در همان شبکه آلوده کند.
همین ویژگی باعث شد سرعت انتشار آن با بسیاری از بدافزارهای قبلی قابل مقایسه نباشد.
کمتر از یک روز؛ فاجعه جهانی
در کمتر از ۲۴ ساعت، نقشه اینترنت پر از نقاط قرمز شد.
شرکتهای امنیتی شاهد موجی بیسابقه از آلودگی بودند.
قربانیان از سراسر جهان گزارش میدادند که فایلهایشان قفل شده است.
اما اتفاقات دردناکتر تازه در راه بود.
وقتی بیمارستانها از کار افتادند
یکی از بزرگترین قربانیان، سازمان خدمات درمانی ملی بریتانیا (NHS) بود.
دهها بیمارستان و مرکز درمانی با مشکلات جدی روبهرو شدند.
نتایج حمله شامل موارد زیر بود:
-
لغو هزاران نوبت درمانی
-
به تعویق افتادن عملهای جراحی
-
از دسترس خارج شدن پروندههای پزشکی
-
اختلال در سامانههای اورژانس
-
انتقال بیماران به مراکز درمانی دیگر
برای نخستین بار، جهان با این واقعیت روبهرو شد که یک حمله سایبری میتواند مستقیماً کیفیت خدمات درمانی را کاهش دهد و در شرایط بحرانی، جان بیماران را نیز به خطر بیندازد.
کارخانههایی که ناگهان متوقف شدند
WannaCry فقط بیمارستانها را هدف قرار نداد.
کارخانههای بزرگی نیز فعالیت خود را متوقف کردند.
از جمله:
-
کارخانههای خودروسازی Renault
-
خطوط تولید Nissan
-
شرکت مخابراتی Telefónica
-
شرکت لجستیکی FedEx
در بسیاری از موارد، مدیران تصمیم گرفتند کل شبکه را خاموش کنند تا از انتشار بیشتر بدافزار جلوگیری شود.
چرا این حمله اینقدر سریع گسترش یافت؟
سه عامل اصلی باعث موفقیت WannaCry شد:
۱. استفاده از آسیبپذیری بسیار قدرتمند
EternalBlue یکی از مؤثرترین اکسپلویتهای عمومی آن زمان بود.
۲. میلیونها سیستم وصلهنشده
اگرچه وصله امنیتی منتشر شده بود، اما بسیاری از سازمانها آن را نصب نکرده بودند.
۳. قابلیت Worm
این ویژگی باعث شد آلودگی بدون نیاز به کلیک کاربر، از یک رایانه به رایانه دیگر منتقل شود.
به همین دلیل، WannaCry بیشتر شبیه یک بیماری واگیردار بود تا یک باجافزار معمولی.
قهرمان غیرمنتظره؛ جوانی که دنیا را نجات داد
در اوج بحران، پژوهشگر امنیتی جوانی با نام مستعار MalwareTech (نام واقعی: Marcus Hutchins) در حال تحلیل کد بدافزار بود.
او متوجه شد بدافزار قبل از اجرا، تلاش میکند به دامنهای بسیار عجیب متصل شود.
این دامنه ثبت نشده بود.
هیوچینز برای بررسی بیشتر، دامنه را با هزینهای حدود ۱۰ دلار ثبت کرد.
اتفاقی عجیب رخ داد.
ناگهان سرعت انتشار WannaCry بهشدت کاهش یافت.
Kill Switch؛ اشتباهی که به نجات جهان انجامید
سازندگان WannaCry مکانیزمی در بدافزار قرار داده بودند که بعدها به نام Kill Switch شناخته شد.
اگر بدافزار موفق میشد به آن دامنه متصل شود، اجرای خود را متوقف میکرد.
هدف اصلی این مکانیزم احتمالاً جلوگیری از تحلیل بدافزار در محیطهای آزمایشگاهی (Sandbox) بود، اما ثبت همان دامنه باعث شد میلیونها نسخه از WannaCry تصور کنند در محیط تحلیل قرار دارند و از ادامه فعالیت منصرف شوند.
البته این پایان حمله نبود؛ نسخههای دیگری بدون Kill Switch نیز بعدها مشاهده شدند، اما نسخه اصلی تا حد زیادی مهار شد.
آیا مهاجمان واقعاً پول زیادی به دست آوردند؟
شاید عجیب باشد، اما پاسخ خیر است.
با وجود خسارتهای میلیارددلاری، مبلغی که از طریق کیفپولهای بیتکوین مرتبط با WannaCry دریافت شد، در مقایسه با ابعاد حمله بسیار ناچیز بود.
همین موضوع باعث شد برخی پژوهشگران معتقد باشند هدف اصلی عملیات، صرفاً کسب درآمد نبوده است.
چه کسی پشت WannaCry بود؟
پس از ماهها تحقیق، دولتهای:
-
ایالات متحده
-
بریتانیا
-
کانادا
-
استرالیا
-
ژاپن
و چند کشور دیگر، این حمله را به Lazarus Group منتسب کردند؛ گروهی که بهطور گسترده با کره شمالی مرتبط دانسته میشود.
شرکتهای امنیت سایبری مانند Symantec، Kaspersky و دیگران نیز شباهتهایی میان کد WannaCry و نمونههای قبلی منتسب به Lazarus پیدا کردند.
با این حال، دولت کره شمالی هرگونه دخالت را رد کرده است و این انتساب همچنان بر پایه تحلیلهای فنی و اطلاعاتی انجام میشود، نه پذیرش رسمی مسئولیت.
درسهایی که WannaCry به دنیا داد
اگر استاکسنت اهمیت امنیت زیرساختهای صنعتی را نشان داد و Operation Aurora ارزش اطلاعات را آشکار کرد، WannaCry یک پیام ساده اما حیاتی داشت:
بهروزرسانی نکردن سیستمها، میتواند هزینهای بسیار بیشتر از توقف چند دقیقهای سرویسها داشته باشد.
پس از این حمله، سازمانها در سراسر جهان سرمایهگذاری بیشتری روی موارد زیر انجام دادند:
-
مدیریت وصلههای امنیتی (Patch Management)
-
حذف پروتکلهای قدیمی مانند SMBv1
-
جداسازی شبکهها (Network Segmentation)
-
تهیه نسخههای پشتیبان آفلاین
-
برنامههای پاسخ به حادثه (Incident Response)
-
تمرینهای شبیهسازی حملات باجافزاری
اما مهمتر از همه، WannaCry نشان داد که امنیت سایبری دیگر فقط دغدغه مدیران فناوری اطلاعات نیست؛ بلکه موضوعی است که میتواند بر سلامت، اقتصاد، حملونقل و حتی امنیت ملی کشورها تأثیر مستقیم بگذارد.
میراث WannaCry
WannaCry یکی از نخستین حملاتی بود که میلیونها نفر از مردم عادی نام آن را شنیدند. تصاویر بیمارستانهای مختلشده، کارخانههای تعطیل و صفحه قرمز درخواست باج، برای همیشه در حافظه جمعی دنیای فناوری باقی ماند.
این حمله ثابت کرد که در عصر دیجیتال، یک آسیبپذیری وصلهنشده میتواند در عرض چند ساعت، به بحرانی جهانی تبدیل شود. از آن پس، مدیران سازمانها دیگر امنیت را یک هزینه اضافی نمیدیدند؛ بلکه آن را بخشی جداییناپذیر از تداوم کسبوکار میدانستند.
فصل ششم: NotPetya؛ بدافزاری که دنیا را فریب داد و گرانترین حمله سایبری تاریخ را رقم زد
اگر از متخصصان امنیت سایبری بپرسید مخربترین بدافزار تاریخ چیست، بسیاری بدون لحظهای تردید یک نام را میگویند: NotPetya.
جالب اینجاست که NotPetya حتی یک باجافزار واقعی هم نبود.
در روزهای نخست، همه تصور میکردند با نمونهای جدید از خانواده باجافزار Petya روبهرو هستند. صفحهای قرمز ظاهر میشد، فایلها غیرقابل دسترس میشدند و مهاجم درخواست پرداخت ۳۰۰ دلار بیتکوین میکرد.
همه چیز شبیه یک حمله باجافزاری معمولی بود.
اما فقط چند روز طول کشید تا پژوهشگران متوجه شوند حقیقت، بسیار تاریکتر از آن چیزی است که تصور میشد.
NotPetya اصلاً برای دریافت باج طراحی نشده بود.
هدف آن فقط یک چیز بود:
تخریب.
تابستان ۲۰۱۷؛ هنوز دنیا از شوک WannaCry خارج نشده بود
فقط شش هفته از حمله جهانی WannaCry گذشته بود.
سازمانها هنوز درگیر نصب وصلههای امنیتی، بررسی خسارتها و بازسازی شبکههای خود بودند.
بسیاری تصور میکردند بدترین بحران امنیت سایبری سال را پشت سر گذاشتهاند.
اما در ظهر روز ۲۷ ژوئن ۲۰۱۷، حملهای آغاز شد که حتی از WannaCry نیز خطرناکتر بود.
در ابتدا، گزارشها فقط از اوکراین میآمد.
بانکها از کار افتاده بودند.
فرودگاهها دچار اختلال شده بودند.
شرکتهای حملونقل فعالیت خود را متوقف کرده بودند.
اما چند ساعت بعد...
این حمله از مرزهای اوکراین عبور کرد.
نقطه شروع؛ یک بهروزرسانی نرمافزار
بیشتر حملات با یک ایمیل فیشینگ آغاز میشوند.
اما NotPetya راه متفاوتی را انتخاب کرد.
مهاجمان موفق شدند به شرکت سازنده نرمافزار حسابداری محبوبی به نام M.E.Doc نفوذ کنند؛ نرمافزاری که هزاران شرکت اوکراینی برای امور مالی و مالیاتی از آن استفاده میکردند.
کاربران طبق روال همیشگی، آخرین بهروزرسانی نرمافزار را دریافت کردند.
اما این بار، بهجای یک فایل سالم، بدافزار وارد شبکه آنها شد.
این دقیقاً همان مفهومی است که امروز آن را Supply Chain Attack مینامیم.
Supply Chain Attack؛ وقتی به نرمافزار خودتان هم نمیتوانید اعتماد کنید
تا پیش از NotPetya، بیشتر مدیران تصور میکردند اگر نرمافزاری را از شرکت سازنده دانلود کنند، امنیت آن تضمین شده است.
اما این حمله ثابت کرد:
گاهی خود شرکت سازنده قربانی میشود.
در Supply Chain Attack، مهاجم مستقیماً به قربانی نهایی حمله نمیکند.
او ابتدا یکی از تأمینکنندگان نرمافزار، سختافزار یا خدمات را آلوده میکند.
سپس قربانی، با اعتماد کامل، بدافزار را خودش نصب میکند.
این یکی از خطرناکترین مفاهیم امنیت سایبری مدرن است؛ مفهومی که سه سال بعد در حمله SolarWinds دوباره جهان را شوکه کرد.
اما چرا فقط اوکراین؟
پژوهشگران معتقدند هدف اولیه عملیات، زیرساختهای اوکراین بود.
در آن زمان، بسیاری از شرکتهای اوکراینی برای ارسال گزارشهای مالیاتی، ناچار به استفاده از M.E.Doc بودند.
به همین دلیل، آلوده کردن این نرمافزار، راهی بسیار مؤثر برای نفوذ به هزاران سازمان بود.
اما مشکل اینجا بود که اقتصاد امروز جهانی است.
بسیاری از شرکتهای بینالمللی نیز در اوکراین شعبه داشتند.
وقتی یکی از دفاتر آنها آلوده شد...
بدافزار وارد شبکه جهانی همان شرکت شد.
و اینجا بود که فاجعه آغاز شد.
چرا نام آن NotPetya شد؟
در ابتدا، همه تصور میکردند نسخه جدیدی از باجافزار Petya منتشر شده است.
اما بررسی کد نشان داد:
تقریباً هیچ ارتباطی با Petya اصلی ندارد.
از آن زمان، پژوهشگران برای جلوگیری از اشتباه، نام NotPetya را برای آن انتخاب کردند.
باجافزاری که اصلاً قصد دریافت باج نداشت
در ظاهر، قربانی پیام زیر را میدید:
فایلهای شما رمزنگاری شدهاند. برای بازیابی آنها ۳۰۰ دلار بیتکوین پرداخت کنید.
اما در عمل...
پرداخت باج تقریباً هیچ فایدهای نداشت.
چرا؟
زیرا مکانیزم بازیابی فایلها عملاً وجود نداشت.
ایمیل تماس مهاجمان نیز خیلی زود توسط سرویسدهنده مسدود شد.
هیچ سامانهای برای ثبت پرداختها طراحی نشده بود.
هیچ کلید اختصاصی برای قربانیان تولید نمیشد.
در واقع، حتی اگر همه قربانیان پول پرداخت میکردند، راهی برای بازگرداندن اطلاعات وجود نداشت.
به همین دلیل، متخصصان امنیت نتیجه گرفتند که پیام درخواست باج، صرفاً پوششی برای پنهان کردن ماهیت واقعی بدافزار بوده است.
Wiper در لباس Ransomware
در فصل Shamoon با مفهوم Wiper آشنا شدیم.
NotPetya همان ایده را با ظاهری متفاوت اجرا کرد.
بهجای اینکه مستقیم اعلام کند اطلاعات را نابود میکند، وانمود کرد یک باجافزار است.
اما در پشت پرده، ساختار فایلها را به شکلی تغییر میداد که عملاً بازیابی آنها غیرممکن میشد.
این تفاوت بسیار مهمی بود.
اگر هدف درآمد باشد، مهاجم باید بتواند فایلها را پس از دریافت پول بازگرداند.
اما اگر هدف تخریب باشد...
اصلاً نیازی به چنین قابلیتی وجود ندارد.
شاهکار فنی NotPetya؛ انتشار برقآسا
اگر سرعت WannaCry شما را شگفتزده کرد، NotPetya یک گام جلوتر بود.
این بدافزار فقط به EternalBlue متکی نبود.
پس از آلوده کردن اولین سیستم، تلاش میکرد:
-
رمزهای عبور ذخیرهشده را استخراج کند.
-
از ابزارهای قانونی ویندوز مانند PsExec استفاده کند.
-
از Windows Management Instrumentation (WMI) برای اجرای دستورات روی سایر سیستمها بهره ببرد.
-
با استفاده از اعتبارنامههای واقعی مدیران شبکه، به سرورهای دیگر دسترسی پیدا کند.
این تکنیکها باعث شد حتی شبکههایی که آسیبپذیری EternalBlue را وصله کرده بودند نیز در امان نباشند.
Living off the Land؛ استفاده از ابزارهای خود ویندوز
یکی از مهمترین مفاهیمی که پس از NotPetya بیش از گذشته مورد توجه قرار گرفت، Living off the Land بود.
در این روش، مهاجم بهجای نصب ابزارهای عجیب، از همان ابزارهایی استفاده میکند که مدیران سیستم هر روز از آنها استفاده میکنند.
مزیت این روش چیست؟
تشخیص آن بسیار دشوارتر است.
وقتی یک مدیر شبکه از PsExec استفاده میکند، طبیعی است.
اما اگر مهاجم همان ابزار را با همان دسترسی اجرا کند، تشخیص رفتار مخرب بسیار سختتر خواهد بود.
امروزه تقریباً تمام گروههای APT از این تکنیک استفاده میکنند.
شرکتهایی که ناگهان فلج شدند
اگرچه هدف اولیه اوکراین بود، اما خسارت واقعی در سراسر جهان احساس شد.
یکی از معروفترین قربانیان، شرکت کشتیرانی Maersk بود.
Maersk حدود ۲۰ درصد حملونقل کانتینری جهان را انجام میدهد.
چند ساعت پس از آلودگی:
-
سیستمهای رزرو از کار افتادند.
-
پایانههای بندری مختل شدند.
-
هزاران کانتینر بدون اطلاعات باقی ماندند.
-
کارکنان مجبور شدند عملیات را بهصورت دستی انجام دهند.
مدیران شرکت بعدها گفتند:
تقریباً تمام زیرساخت فناوری اطلاعات آنها از کار افتاده بود.
برای بازگرداندن شبکه، هزاران سرور و دهها هزار رایانه مجدداً نصب شدند.
روایت مشهور مهندسان Maersk از بازیابی یکی از کنترلکنندههای دامنه سالم از دفتری در غنا، بعدها به یکی از داستانهای کلاسیک تابآوری سایبری تبدیل شد؛ زیرا همان نسخه سالم نقش مهمی در بازسازی زیرساخت هویتی شرکت داشت.
قربانیان فقط Maersk نبودند
شرکتهای بزرگ دیگری نیز آسیب دیدند، از جمله:
-
Merck (داروسازی)
-
FedEx / TNT Express (حملونقل)
-
Saint-Gobain (مصالح ساختمانی)
-
Mondelez (تولیدکننده مواد غذایی)
در بسیاری از این شرکتها، خطوط تولید برای روزها یا هفتهها متوقف شد.
این حمله نشان داد که حتی اگر شرکت شما در کشور هدف نباشد، ارتباط با یک شعبه آلوده یا یک زنجیره تأمین مشترک میتواند شما را نیز قربانی کند.
گرانترین حمله سایبری تاریخ
برآورد خسارت NotPetya سرسامآور بود.
کارشناسان مجموع خسارت جهانی را بیش از ۱۰ میلیارد دلار تخمین زدهاند.
این رقم شامل:
-
توقف تولید
-
اختلال در حملونقل
-
بازیابی سامانهها
-
تعویض تجهیزات
-
کاهش درآمد
-
هزینههای حقوقی و بیمه
بود.
به همین دلیل، بسیاری از منابع امنیتی و اقتصادی، NotPetya را گرانترین حمله سایبری تاریخ میدانند.
چه کسی پشت NotPetya بود؟
هیچ گروهی مسئولیت این عملیات را بر عهده نگرفت.
با این حال، دولتهای:
-
ایالات متحده
-
بریتانیا
-
کانادا
-
استرالیا
و چند کشور دیگر، این حمله را به بازیگران منتسب به روسیه نسبت دادند و آن را با گروهی که در گزارشهای امنیتی با نام Sandworm شناخته میشود مرتبط دانستند.
دولت روسیه این اتهامات را رد کرده است.
مانند بسیاری از عملیاتهای سایبری در سطح دولتها، انتساب بر پایه مجموعهای از شواهد فنی، اطلاعاتی و تحلیلهای بینالمللی انجام شده است، نه پذیرش رسمی مسئولیت.
مهمترین درس NotPetya
اگر بخواهیم تنها یک جمله از این حمله به خاطر بسپاریم، شاید این باشد:
گاهی خطرناکترین بدافزارها، آنهایی هستند که اصلاً قصد کسب درآمد ندارند.
NotPetya نشان داد که یک حمله میتواند با هدف ایجاد اختلال اقتصادی، بیثبات کردن زیرساختها و وارد کردن خسارت گسترده طراحی شود؛ حتی اگر مهاجمان هیچ سود مالی مستقیمی از آن نبرند.
همچنین این حمله باعث شد مفاهیمی مانند:
-
امنیت زنجیره تأمین (Supply Chain Security)
-
اعتماد صفر (Zero Trust)
-
تقسیمبندی شبکه (Network Segmentation)
-
مدیریت اعتبارنامههای ممتاز (Privileged Access Management)
-
و برنامههای بازیابی از بحران (Cyber Resilience)
به اولویتهای اصلی سازمانهای بزرگ تبدیل شوند.
میراث NotPetya
اگر WannaCry به دنیا یاد داد که وصلههای امنیتی را جدی بگیرد، NotPetya درس سختتری داد:
حتی اگر سیستمهای خودتان را ایمن کرده باشید، امنیت شما به امنیت تأمینکنندگان، شرکای تجاری و نرمافزارهایی که به آنها اعتماد میکنید نیز وابسته است.
این حمله، مفهوم ریسک زنجیره تأمین را از یک نگرانی نظری به واقعیتی انکارناپذیر تبدیل کرد؛ واقعیتی که تنها سه سال بعد، در حمله مشهور SolarWinds دوباره با ابعادی حتی پیچیدهتر خود را نشان داد.
فصل هفتم: حمله به شبکه برق اوکراین؛ نخستین خاموشی بزرگ که با چند کلیک آغاز شد
۲۳ دسامبر ۲۰۱۵. کمتر از دو روز به کریسمس مانده بود. هوا سرد بود و هزاران خانواده اوکراینی خود را برای تعطیلات آماده میکردند. اما در ساعت ۳:۳۰ بعدازظهر، چراغ خانهها یکی پس از دیگری خاموش شد.
در ابتدا، بسیاری تصور کردند مشکل از طوفان زمستانی یا نقص فنی است.
اما مهندسان شرکتهای توزیع برق، وقتی وارد سامانههای کنترل شدند، با صحنهای روبهرو شدند که پیش از آن تنها در فیلمهای علمیتخیلی دیده بودند.
نشانگر ماوس روی صفحه حرکت میکرد...
اما هیچکس پشت رایانه ننشسته بود.
کلیدهای قطع برق یکی پس از دیگری فعال میشدند.
پستهای برق از راه دور خاموش میشدند.
و اپراتورها فقط نظارهگر بودند.
این نخستین حمله شناختهشدهای بود که بهطور مستقیم باعث قطع برق گسترده برای شهروندان شد و ثابت کرد که جنگ سایبری دیگر محدود به سرقت اطلاعات یا از کار انداختن وبسایتها نیست؛ بلکه میتواند زندگی روزمره مردم را مختل کند.
شبکه برق؛ یکی از پیچیدهترین سامانههای جهان
بسیاری تصور میکنند شبکه برق فقط مجموعهای از کابلها و نیروگاههاست.
اما واقعیت بسیار پیچیدهتر است.
یک شبکه برق مدرن از هزاران جزء تشکیل شده است:
-
نیروگاهها
-
پستهای انتقال
-
پستهای توزیع
-
سیستمهای مخابراتی
-
تجهیزات حفاظتی
-
سامانههای کنترل صنعتی
همه این اجزا از طریق سامانههایی موسوم به SCADA (Supervisory Control and Data Acquisition) مدیریت میشوند.
SCADA به اپراتورها اجازه میدهد از صدها کیلومتر دورتر:
-
کلیدها را باز و بسته کنند،
-
ولتاژ را کنترل کنند،
-
وضعیت تجهیزات را مشاهده کنند،
-
و در صورت وقوع حادثه، شبکه را مدیریت کنند.
همین قابلیت که بهرهوری شبکه را افزایش داده بود، به نقطه ورود مهاجمان نیز تبدیل شد.
حملهای که ماهها قبل آغاز شده بود
برخلاف تصور عمومی، خاموشی برق در دسامبر ۲۰۱۵ فقط چند دقیقه طول کشید؛ اما عملیات سایبری ماهها قبل آغاز شده بود.
تحقیقات بعدی نشان داد مهاجمان مدت زیادی را صرف آمادهسازی کرده بودند.
مراحل حمله تقریباً به این شکل بود:
-
ارسال ایمیلهای فیشینگ به کارکنان شرکتهای برق.
-
آلوده کردن رایانههای داخلی.
-
سرقت اطلاعات ورود کارکنان.
-
حرکت جانبی در شبکه.
-
شناسایی سامانههای SCADA.
-
مطالعه دقیق فرآیندهای عملیاتی.
-
انتخاب زمان مناسب برای اجرای حمله.
این دقیقاً همان الگوی Advanced Persistent Threat (APT) بود که پیشتر در Operation Aurora نیز مشاهده کردیم.
BlackEnergy؛ بدافزاری که راه را باز کرد
یکی از ابزارهای اصلی مهاجمان، بدافزاری به نام BlackEnergy بود.
نسخههای اولیه BlackEnergy سالها قبل برای حملات DDoS طراحی شده بودند، اما در طول زمان به بستری برای جاسوسی، جمعآوری اطلاعات و اجرای ماژولهای مخرب تبدیل شدند.
در حمله به اوکراین، این بدافزار به مهاجمان کمک کرد تا:
-
در شبکه باقی بمانند،
-
اطلاعات جمعآوری کنند،
-
و دسترسی خود را گسترش دهند.
اما BlackEnergy تنها ابزار آنها نبود.
وقتی هکرها مانند اپراتور برق عمل کردند
یکی از شگفتانگیزترین بخشهای این عملیات، نحوه اجرای آن بود.
مهاجمان آسیبپذیری ناشناختهای در تجهیزات صنعتی پیدا نکرده بودند.
آنها کار بسیار سادهتری انجام دادند.
با استفاده از نام کاربری و رمز عبور واقعی کارکنان، وارد سامانه SCADA شدند.
سپس دقیقاً همان کاری را انجام دادند که یک اپراتور مجاز انجام میدهد:
-
انتخاب پست برق
-
باز کردن کلید
-
قطع برق
در واقع، بسیاری از دستورات ارسالشده کاملاً قانونی بودند.
تنها تفاوت این بود که شخص پشت صفحهکلید، یک مهاجم بود.
این حمله بار دیگر نشان داد که گاهی سرقت اعتبارنامهها بسیار ارزشمندتر از کشف یک آسیبپذیری پیچیده است.
حمله فقط به برق محدود نبود
اگر مهاجمان فقط برق را قطع میکردند، احتمالاً شرکتها خیلی زود شبکه را بازیابی میکردند.
اما آنها برای هر مرحله برنامه داشتند.
همزمان با قطع برق:
-
سامانههای ارتباطی مختل شدند.
-
برخی تجهیزات شبکه از کار افتادند.
-
مراکز تماس شرکتهای برق هدف حملات تلفنی (Telephone DoS) قرار گرفتند.
هزاران تماس همزمان باعث شد مشترکان نتوانند خرابی را گزارش دهند یا اطلاعات دریافت کنند.
این هماهنگی نشان میداد مهاجمان صرفاً برنامهنویسان ماهری نبودند؛ بلکه فرآیندهای عملیاتی شرکتهای برق را نیز بهخوبی مطالعه کرده بودند.
KillDisk؛ مرحله پایانی عملیات
پس از پایان خاموشی، مهاجمان ابزار دیگری را فعال کردند:
KillDisk
وظیفه این بدافزار، پاک کردن فایلها و تخریب برخی سیستمها بود تا فرآیند بازیابی دشوارتر شود.
به این ترتیب، حتی پس از بازگشت برق، تیمهای فناوری اطلاعات با شبکهای روبهرو بودند که بخشی از آن عمداً تخریب شده بود.
این الگو را بعدها دوباره در حملاتی مانند NotPetya نیز مشاهده کردیم؛ جایی که هدف فقط ایجاد اختلال لحظهای نبود، بلکه افزایش هزینه و زمان بازیابی نیز اهمیت داشت.
چه تعداد از مردم تحت تأثیر قرار گرفتند؟
برآوردها نشان میدهد حدود ۲۲۵ هزار تا ۲۵۰ هزار نفر برای چند ساعت برق خود را از دست دادند.
در مقایسه با خاموشیهای ناشی از بلایای طبیعی، این عدد شاید بزرگ به نظر نرسد.
اما اهمیت تاریخی این حمله در تعداد قربانیان نبود.
برای نخستین بار، جهان دید که یک حمله سایبری میتواند مستقیماً زیرساخت حیاتی یک کشور را مختل کند.
آیا مهاجمان فقط از بدافزار استفاده کردند؟
خیر.
یکی از مهمترین ویژگیهای این عملیات، ترکیب چندین تکنیک مختلف بود:
-
مهندسی اجتماعی
-
بدافزار
-
سرقت اعتبارنامهها
-
حرکت جانبی
-
کنترل از راه دور
-
حملات تلفنی
-
تخریب سامانهها
امروزه این نوع عملیات را Multi-Stage Attack یا حمله چندمرحلهای مینامند.
موفقیت حمله، نتیجه یک ابزار خاص نبود؛ بلکه حاصل هماهنگی دقیق میان چندین تکنیک مختلف بود.
چه کسی پشت این حمله بود؟
شرکتهای امنیت سایبری مانند ESET، Dragos و دیگر پژوهشگران، با بررسی شواهد فنی، این عملیات را به گروهی که با نام Sandworm شناخته میشود منتسب کردند.
دولتهای آمریکا و چند کشور غربی نیز در سالهای بعد، این گروه را با نهادهای اطلاعاتی و نظامی روسیه مرتبط دانستند.
دولت روسیه این اتهامات را رد کرده است.
در ادبیات امنیت سایبری، حمله به شبکه برق اوکراین معمولاً بهعنوان عملیاتی منتسب به Sandworm شناخته میشود.
یک سال بعد؛ حملهای حتی پیشرفتهتر
ماجرا به همینجا ختم نشد.
در سال ۲۰۱۶، حمله دیگری علیه شبکه برق اوکراین رخ داد.
این بار، پژوهشگران با بدافزار جدیدی به نام Industroyer (یا CrashOverride) روبهرو شدند.
برخلاف حمله سال ۲۰۱۵ که بخش زیادی از عملیات بهصورت دستی انجام شده بود، Industroyer برای صحبت کردن با پروتکلهای صنعتی طراحی شده بود و میتوانست بخشی از فرآیند حمله را خودکار کند.
بسیاری از متخصصان، Industroyer را یکی از خطرناکترین بدافزارهای تاریخ زیرساختهای صنعتی میدانند؛ زیرا مستقیماً پروتکلهای مورد استفاده در شبکههای برق را هدف قرار میداد.
مهمترین مفهومی که این حمله وارد دنیای امنیت کرد
اگر بخواهیم تنها یک درس از این عملیات انتخاب کنیم، آن درس این است:
امنیت فناوری اطلاعات (IT) و امنیت فناوری عملیاتی (OT) دیگر دو دنیای جداگانه نیستند.
سالها، شرکتها تصور میکردند حفاظت از رایانههای اداری کافی است.
اما حمله به اوکراین نشان داد اگر مهاجم بتواند از شبکه اداری به سامانههای کنترل صنعتی برسد، پیامدها میتواند از خاموش شدن یک رایانه بسیار فراتر رود.
از آن زمان، سرمایهگذاری روی امنیت OT، تفکیک شبکههای صنعتی، پایش مداوم تجهیزات SCADA و آموزش اپراتورها به اولویت بسیاری از کشورها تبدیل شد.
چرا این حمله هنوز در دانشگاهها تدریس میشود؟
حمله به شبکه برق اوکراین فقط یک نمونه موفق از نفوذ نبود.
این عملیات نشان داد که مهاجمان:
-
به فناوری مسلط بودند،
-
فرآیندهای صنعتی را میشناختند،
-
رفتار اپراتورها را مطالعه کرده بودند،
-
و زمانبندی دقیقی برای اجرای عملیات داشتند.
به همین دلیل، این حمله هنوز هم در دورههای تخصصی امنیت صنعتی، تحلیل تهدیدات و مدیریت بحران بهعنوان یکی از مهمترین مطالعات موردی (Case Study) تدریس میشود.
میراث حمله به شبکه برق اوکراین
اگر Stuxnet نشان داد که بدافزارها میتوانند تجهیزات صنعتی را تخریب کنند، حمله به شبکه برق اوکراین ثابت کرد که همان فناوری میتواند مستقیماً زندگی شهروندان را مختل کند.
خاموش شدن چراغها فقط یک اختلال فنی نبود؛ بلکه نمادی از ورود جهان به دورهای بود که در آن، خطوط مقدم جنگ دیگر فقط در زمین، دریا و هوا قرار ندارند. شبکههای برق، آب، حملونقل و ارتباطات نیز به میدان نبردی خاموش تبدیل شدهاند؛ نبردی که در آن، گاهی تنها با چند کلیک، شهری در تاریکی فرو میرود.
فصل هشتم: Triton (Trisis)؛ بدافزاری که میتوانست یک پالایشگاه را منفجر کند
اگر از متخصصان امنیت صنعتی بپرسید ترسناکترین بدافزار تاریخ چیست، بسیاری به جای Stuxnet یا WannaCry، نام دیگری را انتخاب میکنند: Triton. زیرا این بار هدف، نه سرقت اطلاعات بود، نه اخاذی و نه حتی قطع برق؛ بلکه آخرین سامانهای هدف قرار گرفت که وظیفهاش نجات جان انسانها در لحظه وقوع حادثه بود.
در تابستان سال ۲۰۱۷، مهندسان یک مجتمع بزرگ پتروشیمی در خاورمیانه با اتفاقی عجیب روبهرو شدند.
بدون هیچ دلیل مشخصی، بخشی از سامانههای ایمنی کارخانه وارد وضعیت اضطراری شدند.
در نگاه اول، این اتفاق شاید نشانه عملکرد صحیح سیستمهای حفاظتی بود.
اما بررسیهای بعدی حقیقتی نگرانکننده را آشکار کرد.
این بار، مشکل از تجهیزات صنعتی نبود.
کسی در حال تلاش برای دستکاری سامانهای بود که وظیفه داشت از انفجار، نشت مواد سمی و مرگ کارکنان جلوگیری کند.
Safety Instrumented System؛ آخرین خط دفاع
برای درک اهمیت Triton، باید ابتدا با مفهومی آشنا شویم که بسیاری از مردم هرگز نام آن را نشنیدهاند.
در پالایشگاهها، نیروگاهها، کارخانههای پتروشیمی و صنایع شیمیایی، همه چیز بر اساس فشار، دما و جریان سیالات کنترل میشود.
اگر یکی از این پارامترها از حد مجاز فراتر برود، ممکن است اتفاقاتی مانند:
-
انفجار،
-
آتشسوزی،
-
نشت مواد شیمیایی،
-
یا تخریب تجهیزات
رخ دهد.
برای جلوگیری از چنین حوادثی، سامانهای مستقل به نام Safety Instrumented System (SIS) طراحی میشود.
وظیفه SIS بسیار ساده اما حیاتی است.
اگر همه سیستمهای دیگر شکست بخورند، SIS باید کارخانه را بهصورت ایمن خاموش کند.
به بیان دیگر، اگر سیستم کنترل صنعتی مغز کارخانه باشد، SIS آخرین سپر دفاعی آن است.
تفاوت SCADA و SIS
در فصل قبل درباره سامانههای SCADA صحبت کردیم.
اما این دو سامانه تفاوت مهمی دارند.
SCADA
هدف آن مدیریت و بهرهبرداری از تجهیزات است.
اپراتور از طریق آن:
-
شیرها را باز میکند.
-
پمپها را روشن میکند.
-
فشار را تنظیم میکند.
اما...
SIS
در شرایط عادی تقریباً هیچ کاری انجام نمیدهد.
فقط زمانی وارد عمل میشود که خطر واقعی وجود داشته باشد.
اگر فشار بیش از حد بالا برود یا دما از محدوده ایمن خارج شود، SIS بدون نیاز به دخالت انسان کارخانه را خاموش میکند.
این همان سیستمی بود که Triton هدف قرار داد.
چرا حمله به SIS اینقدر خطرناک است؟
تصور کنید در یک خودرو، کسی ترمز را دستکاری کند.
ممکن است خودرو تا مدتها کاملاً عادی حرکت کند.
اما لحظهای که راننده واقعاً به ترمز نیاز دارد...
دیگر هیچ چیز کار نکند.
SIS نیز دقیقاً همین نقش را در صنایع ایفا میکند.
اگر این سامانه از کار بیفتد و همزمان حادثهای رخ دهد، احتمال انفجار یا فاجعه صنعتی بهشدت افزایش مییابد.
به همین دلیل، بسیاری از متخصصان Triton را نخستین بدافزاری میدانند که مستقیماً جان انسانها را هدف قرار داده بود.
نفوذ چگونه آغاز شد؟
مانند بسیاری از حملات APT، عملیات از یکشبه آغاز نشد.
مهاجمان ابتدا به شبکه فناوری اطلاعات (IT) سازمان نفوذ کردند.
سپس:
-
شبکه را شناسایی کردند.
-
به سامانههای صنعتی نزدیک شدند.
-
به تجهیزات مهندسی دسترسی پیدا کردند.
-
و در نهایت، رایانهای را آلوده کردند که برای برنامهریزی کنترلکنندههای SIS استفاده میشد.
این مرحله، ماهها زمان برد.
زیرا مهاجمان باید ساختار کارخانه را بهخوبی میشناختند.
Schneider Electric؛ هدف واقعی چه بود؟
سیستم ایمنی مورد استفاده در این مجتمع، از کنترلکنندههای Triconex ساخت شرکت Schneider Electric استفاده میکرد.
Triconex یکی از معتبرترین سامانههای ایمنی جهان است و در پالایشگاهها، نیروگاهها و صنایع حساس استفاده میشود.
بدافزار Triton بهطور اختصاصی برای همین تجهیزات نوشته شده بود.
این نکته اهمیت بسیار زیادی دارد.
نوشتن چنین بدافزاری نیازمند:
-
شناخت دقیق سختافزار،
-
مستندات فنی،
-
پروتکلهای ارتباطی،
-
و نحوه برنامهریزی کنترلکنندهها
بود.
چنین دانشی معمولاً در اختیار افراد عادی قرار ندارد.
Triton چگونه عمل میکرد؟
پس از دسترسی به رایانه مهندسی، بدافزار تلاش میکرد:
-
با کنترلکنندههای Triconex ارتباط برقرار کند.
-
برنامه موجود را بخواند.
-
تغییراتی در منطق ایمنی ایجاد کند.
-
و نسخه جدید را روی کنترلکننده بارگذاری کند.
اگر این مرحله با موفقیت انجام میشد، مهاجمان میتوانستند رفتار سیستم ایمنی را تغییر دهند.
به زبان ساده:
در شرایط خطر، SIS ممکن بود دیگر وظیفه خود را انجام ندهد.
اشتباهی که شاید از یک فاجعه جلوگیری کرد
اما عملیات طبق برنامه پیش نرفت.
هنگام بارگذاری تغییرات، یکی از کنترلکنندهها وارد وضعیت خطا شد.
در نتیجه، سامانه ایمنی بهطور خودکار کارخانه را متوقف کرد.
همین توقف اضطراری باعث شد مهندسان برای بررسی موضوع وارد عمل شوند.
در جریان همین بررسیها بود که وجود Triton کشف شد.
بسیاری از پژوهشگران معتقدند اگر این خطا رخ نمیداد، شاید مهاجمان مدت بیشتری در شبکه باقی میماندند و امکان اجرای مرحله بعدی عملیات را پیدا میکردند.
آیا هدف واقعاً انفجار بود؟
این سؤال هنوز هم یکی از بحثبرانگیزترین موضوعات امنیت سایبری است.
هیچ سند رسمی وجود ندارد که نشان دهد مهاجمان قصد داشتند حتماً انفجار ایجاد کنند.
اما چند نکته باعث نگرانی شدید کارشناسان شد:
-
هدف، سیستم ایمنی بود، نه سیستم کنترل عادی.
-
بدافزار برای تغییر منطق حفاظتی طراحی شده بود.
-
چنین تغییری میتوانست در صورت وقوع حادثه، مانع عملکرد صحیح سامانه ایمنی شود.
به همین دلیل، بسیاری از تحلیلگران معتقدند Triton ظرفیت ایجاد پیامدهای بسیار خطرناک را داشت، هرچند این سناریو هرگز در عمل رخ نداد.
چه کسی پشت Triton بود؟
شرکتهای امنیت سایبری مانند FireEye و Dragos و همچنین چند نهاد دولتی، این عملیات را به گروهی که بعدها با نام Xenotime شناخته شد منتسب کردند.
در سالهای بعد، دولت ایالات متحده و برخی کشورها اعلام کردند این گروه با یک مرکز تحقیقاتی وابسته به دولت روسیه ارتباط دارد.
روسیه این اتهامات را رد کرده است.
مانند بسیاری از پروندههای بزرگ سایبری، این انتساب بر پایه تحلیلهای فنی، زیرساختهای مورد استفاده و اطلاعات اطلاعاتی انجام شده است.
چرا Triton یک نقطه عطف بود؟
اگر Stuxnet تجهیزات صنعتی را هدف قرار داد...
و حمله به شبکه برق اوکراین باعث قطع برق شد...
Triton یک گام جلوتر رفت.
این نخستین نمونه شناختهشدهای بود که:
سامانههای ایمنی طراحیشده برای حفاظت از جان انسانها را هدف قرار میداد.
این تفاوت، اهمیت Triton را دوچندان میکند.
مهندسی معکوس در سطح دولتها
یکی از موضوعات شگفتانگیز این حمله، میزان دانش فنی موردنیاز برای توسعه آن بود.
برای ساخت Triton، مهاجمان باید:
-
معماری کنترلکنندههای Triconex را میشناختند.
-
پروتکلهای اختصاصی را تحلیل کرده بودند.
-
رفتار سیستم در شرایط اضطراری را درک میکردند.
-
و احتمالاً محیطی برای آزمایش بدافزار در اختیار داشتند.
همین پیچیدگی باعث شد بسیاری از پژوهشگران نتیجه بگیرند که توسعه چنین ابزاری، فراتر از توان اغلب گروههای مجرم سایبری است و به منابع گسترده، زمان و تخصص در سطح بازیگران دولتی نیاز دارد.
تأثیر Triton بر امنیت صنعتی
پس از افشای این حمله، صنایع نفت، گاز، برق و پتروشیمی در سراسر جهان بازنگری گستردهای در سیاستهای امنیتی خود انجام دادند.
تمرکز از حفاظت صرفِ سامانههای کنترل، به حفاظت از سامانههای ایمنی نیز گسترش یافت.
موضوعاتی مانند:
-
تفکیک کامل شبکههای IT و OT،
-
کنترل دقیق دسترسی به ایستگاههای مهندسی،
-
پایش تغییرات در منطق کنترلکنندهها،
-
و اعتبارسنجی مستقل تنظیمات SIS
به اولویتهای اصلی بسیاری از صنایع تبدیل شد.
میراث Triton
Triton شاید بهاندازه WannaCry مشهور نباشد.
شاید میلیونها رایانه را آلوده نکرده باشد.
شاید تیتر اول رسانههای عمومی نشده باشد.
اما در میان متخصصان امنیت صنعتی، این حمله جایگاه ویژهای دارد.
زیرا برای نخستین بار نشان داد که مرز میان حمله سایبری و ایمنی فیزیکی تا چه اندازه باریک است.
اگر روزی هدف یک بدافزار، نه اطلاعات و نه تجهیزات، بلکه آخرین سامانه محافظ جان انسانها باشد، دیگر نمیتوان امنیت سایبری را صرفاً یک مسئله فناوری دانست.
از این لحظه به بعد، امنیت سایبری به بخشی از مفهوم ایمنی صنعتی تبدیل شد؛ جایی که یک خط کد اشتباه، میتواند پیامدهایی بسیار فراتر از خاموش شدن یک رایانه داشته باشد.
فصل نهم: SolarWinds؛ جاسوسیای که از یک بهروزرسانی ساده آغاز شد
گاهی خطرناکترین حمله سایبری، حملهای نیست که صدای انفجارش را بشنوید؛ بلکه همان بهروزرسانی نرمافزاری است که با خیال راحت روی دکمه «Install» آن کلیک میکنید.
در دنیای فناوری، یک توصیه تقریباً همیشه درست است:
«نرمافزارها را بهروز نگه دارید.»
اما در سال ۲۰۲۰، جهان با حملهای روبهرو شد که این اصل بدیهی را زیر سؤال برد.
نه به این دلیل که بهروزرسانیها خطرناک هستند...
بلکه چون مهاجمان موفق شده بودند خودِ بهروزرسانی را آلوده کنند.
این حمله با نام SolarWinds شناخته میشود؛ عملیاتی که بسیاری آن را پیچیدهترین عملیات جاسوسی سایبری تاریخ مدرن میدانند.
برخلاف WannaCry، این حمله میلیونها رایانه را آلوده نکرد.
برخلاف NotPetya، کارخانهها را از کار نینداخت.
برخلاف Shamoon، هارددیسکها را نابود نکرد.
اما توانست بدون ایجاد کوچکترین سروصدا، به هزاران سازمان نفوذ کند؛ آن هم از طریق نرمافزاری که همه به آن اعتماد داشتند.
SolarWinds چه شرکتی بود؟
برای درک اهمیت این حمله، ابتدا باید بدانیم SolarWinds چه کاری انجام میداد.
SolarWinds یک شرکت آمریکایی بود که نرمافزارهای مدیریت زیرساخت فناوری اطلاعات تولید میکرد.
محصول معروف آن، Orion Platform، توسط هزاران سازمان برای مدیریت مواردی مانند:
-
سرورها،
-
تجهیزات شبکه،
-
روترها،
-
سوئیچها،
-
سرویسهای ابری،
-
و زیرساختهای حیاتی
استفاده میشد.
به زبان ساده، Orion یکی از چشمهای مدیر شبکه بود.
اگر این نرمافزار آلوده میشد...
مهاجم میتوانست به همان جایی دسترسی پیدا کند که مدیر شبکه از آن کل زیرساخت را مدیریت میکرد.
آغاز حمله؛ نه به قربانی، بلکه به تولیدکننده
اکثر حملات مستقیماً قربانی نهایی را هدف میگیرند.
اما در SolarWinds، مهاجمان هدف دیگری انتخاب کردند.
آنها ابتدا وارد شبکه داخلی خود شرکت SolarWinds شدند.
سپس به فرآیند Build نرمافزار نفوذ کردند.
این مرحله فوقالعاده حساس است.
وقتی برنامهنویسان کد مینویسند، در نهایت سیستم Build آن کدها را به نسخه نهایی قابل نصب تبدیل میکند.
اگر مهاجم بتواند این مرحله را کنترل کند، دیگر نیازی به آلوده کردن تکتک مشتریان ندارد.
زیرا مشتریان، خودشان نسخه آلوده را دانلود خواهند کرد.
Sunburst؛ بدافزاری که کسی متوجه آن نشد
مهاجمان کد مخربی را داخل نسخه رسمی Orion قرار دادند.
این بدافزار بعدها با نام Sunburst شناخته شد.
نکته شگفتانگیز این بود که:
-
فایل نصب کاملاً رسمی بود.
-
امضای دیجیتال معتبر داشت.
-
از وبسایت رسمی دانلود میشد.
-
هیچ هشدار غیرعادی نمایش داده نمیشد.
برای مدیر شبکه، همه چیز طبیعی به نظر میرسید.
اما پس از نصب...
مرحله واقعی عملیات آغاز میشد.
صبر؛ مهمترین سلاح مهاجمان
یکی از ویژگیهای جالب Sunburst این بود که بلافاصله فعال نمیشد.
گاهی تا دو هفته هیچ کاری انجام نمیداد.
چرا؟
زیرا بسیاری از سامانههای امنیتی، رفتار نرمافزارها را در ساعات یا روزهای نخست بررسی میکنند.
اگر بدافزار فوراً شروع به ارسال اطلاعات کند، احتمال شناسایی بسیار بیشتر است.
بنابراین Sunburst صبر میکرد.
بعد از گذشت مدتی، آرامآرام ارتباط خود را با سرورهای فرماندهی آغاز میکرد.
این همان مفهوم Dormant Malware یا بدافزار خفته است؛ کدی که حضور دارد، اما تا زمان مناسب هیچ واکنشی نشان نمیدهد.
همه قربانیان، هدف نبودند
یکی از حرفهایترین بخشهای این عملیات، انتخاب قربانیان بود.
حدود ۱۸ هزار سازمان نسخه آلوده Orion را دریافت کردند.
اما مهاجمان به همه آنها حمله نکردند.
ابتدا اطلاعات اولیه را جمعآوری کردند:
-
این سازمان چیست؟
-
در چه کشوری قرار دارد؟
-
چه ارزشی دارد؟
-
آیا ارزش ادامه عملیات را دارد؟
سپس تنها تعداد محدودی از سازمانها برای مرحله بعد انتخاب شدند.
این روش باعث شد حجم ترافیک مشکوک کاهش یابد و احتمال کشف عملیات کمتر شود.
حرکت بدون جلب توجه
پس از انتخاب هدف، مهاجمان تلاش میکردند تا جای ممکن شبیه مدیران واقعی سیستم رفتار کنند.
آنها:
-
از ابزارهای قانونی ویندوز استفاده میکردند.
-
حسابهای کاربری معتبر ایجاد میکردند.
-
توکنهای احراز هویت را سرقت میکردند.
-
به سرویسهای ابری مانند Microsoft 365 دسترسی پیدا میکردند.
-
و ماهها بدون ایجاد اختلال در شبکه باقی میماندند.
اگر هدف، تخریب بود، این عملیات میتوانست در همان روز اول پایان یابد.
اما هدف، اطلاعات بود.
چه کسانی قربانی شدند؟
وقتی خبر حمله منتشر شد، ابعاد آن همه را شگفتزده کرد.
در میان قربانیان، نام سازمانهای بسیار مهمی دیده میشد، از جمله:
-
وزارت خزانهداری آمریکا
-
وزارت بازرگانی آمریکا
-
وزارت امنیت داخلی آمریکا
-
بخشهایی از وزارت انرژی آمریکا
-
شرکتهای بزرگ فناوری
-
مؤسسات تحقیقاتی
-
پیمانکاران دولتی
این موضوع نشان داد که حتی سازمانهایی با بودجههای میلیارددلاری امنیت نیز میتوانند از طریق زنجیره تأمین نرمافزار آسیب ببینند.
چه کسی حمله را کشف کرد؟
جالب است بدانید SolarWinds توسط یک دولت کشف نشد.
بلکه شرکت امنیت سایبری FireEye اولین زنگ خطر را به صدا درآورد.
داستان از جایی شروع شد که FireEye متوجه شد برخی ابزارهای اختصاصی تست نفوذ این شرکت به سرقت رفتهاند.
این موضوع آنقدر غیرعادی بود که تحقیقات داخلی آغاز شد.
در جریان همین بررسیها، پژوهشگران متوجه شدند منشأ نفوذ، نرمافزار Orion است.
اگر FireEye خودش قربانی نشده بود، شاید این عملیات برای مدت بسیار طولانیتری ناشناخته باقی میماند.
چرا SolarWinds اینقدر حرفهای بود؟
این عملیات چند ویژگی داشت که آن را از بسیاری از حملات دیگر متمایز میکند.
۱. نفوذ به زنجیره تولید نرمافزار
بهجای حمله به هزاران شرکت، تنها یک شرکت هدف قرار گرفت.
۲. امضای دیجیتال معتبر
بدافزار با گواهی رسمی شرکت امضا شده بود.
بنابراین بیشتر سامانههای امنیتی به آن اعتماد کردند.
۳. انتخاب هوشمند قربانیان
همه قربانیان آلوده شدند.
اما فقط برخی از آنها هدف جاسوسی قرار گرفتند.
۴. پنهانکاری فوقالعاده
مهاجمان ماهها در شبکهها حضور داشتند بدون اینکه توجهی جلب کنند.
این همان سطحی از عملیات است که معمولاً از گروههای APT انتظار میرود.
چه کسی پشت SolarWinds بود؟
هیچ گروهی مسئولیت این حمله را بر عهده نگرفت.
با این حال، دولت آمریکا و چند کشور دیگر، این عملیات را به گروهی که در گزارشهای امنیتی با نام APT29 یا Cozy Bear شناخته میشود منتسب کردند؛ گروهی که بهطور گسترده با سرویس اطلاعات خارجی روسیه (SVR) مرتبط دانسته میشود.
روسیه این اتهامات را رد کرده است.
مانند بسیاری از عملیاتهای اطلاعاتی، انتساب بر پایه تحلیلهای فنی، زیرساختهای ارتباطی، تاکتیکها و اطلاعات اطلاعاتی انجام شده است.
مفهومی که SolarWinds برای همیشه تغییر داد
اگر NotPetya مفهوم Supply Chain Attack را مشهور کرد...
SolarWinds آن را به سطحی کاملاً جدید رساند.
بعد از این حمله، دیگر سؤال سازمانها این نبود که:
«آیا نرمافزار ما امن است؟»
بلکه سؤال جدید این بود:
«آیا فرایند تولید نرمافزار تأمینکننده ما نیز امن است؟»
از همین نقطه، مفاهیمی مانند:
-
Secure Software Development Lifecycle (SSDLC)
-
Software Bill of Materials (SBOM)
-
Code Signing Security
-
Build Pipeline Security
-
DevSecOps
بیش از هر زمان دیگری مورد توجه قرار گرفتند.
Zero Trust؛ ایدهای که جان تازهای گرفت
یکی دیگر از پیامدهای مهم SolarWinds، گسترش معماری Zero Trust بود.
اصل Zero Trust بسیار ساده است:
«به هیچ کاربر، هیچ دستگاه و هیچ نرمافزاری صرفاً به دلیل حضور در شبکه اعتماد نکن.»
پیش از این، بسیاری از سازمانها تصور میکردند اگر نرمافزار از داخل شبکه اجرا شود یا امضای دیجیتال معتبر داشته باشد، قابل اعتماد است.
SolarWinds نشان داد این فرض دیگر معتبر نیست.
اعتماد باید پیوسته بررسی و راستیآزمایی شود، نه اینکه یکبار برای همیشه اعطا شود.
میراث SolarWinds
برخلاف بسیاری از حملات مشهور، SolarWinds نه با تصاویر صفحه قرمز باجافزار شناخته میشود و نه با خاموشی گسترده یا انفجار.
قدرت واقعی آن در سکوت بود.
این حمله ثابت کرد که خطرناکترین مهاجم، لزوماً کسی نیست که سیستمهای شما را نابود کند؛ بلکه کسی است که ماهها در شبکه شما حضور داشته باشد، همه چیز را ببیند، اطلاعات موردنیازش را جمعآوری کند و بدون اینکه اثری از خود باقی بگذارد، خارج شود.
اگر استاکسنت آغاز جنگ سایبری بود، و WannaCry امنیت را به دغدغه عمومی تبدیل کرد، SolarWinds آغاز عصری بود که در آن، اعتماد به زنجیره تأمین نرمافزار دیگر یک فرض بدیهی نیست، بلکه مسئلهای است که باید هر روز اثبات شود.
فصل دهم: Colonial Pipeline؛ حملهای که آمریکا را برای خرید بنزین به صف کشاند
گاهی لازم نیست نیروگاه را منفجر کنید یا شبکه برق را از کار بیندازید. کافی است یک شرکت، برای جلوگیری از گسترش حمله، خودش شیر اصلی انتقال سوخت را ببندد.
صبح روز ۷ می ۲۰۲۱، مدیران شرکت Colonial Pipeline با بحرانی روبهرو شدند که تنها چند ساعت بعد، به تیتر اول رسانههای جهان تبدیل شد.
در ابتدا، مسئله شبیه دهها حمله باجافزاری دیگر به نظر میرسید.
چند سرور رمزنگاری شده بودند.
پیامی برای پرداخت باج روی صفحه ظاهر شده بود.
اما این بار قربانی، یک شرکت معمولی نبود.
Colonial Pipeline بزرگترین خط لوله انتقال سوخت در ایالات متحده را اداره میکرد.
و تصمیمی که مدیران این شرکت تنها چند ساعت بعد گرفتند، زنجیره تأمین انرژی یکی از بزرگترین اقتصادهای جهان را مختل کرد.
Colonial Pipeline؛ شریان حیاتی شرق آمریکا
برای درک اهمیت این حمله، ابتدا باید بدانیم Colonial Pipeline چه نقشی در اقتصاد آمریکا دارد.
این شرکت بیش از ۸۸۰۰ کیلومتر خط لوله را مدیریت میکند.
روزانه میلیونها بشکه:
-
بنزین،
-
گازوئیل،
-
سوخت جت،
-
و سایر فرآوردههای نفتی
از طریق این شبکه از پالایشگاههای ساحل خلیج مکزیک به ایالتهای شرق آمریکا منتقل میشود.
برآورد میشود حدود ۴۵ درصد سوخت مصرفی ساحل شرقی آمریکا از طریق این خط لوله تأمین شود.
به بیان دیگر، توقف Colonial Pipeline فقط یک مشکل برای یک شرکت نبود؛ بلکه میتوانست زندگی میلیونها نفر را تحت تأثیر قرار دهد.
حمله چگونه آغاز شد؟
برخلاف Stuxnet یا SolarWinds، مهاجمان در این پرونده از بدافزارهای پیچیده یا آسیبپذیریهای ناشناخته استفاده نکردند.
بر اساس گزارشهای منتشرشده، یکی از حسابهای کاربری مرتبط با دسترسی از راه دور (VPN)، با رمز عبوری که قبلاً در رخدادهای نشت اطلاعات فاش شده بود محافظت میشد و احراز هویت چندمرحلهای (MFA) نیز برای آن فعال نبود.
مهاجمان پس از بهدست آوردن این اعتبارنامه، وارد شبکه شرکت شدند.
این موضوع یک درس مهم داشت:
گاهی بزرگترین بحرانهای امنیتی، نه از پیچیدهترین حملات، بلکه از سادهترین اشتباهات آغاز میشوند.
DarkSide؛ مدل جدید باجافزار
حمله توسط گروهی با نام DarkSide انجام شد.
DarkSide فقط یک گروه هکری نبود.
آنها از مدلی استفاده میکردند که امروز با عنوان:
Ransomware-as-a-Service (RaaS)
شناخته میشود.
در این مدل:
-
توسعهدهندگان، باجافزار را تولید میکنند.
-
همکاران یا Affiliates آن را در حملات مختلف به کار میگیرند.
-
درآمد حاصل از باج، میان طرفین تقسیم میشود.
این مدل، دنیای باجافزار را متحول کرد.
دیگر لازم نبود هر مهاجم خودش برنامهنویس حرفهای باشد.
کافی بود به یک سرویس آماده دسترسی داشته باشد.
Double Extortion؛ اخاذی دو مرحلهای
DarkSide از روش دیگری نیز استفاده میکرد که بعدها به استاندارد بسیاری از گروههای باجافزاری تبدیل شد.
ابتدا:
-
اطلاعات حساس قربانی را سرقت میکرد.
سپس:
-
فایلها را رمزنگاری میکرد.
در پایان دو تهدید همزمان مطرح میشد:
۱. اگر پول ندهید، فایلها بازگردانده نمیشوند.
۲. اگر پول ندهید، اطلاعات سرقتشده نیز منتشر خواهد شد.
به این روش Double Extortion گفته میشود.
این مدل باعث شد حتی شرکتهایی که نسخه پشتیبان سالم داشتند نیز همچنان تحت فشار قرار بگیرند.
چرا شرکت خودش خط لوله را متوقف کرد؟
یکی از سؤالاتی که آن زمان زیاد مطرح شد این بود:
اگر حمله فقط شبکه اداری را هدف قرار داده بود، چرا انتقال سوخت متوقف شد؟
پاسخ در مفهوم Cyber Risk Management نهفته است.
هرچند گزارشها نشان میداد سامانههای عملیاتی (OT) مستقیماً رمزنگاری نشده بودند، اما شرکت اطمینان نداشت که مهاجمان تا چه اندازه در شبکه نفوذ کردهاند.
مدیران تصمیم گرفتند برای جلوگیری از هرگونه خطر احتمالی، انتقال سوخت را موقتاً متوقف کنند تا بررسیهای امنیتی کامل انجام شود.
این تصمیم از نظر اقتصادی بسیار پرهزینه بود، اما از منظر مدیریت ریسک، اقدامی محتاطانه به شمار میرفت.
اثر دومینویی
تنها چند روز کافی بود تا آثار این تصمیم در سراسر شرق آمریکا دیده شود.
در بسیاری از ایالتها:
-
صفهای طولانی در پمپبنزینها تشکیل شد.
-
مردم با نگرانی سوخت ذخیره میکردند.
-
برخی جایگاهها با کمبود بنزین مواجه شدند.
-
قیمت سوخت افزایش یافت.
جالب اینجاست که بخش مهمی از بحران، نتیجه رفتار مصرفکنندگان بود.
ترس از کمبود، باعث شد بسیاری بیش از نیاز واقعی خود سوخت خریداری کنند؛ پدیدهای که اقتصاددانان آن را یکی از نمونههای کلاسیک رفتار هراسمحور (Panic Buying) میدانند.
وقتی امنیت سایبری به امنیت ملی تبدیل شد
حمله به Colonial Pipeline فقط یک پرونده امنیت اطلاعات نبود.
برای نخستین بار، مردم عادی ارتباط مستقیم میان امنیت سایبری و زندگی روزمره خود را احساس کردند.
اگر یک حمله دیجیتال بتواند:
-
قیمت سوخت را تغییر دهد،
-
حملونقل را مختل کند،
-
زنجیره تأمین را تحت فشار قرار دهد،
دیگر نمیتوان آن را صرفاً مشکل واحد فناوری اطلاعات دانست.
به همین دلیل، این حادثه به یکی از مهمترین نمونههای ارتباط امنیت سایبری و امنیت اقتصادی تبدیل شد.
آیا شرکت باج را پرداخت کرد؟
بله.
شرکت Colonial Pipeline حدود ۴٫۴ میلیون دلار باج پرداخت کرد.
اما داستان به همینجا ختم نشد.
کلید رمزگشایی ارائهشده توسط مهاجمان آنقدر کند بود که شرکت بخش بزرگی از فرآیند بازیابی را با استفاده از نسخههای پشتیبان و روشهای داخلی انجام داد.
چند هفته بعد، وزارت دادگستری آمریکا اعلام کرد که توانسته است بخش قابلتوجهی از بیتکوین پرداختشده را با دسترسی به یکی از کیفپولهای مرتبط با مهاجمان بازیابی کند.
این اتفاق نشان داد که برخلاف تصور رایج، تراکنشهای ارزهای دیجیتال همیشه غیرقابل ردیابی نیستند.
چه کسی پشت DarkSide بود؟
گروه DarkSide مسئولیت حمله را پذیرفت.
آنها حتی بیانیهای منتشر کردند و مدعی شدند هدفشان صرفاً کسب درآمد است، نه ایجاد مشکلات اجتماعی یا سیاسی.
پس از فشار گسترده نهادهای امنیتی، زیرساختهای آنلاین DarkSide از دسترس خارج شد و این گروه اعلام کرد فعالیت خود را متوقف میکند.
با این حال، بسیاری از پژوهشگران معتقدند برخی اعضای آن بعدها با نامها و گروههای جدید به فعالیت ادامه دادند؛ الگویی که در اکوسیستم باجافزار بسیار رایج است.
مهمترین درس Colonial Pipeline
اگر بخواهیم تنها یک مفهوم را از این حمله انتخاب کنیم، آن مفهوم این است:
تابآوری سایبری (Cyber Resilience) مهمتر از جلوگیری مطلق از حمله است.
هیچ سازمانی نمیتواند با اطمینان بگوید هرگز هک نخواهد شد.
اما هر سازمان باید بتواند:
-
حمله را سریع تشخیص دهد،
-
آن را مهار کند،
-
عملیات حیاتی را ادامه دهد،
-
و در کوتاهترین زمان ممکن بازیابی شود.
از همین رو، پس از این حادثه، بسیاری از اپراتورهای زیرساختهای حیاتی سرمایهگذاری گستردهای روی:
-
احراز هویت چندمرحلهای (MFA)
-
مدیریت دسترسیهای ممتاز (PAM)
-
تقسیمبندی شبکه
-
برنامههای تداوم کسبوکار (BCP)
-
و تمرینهای پاسخ به حادثه
انجام دادند.
پایان یک مسیر؛ آغاز عصر جدید
اگر به ده حملهای که تاکنون بررسی کردیم نگاه کنیم، یک روند مشخص دیده میشود.
در ابتدا، حملات بیشتر بر تخریب فنی متمرکز بودند.
سپس به جاسوسی اطلاعاتی رسیدند.
بعد به اخاذی مالی تبدیل شدند.
و امروز، هدف آنها میتواند زنجیره تأمین، انرژی، سلامت، حملونقل، زیرساختهای حیاتی و حتی اعتماد عمومی باشد.
دیگر امنیت سایبری فقط محافظت از رایانهها نیست.
موضوع، حفاظت از اقتصاد، زیرساخت، جان انسانها و ثبات کشورهاست.
Colonial Pipeline آخرین حلقه این زنجیره نیست؛ بلکه نمادی از دنیای جدیدی است که در آن، یک رمز عبور ضعیف میتواند میلیونها نفر را در صف پمپبنزین قرار دهد.
مقایسه ۱۰ حمله بزرگ تاریخ؛ از اولین جنگ سایبری تا حمله به زیرساختهای حیاتی
بعد از بررسی ده مورد از مشهورترین و اثرگذارترین حملات سایبری تاریخ، یک سؤال مهم مطرح میشود:
کدام حمله از همه خطرناکتر بود؟
پاسخ سادهای برای این سؤال وجود ندارد.
زیرا هر حمله، معیار متفاوتی را جابهجا کرده است.
-
بعضیها بیشترین خسارت مالی را ایجاد کردند.
-
بعضیها پیچیدهترین عملیات فنی بودند.
-
بعضیها مفهوم جدیدی وارد امنیت سایبری کردند.
-
و بعضی دیگر نشان دادند که حمله سایبری میتواند جان انسانها را نیز تهدید کند.
به همین دلیل، مقایسه این حملات از چند زاویه مختلف، تصویر کاملتری از تکامل جنگ سایبری ارائه میدهد.
جدول مقایسه ۱۰ حمله بزرگ تاریخ
| حمله | سال | هدف اصلی | گروه یا عامل منتسب | خسارت و پیامد | مهمترین مفهوم امنیتی |
|---|---|---|---|---|---|
| Operation Aurora | ۲۰۰۹ | جاسوسی از شرکتهای فناوری | منتسب به بازیگران مرتبط با چین | سرقت کدهای منبع و اطلاعات محرمانه | APT، عملیات بلندمدت، حملات هدفمند |
| Stuxnet | ۲۰۱۰ | تأسیسات هستهای ایران | منتسب به آمریکا و اسرائیل | تخریب سانتریفیوژها | Cyber Warfare، Air Gap، ICS Malware |
| Shamoon | ۲۰۱۲ | شرکت آرامکو | منتسب به گروههای مرتبط با ایران | نابودی دهها هزار رایانه | Wiper Malware |
| WannaCry | ۲۰۱۷ | سازمانهای سراسر جهان | منتسب به Lazarus | صدها هزار سیستم آلوده، اختلال جهانی | Worm، EternalBlue، Patch Management |
| NotPetya | ۲۰۱۷ | شرکتهای اوکراینی و بینالمللی | منتسب به Sandworm | بیش از ۱۰ میلیارد دلار خسارت | Supply Chain Attack، Wiper، Living off the Land |
| حمله به شبکه برق اوکراین | ۲۰۱۵ | زیرساخت برق | منتسب به Sandworm | قطع برق برای حدود ۲۵۰ هزار نفر | امنیت OT، حمله به زیرساخت حیاتی |
| Triton (Trisis) | ۲۰۱۷ | سیستمهای ایمنی پالایشگاه | منتسب به Xenotime | تهدید بالقوه جان انسانها | حمله به SIS، امنیت صنعتی |
| SolarWinds | ۲۰۲۰ | هزاران سازمان دولتی و خصوصی | منتسب به APT29 (Cozy Bear) | جاسوسی گسترده و طولانیمدت | Supply Chain Security، Zero Trust |
| Colonial Pipeline | ۲۰۲۱ | شبکه انتقال سوخت آمریکا | DarkSide | اختلال در زنجیره تأمین سوخت | RaaS، Cyber Resilience |
| Sony Pictures | ۲۰۱۴ | صنعت سرگرمی | منتسب به Lazarus | افشای گسترده اطلاعات و تخریب سامانهها | ترکیب جاسوسی، Wiper و جنگ روانی |
اگر بخواهیم این حملات را بر اساس نوع اثر رتبهبندی کنیم
بزرگترین خسارت مالی
🏆 NotPetya
بیش از ۱۰ میلیارد دلار خسارت مستقیم و غیرمستقیم.
هنوز هم بسیاری آن را پرهزینهترین حمله سایبری تاریخ میدانند.
پیچیدهترین عملیات فنی
🏆 Stuxnet
توسعه چندین آسیبپذیری روز صفر، نفوذ به شبکههای Air-Gapped، برنامهریزی PLCها و پنهانسازی عملیات در سطحی که تا آن زمان سابقه نداشت.
بزرگترین عملیات جاسوسی
🏆 SolarWinds
نفوذ بیسروصدا به هزاران سازمان و انتخاب هدفهای ارزشمند برای جاسوسی بلندمدت.
خطرناکترین حمله برای جان انسانها
🏆 Triton
تنها حمله شناختهشدهای که مستقیماً سامانههای ایمنی یک مجتمع صنعتی را هدف قرار داد و میتوانست در شرایط خاص، احتمال وقوع یک حادثه صنعتی شدید را افزایش دهد.
بزرگترین حمله خودانتشار (Worm)
🏆 WannaCry
در مدت کوتاهی صدها هزار رایانه را در بیش از ۱۵۰ کشور آلوده کرد و اهمیت مدیریت وصلههای امنیتی را به جهان یادآوری کرد.
مهمترین حمله به زیرساخت حیاتی
🏆 حمله به شبکه برق اوکراین
نخستین نمونه شناختهشدهای که باعث قطع برق گسترده برای شهروندان شد.
بزرگترین حمله زنجیره تأمین
🏆 SolarWinds
هرچند NotPetya نیز از زنجیره تأمین سوءاستفاده کرد، اما SolarWinds نشان داد حتی فرآیند تولید نرمافزار نیز میتواند به نقطه نفوذ تبدیل شود.
مؤثرترین حمله باجافزاری بر اقتصاد
🏆 Colonial Pipeline
خسارت این حمله فقط به قربانی مستقیم محدود نشد؛ بلکه بازار سوخت، رفتار مصرفکنندگان و امنیت انرژی را نیز تحت تأثیر قرار داد.
تایملاین تحول جنگ سایبری
در کمتر از دو دهه، حملات سایبری مسیر شگفتانگیزی را طی کردهاند.
۲۰۰۹
Operation Aurora
شروع عصر عملیاتهای APT و جاسوسی سازمانیافته علیه شرکتهای بزرگ.
⬇️
۲۰۱۰
Stuxnet
ورود رسمی جنگ سایبری به زیرساختهای صنعتی.
⬇️
۲۰۱۲
Shamoon
ظهور بدافزارهای تخریبگر (Wiper) در مقیاس گسترده.
⬇️
۲۰۱۴
Sony Pictures
ترکیب حمله سایبری، افشای اطلاعات و جنگ روانی.
⬇️
۲۰۱۵
حمله به شبکه برق اوکراین
اولین خاموشی گسترده ناشی از حمله سایبری.
⬇️
۲۰۱۷
WannaCry
نمایش قدرت کرمهای اینترنتی و اهمیت بهروزرسانی امنیتی.
⬇️
۲۰۱۷
NotPetya
اثبات اینکه یک حمله سایبری میتواند میلیاردها دلار خسارت اقتصادی ایجاد کند.
⬇️
۲۰۱۷
Triton
ورود مهاجمان به حساسترین بخش صنایع؛ سامانههای ایمنی.
⬇️
۲۰۲۰
SolarWinds
آغاز عصر بیاعتمادی به زنجیره تأمین نرمافزار.
⬇️
۲۰۲۱
Colonial Pipeline
پیوند مستقیم امنیت سایبری با امنیت انرژی و اقتصاد ملی.
الگوی تکامل حملات سایبری
اگر این حملات را کنار هم قرار دهیم، روندی مشخص دیده میشود:
نسل اول
هدف:
سرقت اطلاعات
نمونهها:
-
Operation Aurora
نسل دوم
هدف:
تخریب تجهیزات
نمونهها:
-
Stuxnet
-
Shamoon
نسل سوم
هدف:
اختلال گسترده
نمونهها:
-
WannaCry
-
NotPetya
نسل چهارم
هدف:
زیرساختهای حیاتی
نمونهها:
-
شبکه برق اوکراین
-
Triton
-
Colonial Pipeline
نسل پنجم
هدف:
اعتماد دیجیتال
نمونه:
-
SolarWinds
در این نسل، مهاجمان دیگر صرفاً به شبکه قربانی حمله نمیکنند؛ بلکه اعتماد سازمانها به نرمافزارها، بهروزرسانیها و زنجیره تأمین را هدف قرار میدهند.
یک نکته مهم
اگر دقت کنید، تقریباً تمام حملات بزرگ تاریخ یک ویژگی مشترک دارند:
هیچکدام صرفاً به خاطر یک بدافزار موفق نشدند.
عامل اصلی موفقیت آنها معمولاً ترکیبی از موارد زیر بود:
-
مهندسی اجتماعی
-
ضعف در مدیریت دسترسی
-
نبود تقسیمبندی شبکه
-
وصلهنشدن آسیبپذیریها
-
اعتماد بیش از حد
-
یا حضور طولانیمدت مهاجم بدون شناسایی
به همین دلیل، امنیت سایبری امروز بیش از هر زمان دیگری بر مدیریت ریسک، معماری امنیتی، پایش مداوم و آمادگی برای پاسخ به حادثه تمرکز دارد، نه صرفاً بر نصب یک آنتیویروس یا فایروال.
۱۰ مفهومی که این حملات برای همیشه وارد دنیای امنیت سایبری کردند
اگر فقط نام حملات را به خاطر بسپارید، احتمالاً چند سال بعد بسیاری از جزئیات آنها را فراموش خواهید کرد.
اما اگر مفاهیمی که این حملات خلق یا رایج کردند را یاد بگیرید، نهتنها تاریخ امنیت سایبری را بهتر درک میکنید، بلکه اخبار و تهدیدات آینده را نیز راحتتر تحلیل خواهید کرد.
جالب است بدانید بسیاری از اصطلاحاتی که امروز تقریباً هر روز در گزارشهای امنیتی دیده میشوند، پس از همین حملات مشهور وارد ادبیات امنیت سایبری شدند یا بهشدت مورد توجه قرار گرفتند.
۱. Zero-Day؛ آسیبپذیریای که هیچکس از آن خبر ندارد
یکی از ارزشمندترین داراییها در دنیای هک، یک آسیبپذیری روز صفر (Zero-Day) است.
منظور از Zero-Day، نقص امنیتیای است که سازنده نرمافزار هنوز از آن اطلاع ندارد یا برای آن وصلهای منتشر نکرده است.
به همین دلیل، مهاجم میتواند پیش از آماده شدن راهکار دفاعی از آن سوءاستفاده کند.
چرا «روز صفر»؟
زیرا از لحظهای که آسیبپذیری کشف میشود، توسعهدهنده صفر روز فرصت داشته است تا آن را اصلاح کند.
معروفترین نمونه
Stuxnet
این بدافزار از چندین آسیبپذیری روز صفر ویندوز بهطور همزمان استفاده میکرد؛ اتفاقی که در آن زمان بیسابقه بود و نشان داد برخی عملیاتها به منابع مالی و فنی بسیار گسترده دسترسی دارند.
درس مهم
وجود آنتیویروس یا فایروال همیشه کافی نیست.
اگر آسیبپذیری هنوز شناخته نشده باشد، بسیاری از ابزارهای دفاعی نیز ممکن است قادر به شناسایی آن نباشند.
۲. APT؛ مهاجمی که عجله ندارد
یکی از مهمترین اصطلاحات امنیت سایبری، Advanced Persistent Threat یا APT است.
در این نوع عملیات:
-
مهاجم حرفهای است.
-
هدف مشخصی دارد.
-
ماهها یا حتی سالها در شبکه باقی میماند.
-
تا زمان رسیدن به هدف، صبورانه عمل میکند.
نمونههای مشهور
-
Operation Aurora
-
SolarWinds
تفاوت با هکرهای معمولی
یک مهاجم عادی ممکن است فقط چند ساعت در شبکه بماند.
اما یک گروه APT گاهی آنقدر آرام حرکت میکند که قربانی ماهها متوجه حضور او نمیشود.
۳. Air Gap؛ وقتی اینترنت هم مانع نفوذ نیست
سالها تصور میشد اگر یک سامانه به اینترنت متصل نباشد، امن است.
به چنین شبکهای Air-Gapped Network گفته میشود.
اما...
Stuxnet نشان داد حتی این شبکهها نیز مصون نیستند.
از طریق:
-
فلش USB
-
لپتاپ پیمانکار
-
تجهیزات جانبی
-
یا زنجیره تأمین
میتوان به چنین شبکههایی نیز نفوذ کرد.
نتیجه
امروزه Air Gap همچنان یکی از لایههای مهم امنیتی است، اما دیگر بهتنهایی تضمینکننده امنیت محسوب نمیشود.
۴. Supply Chain Attack؛ حمله از مسیر اعتماد
در این نوع حمله، هدف اصلی قربانی نهایی نیست.
بلکه یکی از شرکتها یا نرمافزارهایی هدف قرار میگیرد که قربانی به آن اعتماد دارد.
نمونهها
NotPetya
نفوذ به نرمافزار حسابداری M.E.Doc
SolarWinds
نفوذ به فرایند ساخت نرمافزار Orion
اهمیت
امروزه تقریباً تمام شرکتهای بزرگ، امنیت زنجیره تأمین را به اندازه امنیت داخلی خود جدی میگیرند.
۵. Wiper؛ نابودی بهجای اخاذی
برخلاف باجافزارها، هدف Wiper دریافت پول نیست.
هدف فقط یک چیز است:
نابودی اطلاعات
نمونهها
-
Shamoon
-
NotPetya
گاهی Wiper حتی خود را به شکل باجافزار نشان میدهد تا تحلیل حمله را دشوارتر کند.
۶. Worm؛ بدافزاری که خودش منتشر میشود
بیشتر بدافزارها نیاز دارند قربانی روی فایل کلیک کند.
اما Wormها مستقل هستند.
آنها:
-
شبکه را اسکن میکنند.
-
آسیبپذیری پیدا میکنند.
-
خودشان به سیستم بعدی منتقل میشوند.
نمونه مشهور
WannaCry
به همین دلیل، صدها هزار رایانه ظرف مدت کوتاهی آلوده شدند.
اهمیت
Wormها نشان دادند سرعت انتشار گاهی از پیچیدگی حمله مهمتر است.
۷. Living off the Land؛ استفاده از سلاحهای خود قربانی
یکی از محبوبترین تکنیکهای مهاجمان مدرن این است که بهجای آوردن ابزارهای جدید، از ابزارهای قانونی سیستمعامل استفاده کنند.
مانند:
-
PowerShell
-
PsExec
-
WMI
-
Remote Desktop
نمونه
NotPetya
SolarWinds
چرا خطرناک است؟
زیرا تشخیص تفاوت میان رفتار یک مدیر شبکه و یک مهاجم بسیار دشوار میشود.
۸. Zero Trust؛ اعتماد، امتیاز نیست
برای سالها، معماری بسیاری از شبکهها بر این فرض استوار بود:
اگر داخل شبکه باشی، قابل اعتماد هستی.
SolarWinds این فرض را نابود کرد.
فلسفه Zero Trust
هر درخواست باید:
-
احراز هویت شود.
-
اعتبارسنجی شود.
-
مجوز آن بررسی شود.
فرقی ندارد درخواست از داخل شبکه آمده باشد یا خارج از آن.
شعار معروف
Never Trust, Always Verify
۹. Ransomware-as-a-Service (RaaS)
باجافزار امروز دیگر فقط محصول چند برنامهنویس نیست.
به یک کسبوکار زیرزمینی تبدیل شده است.
در مدل RaaS:
-
یک گروه نرمافزار را تولید میکند.
-
گروههای دیگر از آن استفاده میکنند.
-
درآمد میان آنها تقسیم میشود.
نمونه مشهور
DarkSide
(حمله Colonial Pipeline)
نتیجه
ورود به دنیای باجافزار برای مهاجمان بسیار سادهتر شد.
۱۰. Double Extortion؛ اخاذی دو مرحلهای
قبلاً اگر نسخه پشتیبان داشتید، باجافزارها تا حد زیادی بیاثر میشدند.
اما مهاجمان روش جدیدی ابداع کردند.
قبل از رمزنگاری:
اطلاعات را سرقت میکنند.
سپس تهدید میکنند:
-
فایلها را باز نمیکنیم.
-
اطلاعات محرمانه را هم منتشر میکنیم.
نمونه
DarkSide
REvil
Conti
و بسیاری از گروههای مدرن.
حملات بعد از سال ۲۰۲۰ چه تفاوتی دارند؟
اگر این مفاهیم را کنار هم قرار دهیم، متوجه میشویم مهاجمان دیگر صرفاً به دنبال «نفوذ» نیستند.
امروز آنها روی چهار هدف اصلی تمرکز دارند:
۱. اعتماد
نمونه:
SolarWinds
۲. زیرساخت حیاتی
نمونه:
Colonial Pipeline
شبکه برق اوکراین
Triton
۳. اقتصاد
نمونه:
NotPetya
۴. روان جامعه
نمونه:
Sony Pictures
WannaCry
زیرا گاهی اثر روانی یک حمله، بسیار فراتر از خسارت فنی آن است.
آینده جنگ سایبری
وقتی به مسیر این حملات نگاه میکنیم، یک روند مشخص دیده میشود.
ابتدا:
هدف فقط رایانهها بودند.
سپس:
کارخانهها.
بعد:
شبکه برق.
بعد:
زنجیره تأمین.
و امروز...
هوش مصنوعی، خودروهای متصل، اینترنت اشیا، بیمارستانهای هوشمند، ماهوارهها و زیرساختهای ابری، همگی به اهداف بالقوه تبدیل شدهاند.
به همین دلیل، بسیاری از متخصصان معتقدند امنیت سایبری دیگر صرفاً یک شاخه از فناوری اطلاعات نیست؛ بلکه بخشی از امنیت ملی، امنیت اقتصادی و حتی امنیت انسانی محسوب میشود.
یک وجه مشترک میان تمام این حملات
با وجود تفاوتهای فراوان، تقریباً همه این حملات یک پیام مشترک دارند:
هیچ سامانهای آنقدر بزرگ نیست که هک نشود، و هیچ سامانهای آنقدر کوچک نیست که ارزش محافظت نداشته باشد.
گاهی یک فلش USB، یک رمز عبور تکراری، یک بهروزرسانی آلوده یا یک حساب کاربری فراموششده، کافی است تا زنجیرهای از رویدادها آغاز شود که میلیاردها دلار خسارت به بار آورد.
شاید مهمترین درس تاریخ امنیت سایبری همین باشد:
امنیت، یک محصول نیست که یکبار بخرید و تمام شود؛ بلکه یک فرایند مداوم از یادگیری، ارزیابی، بهبود و آمادگی است.
جمعبندی؛ تاریخ امنیت سایبری، تاریخ جنگی است که هنوز تمام نشده است
در سال ۱۹۸۸، زمانی که «کرم موریس» بخش بزرگی از اینترنت آن روز را مختل کرد، کمتر کسی تصور میکرد تنها چند دهه بعد، بدافزارها بتوانند سانتریفیوژهای هستهای را تخریب کنند، برق یک شهر را قطع کنند، شبکه انتقال سوخت یک کشور را متوقف کنند یا از طریق یک بهروزرسانی نرمافزاری، به هزاران سازمان دولتی و خصوصی نفوذ کنند.
تاریخ امنیت سایبری فقط تاریخ ویروسها و هکرها نیست؛ تاریخ اعتماد، رقابت، قدرت و تغییر است.
اگر به حملاتی که در این مقاله بررسی کردیم نگاه کنیم، یک مسیر تکاملی کاملاً روشن دیده میشود.
در ابتدا، هدف مهاجمان بیشتر کنجکاوی یا اثبات توانایی فنی بود.
سپس انگیزهها به سمت جاسوسی اطلاعاتی حرکت کردند.
بعد، تخریب تجهیزات صنعتی و زیرساختهای حیاتی به میدان نبرد تبدیل شد.
در سالهای بعد، اخاذی مالی به یک صنعت زیرزمینی چندمیلیارد دلاری بدل شد.
و امروز، حملات سایبری همزمان میتوانند بر اقتصاد، سیاست، امنیت ملی، سلامت، انرژی و حتی زندگی روزمره میلیونها انسان اثر بگذارند.
بزرگترین اشتباه؛ تصور اینکه «هدف جذابی نیستیم»
یکی از رایجترین باورهای اشتباه این است که:
«ما بانک نیستیم، دولت نیستیم، شرکت بزرگی نیستیم؛ پس کسی به ما حمله نمیکند.»
اما تجربه تقریباً تمام حملات بزرگ خلاف این را نشان داده است.
مهاجمان همیشه به دنبال مشهورترین قربانی نیستند.
گاهی آنها به دنبال ضعیفترین حلقه زنجیره هستند.
یک شرکت کوچک میتواند دروازه ورود به یک سازمان بزرگ باشد.
یک پیمانکار میتواند مسیر نفوذ به یک وزارتخانه شود.
یک حساب کاربری فراموششده میتواند آغازگر بحرانی چندمیلیارددلاری باشد.
امنیت سایبری؛ مسابقهای که خط پایان ندارد
در بسیاری از رشتههای مهندسی، میتوان پروژهای را تکمیل کرد و گفت کار تمام شد.
اما در امنیت سایبری چنین چیزی وجود ندارد.
امروز یک آسیبپذیری برطرف میشود.
فردا فناوری جدیدی معرفی میشود.
پسفردا مهاجمان روش تازهای پیدا میکنند.
به همین دلیل است که متخصصان امنیت همیشه از واژه Continuous Improvement یا «بهبود مستمر» استفاده میکنند.
امنیت، مقصد نیست؛ یک مسیر دائمی است.
شاید مهمترین درس تمام این حملات
اگر بخواهیم هزاران صفحه گزارش فنی را تنها در یک جمله خلاصه کنیم، شاید این جمله بهترین توصیف باشد:
تقریباً هیچکدام از بزرگترین حملات تاریخ فقط به خاطر یک آسیبپذیری نرمافزاری موفق نشدند؛ آنها نتیجه ترکیب فناوری، خطای انسانی، اعتماد بیش از حد، ضعف فرایندها و تصمیمهای اشتباه بودند.
به همین دلیل، امنیت سایبری فقط خرید تجهیزات گرانقیمت یا نصب آنتیویروس نیست.
امنیت یعنی:
-
آموزش کاربران،
-
طراحی معماری مناسب،
-
مدیریت دسترسیها،
-
پایش مداوم،
-
تهیه نسخه پشتیبان،
-
مدیریت بحران،
-
و آمادگی برای روزی که همه چیز طبق برنامه پیش نرود.
آینده جنگ سایبری به کدام سمت میرود؟
با گسترش هوش مصنوعی، اینترنت اشیا، خودروهای متصل، شهرهای هوشمند، زیرساختهای ابری و سامانههای خودکار، سطح حمله هر روز بزرگتر میشود.
در سالهای آینده احتمالاً شاهد حملاتی خواهیم بود که اهدافی مانند:
-
مدلهای هوش مصنوعی،
-
سامانههای خودران،
-
تجهیزات پزشکی متصل،
-
شبکههای 5G و 6G،
-
ماهوارهها،
-
و زیرساختهای ابری جهانی
را هدف قرار دهند.
در مقابل، فناوریهای دفاعی نیز با سرعت در حال پیشرفت هستند؛ از تشخیص تهدید مبتنی بر هوش مصنوعی گرفته تا معماری Zero Trust، تحلیل رفتار کاربران و سامانههای خودکار پاسخ به رخداد.
نبرد ادامه دارد؛ فقط ابزارهای آن تغییر میکنند.
سخن پایانی
اگر تا اینجا همراه این مقاله بودهاید، احتمالاً متوجه شدهاید که تاریخ امنیت سایبری، مجموعهای از داستانهای جدا از هم نیست.
Stuxnet بدون شناخت از سامانههای صنعتی قابل درک نیست.
NotPetya بدون درک زنجیره تأمین نرمافزار معنا پیدا نمیکند.
SolarWinds مفهوم اعتماد دیجیتال را زیر سؤال میبرد.
Colonial Pipeline نشان میدهد یک حمله سایبری چگونه میتواند به بحران اقتصادی و اجتماعی تبدیل شود.
هر حمله، پاسخی به حمله قبل و زمینهساز نسل بعدی تهدیدها بوده است.
شاید ده سال دیگر، فهرست بزرگترین حملات تاریخ کاملاً متفاوت باشد.
اما درسهایی که از این پروندهها آموختهایم، همچنان ارزشمند خواهند ماند.
زیرا فناوری تغییر میکند، اما اصول امنیت—مدیریت ریسک، دفاع لایهای، آموزش، پایش مستمر و آمادگی برای پاسخ به بحران—همچنان ستونهای اصلی دفاع سایبری باقی خواهند ماند.
سؤالات متداول (FAQ)
۱. بزرگترین حمله سایبری تاریخ کدام است؟
اگر معیار خسارت مالی باشد، بسیاری از پژوهشگران NotPetya را با برآوردی بیش از ۱۰ میلیارد دلار، پرهزینهترین حمله سایبری تاریخ میدانند. اگر معیار پیچیدگی فنی باشد، Stuxnet و SolarWinds نیز در میان مهمترین نمونهها قرار میگیرند.
۲. خطرناکترین بدافزار تاریخ چیست؟
پاسخ به معیار بستگی دارد. Stuxnet از نظر پیچیدگی، NotPetya از نظر خسارت اقتصادی، WannaCry از نظر سرعت انتشار و Triton از نظر تهدید بالقوه برای ایمنی انسانها، هر کدام در دسته خود از مهمترین بدافزارهای تاریخ محسوب میشوند.
۳. استاکسنت (Stuxnet) چه بود؟
استاکسنت یک بدافزار بسیار پیشرفته بود که در سال ۲۰۱۰ کشف شد و تأسیسات غنیسازی اورانیوم ایران را هدف قرار داد. این بدافزار توانست کنترلکنندههای صنعتی (PLC) را دستکاری کند و بدون جلب توجه، به سانتریفیوژها آسیب برساند.
۴. تفاوت باجافزار و Wiper چیست؟
باجافزار با هدف دریافت پول، فایلها را رمزنگاری میکند و معمولاً امکان بازیابی پس از پرداخت را وعده میدهد. اما Wiper برای نابودی اطلاعات طراحی شده است و هدف آن اخاذی نیست، بلکه ایجاد خسارت و اختلال است.
۵. حمله زنجیره تأمین (Supply Chain Attack) چیست؟
در این نوع حمله، مهاجم بهجای حمله مستقیم به قربانی، یکی از تأمینکنندگان نرمافزار یا خدمات او را آلوده میکند تا از مسیر اعتماد، به اهداف اصلی دسترسی پیدا کند. حملات NotPetya و SolarWinds از مشهورترین نمونهها هستند.
۶. APT یعنی چه؟
APT یا Advanced Persistent Threat به عملیاتهای هدفمند، طولانیمدت و پیچیدهای گفته میشود که معمولاً توسط گروههای سازمانیافته یا بازیگران وابسته به دولتها انجام میشوند و هدف آنها جاسوسی یا دسترسی ماندگار به شبکه قربانی است.
۷. گروه Lazarus چه گروهی است؟
Lazarus نامی است که شرکتهای امنیتی به یک گروه هکری منتسب به کره شمالی دادهاند. این گروه در گزارشهای مختلف با حملاتی مانند WannaCry و سرقتهای بزرگ ارزهای دیجیتال مرتبط دانسته شده است. دولت کره شمالی این اتهامات را رد میکند.
۸. چرا حمله SolarWinds تا این حد مهم بود؟
زیرا مهاجمان با نفوذ به فرآیند تولید نرمافزار، نسخه رسمی و امضاشده محصولی را آلوده کردند که هزاران سازمان به آن اعتماد داشتند. این حمله مفهوم امنیت زنجیره تأمین نرمافزار را به یکی از اولویتهای اصلی سازمانها تبدیل کرد.
۹. آیا شبکهای که به اینترنت متصل نیست کاملاً امن است؟
خیر. هرچند شبکههای Air-Gapped امنیت بیشتری دارند، اما نمونههایی مانند Stuxnet نشان دادهاند که از طریق ابزارهایی مانند حافظه USB، لپتاپهای پیمانکاران یا زنجیره تأمین نیز امکان نفوذ وجود دارد.
۱۰. چرا امنیت سایبری فقط مسئولیت تیم فناوری اطلاعات نیست؟
زیرا بسیاری از حملات از خطاهای انسانی، ضعف فرایندها، مدیریت نادرست دسترسیها یا تصمیمهای مدیریتی آغاز میشوند. امنیت سایبری نیازمند همکاری مدیران، کارکنان، تیمهای فنی و حتی شرکای تجاری است.
۱۱. آیا پرداخت باج باعث بازگشت اطلاعات میشود؟
همیشه خیر. در برخی حملات مانند NotPetya، حتی با پرداخت باج نیز عملاً راهی برای بازیابی اطلاعات وجود نداشت. به همین دلیل، بسیاری از نهادهای امنیتی توصیه میکنند سازمانها بر پیشگیری، نسخه پشتیبان و برنامه بازیابی تمرکز کنند.
۱۲. مهمترین درس این حملات برای سازمانها چیست؟
هیچ سازمانی نمیتواند فرض کند که هرگز هدف حمله قرار نمیگیرد. آنچه اهمیت دارد، تابآوری سایبری است؛ یعنی توانایی پیشگیری، شناسایی، مهار و بازیابی سریع پس از یک حمله.
نتیجهگیری نهایی
ده حملهای که در این مقاله بررسی شدند، فقط رویدادهایی در گذشته نیستند؛ هر کدام نقطه عطفی بودند که قوانین بازی را تغییر دادند و شیوه طراحی، دفاع و مدیریت امنیت را متحول کردند. شناخت این پروندهها صرفاً مطالعه تاریخ نیست؛ بلکه شناخت آیندهای است که همچنان در حال شکلگیری است.



