روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ چند سال اخیر مدام از حوادثی مبنی بر حمله‌ی باج‌افزارها به سازمان‌هایی چون بیمارستان‌ها، حمل و نقل شهری و یا حتی کامپیوترهای دولتی در سطح کشوری خبر دادیم. بعدش هم که نوبت وایپرها با اپیدمیِ WannaCry، ExPetr و Bad Rabbit رسید که کل جهان را آلوده و عملکرد تعداد کثیری از شرکت‌ها را مختل کردند. خوشبختانه در طول 12 ماه گذشته حوادثی با چنین مقیاس‌هایی مشاهده نشده است؛ اما دلیلش این نیست که مهاجمین سایبری تسلیم شده‌اند. در تاریخ 19 مارس، شرکت نروژی تولیدکننده‌ی آلومینیوم به نام نورسک هیدرو اعلام کرد گرفتار باج‌افزاریی شده که کل شرکت را آلوده کرده است.

حمله به هیدرو: شرح آنچه گذشت

به گفته‌ی یکی از سخنگوهای این غولِ نروژی در طی یک کنفرانس خبری، تیم امنیتی هیدرو ابتدا متوجه برخی فعالیت‌های نامتعارف روی سرورهای این شرکت (در نیمه‌شب) شد. اعضای این تیم دیدند این آلودگی دارد بیشتر و بیشتر سرایت می‌کند...آن‌ها تلاش کردند جلوی این تخریب را بگیرند و یا آن را محدود کنند اما تنها تا حدی توانستند به موفقیت دست پیدا کنند. تا آمدند کارخانجات خود را جداسازی کنند دیگر کار از کار گذشته بود: شبکه‌ی جهانی آن‌ها اکنون آلوده‌ی آلوده شده بود. هیدرو تعداد کامپیوترهای آلوده‌شده را اعلام نکرده است اما با در نظر گرفتن 35 هزار نیرو که در این شرکت کار می‌کنند می‌توان حدس زد این رقم می‌تواند تا چه اندازه قابل‌ملاحظه باشد.

تیم هیدرو بیست و چهارساعته در تلاش است تا این مانع را از سر راه بردارد؛ با این حال هنوز این موفقیت به طور کامل میسر نشده است. نیروگاه‌ها اصلاً آلوده نشده‌اند و دلیلش هم این بود که از شبکه‌ی اصلی جداسازی شده بودند- که امری مهم در زیرساختی حیاتی است. با این وجود، کارخانجات ذوب فلز جداسازی نشده بودند. آن‌ها در طول سال‌های اخیر بیش از هر زمان دیگری اتوماتیزه شده‌اند. بنابراین برخی از کارخانه‌های ذوب فلز واقع در نروژ گرفتار این باج‌افزار گشتند. و حالا این تیم در صدد است برخی از این کارخانجات را دوباره سرپا کند، گرچه شاید این روند خیلی کند پیش برود. با این حال، طبق گفته‌های این شرکت: «عدم توانایی در وصل شدن به سیستم‌های تولید، چالش‌های تولید و توقیف موقتی برخی کارخانه‌ها را موجب شد».

این حمله گرچه در مقیاسی بزرگ رخ داده اما عملکرد کل شرکت هیدرو را مختل نکرده است. شاید ماشین‌های ویندوزی رمزگذاری شده باشند و دیگر کارایی نداشته باشند؛ با این حال گوشی‌ها و تبلت‌های غیر ویندوزی همچنان کار می‌کنند و همین باعث شده کارمندان بتوانند به نیازهای سازمانی پاسخ دهند. ظاهراً زیرساخت‌های حیاتی و گران‌قیمت مانند محل تولید آلومینیوم (که هرکدام 10 میلیون پوند قیمت دارند) مورد حمله‌ی این باج‌افزار قرار نگرفته‌اند. این رویداد امنیتی هیچ مشکلی در بخش ایمنی ایجاد نکرد: کسی آسیب جسمانی ندید. شرکت هیدرو نیز امید دارد هر چیزی که درگیر این آلودگی شده است بتواند از طریق بک‌آپ‌ها ریستور شود.

تحلیل: راه درست و غلط

شرکت هیدرو پیش از ریستور کردن کاملِ عملیات خود، باید کارهای زیادی انجام دهد. حتی تفحص و بررسی روی این رخداد نیز هم زمان‌گیر است و هم تلاش شرکت هیدرو و مقامات نروژی را می‌طلبد. در حال حاضر هنوز مشخص نشده چه باج‌افزاری در این حمله دست داشته و یا چه فردی مقدمات این حمله را چیده است. مقامات و مسئولین می‌گویند فرضیه‌های مختلفی وجود دارد. یکی از آن‌ها اظهار دارد هیدرو توسط باج‌افزاری به نام  LockerGoga -که Bleeping Computer آن را باج‌افزاری «کُند و شخلته» می‌خواند- مورد حمله قرار گرفته است (البته تحلیلگران ما نیز با این توصیف موافق‌اند) و در ادامه می‌گوید خیلی سخت می‌توان آن را شناسایی نمود. هشدار باج‌افزار به طور دقیق، مبلغ باج (برای رمزگشایی کامپیوترها) را ذکر نمی‌کند؛ اما در عوض حاوی آدرسی هستند تا قربانیان از آن طریق بتوانند تماس پیدا کنند. گرچه تحلیل روی این اتفاق هنوز کامل نشده اما می‌توان از همین حالا هم در مورد اقدامات درست و غلط شرکت هیدرو بحث کنیم:

کار درست:

1. نیروگاه‌ها از شبکه‌ی اصلی جداسازی شده بودند و درست به همین دلیل بود که باج‌افزار نتوانست آن‌ها را آلوده کند.
2. تیم امنیتی خیلی سریع تصمیم به جداسازی کارخانجات ذوب فلز گرفت و همین باعث شد آن‌ها بتوانند به کار خود ادامه دهند (بدون بروز هیچ عامل تخریب‌کننده).
3. کارمندان می‌توانستند حتی بعد از واقعه مثل همیشه ارتباط داشته باشند؛ این بدان معناست که از سرور ارتباطی به حد کافی خوب مراقبت شده بود که نخواهد گرفتار این باج‌افزار شود.
4. شرکت هیدرو بک‌آپ‌هایی دارد که با استفاده از آن‌ها قادر است داده‌های رمزگذاری‌شده را ریستور کند و به عملیات‌های خود ادامه دهد.
5. شرکت هیدرو همچنین از بیمه‌ی سایبری برخوردار است که می‌بایست برخی از هزینه‌های ناشی از این واقعه را جبران کند.

کار غلط:

1. این شبکه شاید به طور درستی بخش‌بندی نشده بوده است؛ در این غیر این صورت باید خیلی راحت‌تر جلوی این باج‌افزار گرفته می‌شد.
2. راه‌حل امنیتی اتخاذ شده توسط شرکت هیدرو آنچنان محکم و قدرتمند نبوده که بتواند این باج‌افزار را گیر بیاندازد (گرچه راه‌حل جدیدی بوده است).
3. این راه‌حل امنیتی می‌توانست با یک نرم‌افزار ضد باج‌افزار (مانند Kaspersky Anti-Ransomware Tool[i] که می‌تواند در کنار سایر راه‌حل‌های امنیتی نصب شده و قادر است سیستم را در مقابل هر نوع باج‌افزار، ماینر و سایر تخریب‌کننده‌ها محافظت کند) تکمیل شود.

[i] ابزار ضد باج‌افزار کسپرسکی