روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ حدود چهار سال پیش، امنیت سایبری به دستاویزی در بازیهای ژئوپولیتیک تبدیل شد. سیاستمداران از هر درجه و ملیتی بر سر عملیاتهای خصمانهی جاسوسی سایبری انگشت اتهام را به سمت همدیگر نشانه میگرفتند و در عین حال رایاسلاح[1]های کشورشان را بیش از هر زمان دیگری توسعه میدادند. حال آنکه در این آتشبار شرارتهای ژئوپولیتیکی شرکتهای امنیت سایبری مستقلی هستند که برای پرده برداشتن از این لودگیِ بسیار خطرناک هم قدرتش را دارند و هم اعصابش را. لابد میپرسید اصلاً چرا؟ خوب پاسخ بسیار ساده است.
نخست اینکه «سایبر» واژهای جالب/رمانتیک/علمی/هالیوودی/باشکوهی هست و بوده؛ درست از همان زمانی که موجودیت پیدا کرد. همچنین اینکه کارش فقط فروش محصولات نیست بلکه مطبوعات هم میفروشد. مثلاً ساحت سیاسیاش بسیار محبوب شده؛ یک حواسپرتی دمدستی –با توجه به بامزه بودن و محبوبیتش- برای وقتهایی که حواس پرت کردن امری است الزامی (غالباً همینطور است). دوم اینکه «سایبر» واقعاً تکنیکی است. بیشتر افراد آن را درک نمیکنند. در نتیجه، رسانه که همیشه دنبال کلیک گرفتن روی استوریها و سر و صدا کردن است صاف دست میگذارد روی این حوزه چون میداند کسی از آن چیزی سر درنمیآورد و برای همین با اعتماد به نفس هرچه هست را غلط و درست منتشر میکند. پس چیزی که دستگیرتان میشود یک مشت خبر است از فلان گروهِ هکری که مسئولیت فلان حمله را قبول کرده است. اما آیا باید این ادعاها را باور کرد؟
ما به انتساب فنی تکیه میکنیم. این هم وظیفهی ماست و هم حرفهایست که باید انجام دهیم.
به طورکلی، سخت است تشخیص اینکه چه چیز را باید باور کرد و چه چیز را نه. با این تفاسیر، آیا در واقع این امکان وجود دارد که بتوان حملهای را به گروه هکری خاصی نسبت داد؟
پاسخ دو قسمت دارد:
از دیدگاه فنی، حملات سایبری دارای مجموعه ویژگیهای خاصی هستند اما تحلیل بیطرفانهی سیستم وابسته به آن تنها میتواند این را تعیین کند که یک حمله تا چه میزان رفتارش مشابه با فلان گروه هکری است. با این وجود، اینکه آیا گروه هکری ممکن است به واحد زیرمجموعه 233اطلاعات نظامی، گروه پروژهشهای تحقیقات دفاع پیشرفتهی ملی و گروه ضربت کاهش تهدید (هیچیک وجود ندارد؛ خیالتان راحت. نیازی نیست بروید در گوگل سرچشان کنید) تعلق داشته باشد یک مسئلهی سیاسی است . در بستر سیاسی احتمال دستکاری حقایق 100% است.
این انتساب از موضع فنی تا موضع شواهد و مدارک محور و پیشبینیهای رمالگونه شناور باشد که جای همه اینها در مطبوعات است.
افزون بر این در کمال تعجب، درصد مگسهای سیاسی نیز که خود را در روغن حقیقتمحورِ امنیت سایبریِ محض میخیسانند با رویکرد حوادث مهم سیاسی چندین برابر رشد میکند. دانستن هویت مهاجم، مبارزه با آن را آسانتر میسازد: واکنش به رخداد میتواند بسیار روان و آرام طی شود و کمترین خطر را برای کسب و کار در پی داشته باشد. پس بله، انتساب سیاسی همان چیزی است که از آن جلوگیری میکنیم: ما جانب موضع فنی هستیم. در حقیقت، این وظیفه و حرفهی ماست و این کار را از هر کس دیگری بهتر انجام میدهیم (حمل بر خودستایی نشود!). ما تمامی گروههای بزرگ هکری و تمام عملیاتهای آنان را (600+) به دقت زیر نظر داریم و ذرهای به شباهتها و وابستگیهایشان توجه نداریم.
سارق، سارق است و باید جزای کارش را ببیند.
و حالا بیش از 30 سال تماشای بیوقفه این بازی شطرنج و جمعآوری اطلاعات پیرامون این تخلفات دیجیتالی حس میکنیم آمادهایم هرچه را در چنته داشتیم (در راهی درست)رو کنیم.
همین چند روز پیش سرویسی بینظیر برای متخصصین امنیت سایبری عرضه کردیم به نام Kaspersky Threat Attribution Engine که فایلهای مشکوک را تحلیل کرده و تعیین میکند یک حمله سایبری خاص از ناحیهی کدام گروه هکری فرستاده شده است. همانطور که گفتیم شناسایی هویت دشمن مبارزه با آن را آسان میکند: بدینترتیب اقدامات متقابل و آگاهانهای صورت میگیرد. میشود در این خصوص تصمیمگیریهایی کرد، طرح عملیاتیای ترسیم نمود، اولویتهایی تعریف کرد و به طور کلی واکنش به رخداد میتواند روان و با کمترین میزان خطر برای کسب و کار پیش رود.
چطور این کار را انجام میدهیم؟
همانطور که در فوق اشاره کردیم، حملات سایبری شاخصههای تماماً فنی یا «فلگهای» بسیاری دارند: زمان و تاریخی که فایلها جمعآوری شدند، آدرسهای آیپی، ابردادهها، اکسپلویتها، قطعات کد، رمزعبورها، زبان، کنوانسیون نامگذاری فایل، مسیرهای دیباگ کردن، ابزارهای مبهمسازی کد و رمزگذاری و غیره.
چنین مشخصههایی به طور جداگانه تنها برای الف) سیاستمداران کارامد است تا بتوانند انگشت اتهام خود را در عرصه بینالمللی روانه کند، برنامهی پنهانی خود را تقویت سازد یا ب) خبرنگاران فاسد که دنبال دست گرفتنِ گافها و سوءاستفاده از احساسات انسانی هستند. تنها در صورتی که کنار هم قرار گیرند میتوانند مشخص کنند حمله متعلق به چه گروه هدفی بوده است.
بعلاوه اینکه جعل یا تقلید یک فلگ کار آسانی است.
برای مثال، هکرهای گروه لازاروس ظاهراً از کلمات روسی رونویسیشده به حروف لاتین در کد باینریِ ایمپلنتشدهشان استفاده کردهاند. با این وجود، ساختار جمله به روسی غیرطبیعی است و اشتباه گرامری/نحوی آن را شبیه به ترجمههای گوگلی کرده است؛ شاید دلیل منحرف کردن متخصصین امنیتی بوده باشد.
اما باز یادآوری کنیم که هر گروه هکری میتواند از Google Translate–حتی برای زبان بومی خودش- استفاده کند و کاری کند زبان نشانگر قابلاطمینانی نباشد.
پروندهای دیگر را مثال میزنیم که شاید این بحث از جنبهای دیگر به شما نشان دهد:
گروه Hades (نویسندگان کرم بدنام OlympicDestroyer که به زیرساخت بازیهای المپیک سال 2018 در کره جنوبی حمله کرد) یک سری فلگ کاشت؛ از همان فلگهایی که گروه لازاروس هم به کار بسته بود. همین باعث شد بسیاری از محققین به خطا باور کنند هکرهای Hades در واقع همان لازاروسیها هستند (سایر تفاوتها بین سبک دو گروه نهایتاً خیلیها را به این نتیجهگیری سوق داد که این گروه، لازاروس نبوده).
با این وجود، تحلیل کارشناسیِ دستی صدها مشخصه و مقایسه آنها با سبکهای امضای سایر گروه هک عملاً در قاب زمانی کوتاهمدت محال است چون هم منابع محدود میباشد و هم کیفیت نتایجِ مطلوب. اما چنین نتایجی به شدت لازم است. شرکتها میخواهند سریعاً سایبر را به چنگ بیاورند؛ آن اختاپوسی که رویشان چمباتمه زده است. آنها دوست دارند هشت تا پای آن را بگیرند و نگذارند باری دیگر جایی ورود کند که نباید. آنها دوست دارند به طریقی به بقیه بگویند چطور باید از دامی که خود آنها در آن افتادند دوری کنند.
ژنوتیپهای بدافزار کمک میکنند بتوانیم با 100 درصد میزان دقت، شباهتهای کد بدافزار را با عاملین شناختهشدهی تهدید APT پیدا کنیم.
با این حساب چه چیزی به شدت مورد نیاز است؟ بسیار خوب، این همان چیزی است که ما بدان رسیدهایم...
چند سال پیش برای کاربرد داخلی دست به ساخت سیستمی برای تحلیل خودکار فایلها زدیم. ساز و کارش بدین شرح است: ما چیزی موسوم به ژنوتیپ را از فایل مشکوک بیرون میکشیم –تکههای کوتاهِ کد که با استفاده از الگوریتم اختصاصی خود انتخاب میشوند- و آن را با بیش از 60 هزار مورد حملهی هدفدار از پایگاه اطلاعاتیمان (روی طیفی کلی از مشخصهها) مورد مقایسه قرار میدهیم. این کار به ما اجازه میدهد تا محتملترین سناریوها را در خصوص منشاء حمله سایبری تشخیص دهیم، توصیفاتی از گروههای هکریِ مسئول ارائه داده و لینکهایی بدهیم به منابع رایگان و پولی برای کسب اطلاعات بیشتر و توسعه راهبردِ واکنش به رخداد. حالا شاید بپرسید این بررسی تا چد حد میتواند قابلاطمینان باشد؟ بسیارخوب، بگذارید به همین بسنده کنیم که ظرف این سال سیستم یک خطا هم در مسیر پژوهشی نکرده است. برخی از بررسیهای شناختهشدهتر که در این سیستم به کار رفتهاند عبارتاند از:
ایمپلنت آیاواس LightSpy، TajMahal، Shadowhammer، ShadowPad و Dtrack.
و در تمامی موارد فوق، نتیجه در بخش ارزیابی از سوی متخصصینمان تأیید شد. اکنون مشتریانمان نیز میتوانند از این نتایج استفاده کنند!
Kaspersky Threat Attribution Engine در قالب کیت توزیع مبتنی بر لینوکس ارائه میشود که قرار است روی کامپیوتر مشتری نصب شود. آپدیتها توسط USB تهیه میگردند. هر نمونه بدافزاری که تحلیلگران خود شرکت برای مشتری پیدا میکنند میتواند به پایگاه اطلاعاتی راهحل اضافه شود؛ همچنین برای متصل کردن موتور به سایر سیستمها –حتی SOC طرفسوم- از رابط API نیز استفاده میکند. حال که داریم رفته رفته به پایان این مقاله نزدیک میشویم لازم است که رفعکنندهی ادعا ارائه دهیم: هیچ ابزار تحلیل خودکارِ فعالیت سایبری مخرب، انتساب حملهی 100 درصدی را تضمین نمیدهد. هر چیزی میتواند دستکاری و جعل شود؛ از جمله پیشرفتهترین راهکارها.
اهداف اصلی ما سوق دادن متخصصین به مسیر درست و آزمایش سناریوهای محتمل است. همچنین با وجود این همه تعریف و تمجیدی که از کارایی و اثربخشی هوش مصنوعی میکنند (فناوریای که در واقع وجود ندارد)، سیستمهای فعلی هوش مصنوعی (حتی هوشمندترینشان) هنوز قادر نیستند بدون کمک هومو ساپینسها[2] قدم از قدم بردارند. این در حقیقت همافزاییِ ماشینها، دادهها و متخصصین است؛ چیزی که ما بدان میگوییم انسانماشین[3]. انسانماشین است که این روزها به ما کمک میکند تا به طور مؤثری حتی با پیچیدهترین تهدیدهای سایبری هم بجنگیم. و در آخر، دوست داریم شما را به وبینار 17 ژوئن خود دعوت کنیم؛ شما در این وبینار شاهد دمویی از این محصول خواهید بود که مستقیماً از زبان توسعهدهندگانش بیرون میآید و میتوانید پرسشهای درلحظهای نیز ارائه دهید.
[1] Cyberweaponهر فرد یا برنامه یا ویروس رایانه ای که به داده های طبقه بندی شدۀ دشمن دست می یابد یا آنها را دستکاری و تخریب می کند
[2]نام یک گونه از سرده انسان است. بر اساس نظریه فرگشت، انسان خردمند، نمونهای فرگشت یافته از انسان راستقامت است.
[3] humachine
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.