روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ دیگر گفتن اینکه 2022 کاملاً خلاف انتظارها گذشت به کلیشه تبدیل شده است. ما بحران کووید 19 را به امید بازگشت به روزهای عادیمان که مدتها انتظارش را میکشیدیم از سر گذرانیدم اما بلافاصله بعدش به دام درگیری نظامی به سبک قرن بیست و یکم افتادیم که خطرات جدی و مسری بر قارهها در پی داشت. در حالی که تحلیل ژئوپلیتیک گستردهتر جنگ در اوکراین و پیامدهای آن بهتر است به کارشناسان واگذار شود، تعدادی از رویدادهای سایبری در طول درگیری رخ داده است و ارزیابی ما این است که آنها بسیار مهم هستند. در این مقاله، قصد داریم فعالیتهای مختلفی را که در فضای سایبری در رابطه با درگیری در اوکراین مشاهده شده است مرور، معنای آنها را در چارچوب درگیری کنونی درک و تأثیر آنها را بر حوزه امنیت سایبری به طور کلی مطالعه کنیم. با ما همراه بمانید.
در دنیای مدرن، راه اندازی هر نوع عملیات نظامی بدون پشتیبانی اطلاعاتی در میدان بسیار دشوار شده است. بیشتر اطلاعات از منابع مختلف از طریق روشهایی مانند HUMINT (اطلاعات انسانی، جمع آوری شده از افراد مستقر در منطقه درگیری آتی)، SIGINT (هوش سیگنالها، جمع آوری شده از طریق رهگیری سیگنال ها)، GEOINT (هوش فضایی، مانند نقشه های ماهوارهها) یا ELINT (هوش الکترونیک، به استثنای متن یا صدا و غیره) جمعآوری میشود. به عنوان مثال، بر اساس گزارش نیویورک تایمز، در سال 2003، ایالات متحده برنامههایی برای یک حمله سایبری عظیم برای مسدود کردن میلیاردها دلار در حسابهای بانکی صدام حسین و فلج کردن دولت او قبل از حمله به عراق طراحی کرد.با این حال، این طرح تصویب نشد، زیرا دولت از خسارات جانبی بیم داشت. در عوض، یک طرح محدودتر برای فلج کردن سیستمهای ارتباطی نظامی و دولتی عراق در ساعات اولیه جنگ در سال 2003 انجام شد. این عملیات شامل منفجر کردن دکلهای تلفن همراه و شبکههای ارتباطی و همچنین پارازیت و حملات سایبری علیه شبکههای تلفن عراق بود.
بر اساس همین مقاله، حمله دیگری از این دست در اواخر دهه 1990 با حمله ارتش آمریکا به شبکه مخابراتی صربستان صورت گرفت. به طور ناخواسته، این نیز برای روزها بر سیستم ارتباطی Intelsat تأثیر گذاشت و ثابت کرد که خطر آسیب جانبی در طول جنگ سایبری بسیار زیاد است. درس های آموختهشده از این رویدادها ممکن است امکان پیشبینی درگیریهای جنبشی را با نظارت بر حملات سایبری جدید در مناطق بالقوه درگیری فراهم کند. به عنوان مثال، در اواخر سال 2013 و ژانویه 2014، ما شاهد فعالیت بالاتر از حد معمول در اوکراین توسط گروه Turla APT و همچنین افزایش در تعداد مشاهدات BlackEnergy APT بودیم. به همین ترتیب، در ابتدای فوریه 2022، ما متوجه افزایش عظیمی در میزان فعالیت مربوط به سرورهای Gamaredon C&C شدیم. این فعالیت به سطوحی رسیده است که تاکنون دیده نشده بود، که نشاندهنده آمادگیهای گسترده برای یک تلاش بزرگ برای گردهمایی SIGINT است.
بینشهای کلیدی
- کمپینهای نظامی امروزی به دنبال جمعآوری هوش حامی در این حوزه میگردند: این شامل SIGINT و ELINT (از میان کلی مورد دیگر) میشود.
- کمپینهای مهم نظامی مانند حمله به عراق در سال 2003 با حملات سایبری قویای تکمیل شد که دلیل طراحیشان غیرفعال کردن شبکههای ارتباطی دشمن بود.
- در فوریه 2022 متوجه افزایش زیاد فعالیت مرتبط به سرورهای Gamaredon C&C شدیم؛ همین میزان افزایش نیز در فعالیتهای Turla و BlackEnergy نیز اواخر 2013 و اوایل 2014 مشاهده شد.
- انتظار میرود شاهد علایم و جهشهای زیادی در جنگهای سایبری باشیم (با توجه با بالا گرفتن درگیریهای نظامی).
جانبداری: گروههای حرفهای باجافزار، هکتیویستها و حملات DDos
همیشه اینطور بوده که زمان جنگ روی چشمانداز اطلاعاتی تأثیر میگذارد. این مسئله مشخصاً روی سال 2022 صدق میکند. اکنون بشریت قدرتمندترین ابزارهای انتشار اطلاعات ایجادشده را در اختیار دارد: شبکههای اجتماعی و اثر تقویتیشان که بخوبی سندسازی شدهاند. بیشتر رویدادهای جهان واقعی مرتبط با جنگ (حکایت درگیریها، آمار کشتهها و شهادت اسیران جنگی) با درجات مختلف حسن نیت در فضای آنلاین به اشتراک گذاشته میشوند. رسانههای خبری سنتی نیز تحت الشعاع چنین بستر وسیع جنگ اطلاعاتی قرار میگیرند. حملات DDoS و تا حد کمتری تخریب وبسایتهای رندوم همیشه جزو حملاتی با پیچیدگی کمتر و اثراتی خفیفتر در جوامع امنیتی به حساب میآیند.
مشخصاً حملات DDoS به تولید ترافیک شبکه سنگین نیاز دارند که مهاجمین معمولاً نمیتوانند این وضعیت را تا مدت طولانی یکجور نگه دارند. به محض متوقف شدن حمله، وبسایت هدف باری دیگر «در دسترس» میشود. سوای ضرر موقتی در بخش درآمد وبسایتهای تجارت الکترونیک، تنها ارزش ارائهشده توسط حملات DDoS تحقیر کردن قربانی است. از آنجایی که ژورنالیستهای غیرمتخصص ممکن است فرق بین انواع مختلف رخدادهای امنیتی را ندانند، گزارشات بعدیشان همراه با نالایقی و امنیت ناکافی است که همین ممکن است اعتماد کاربران را خدشهدار کند.
هک و نشتی
آن سر پیچیدهترِ حملاتی که برای جلب توجه رسانهها تلاش میکنند، عملیات هک و نشت از ابتدای درگیری نشسته که رو به افزایش است. مفهوم، ساده است: نفوذ به یک سازمان و انتشار دادههای داخلی آن به صورت آنلاین، اغلب از طریق یک وب سایت اختصاصی. این به طور قابل توجهی دشوارتر از یک عملیات ساده تغییر چهره است، زیرا همه ماشینها حاوی دادههای داخلی نیستند که ارزش انتشار داشته باشند. بنابراین، عملیات هک و نشت به هدفگیری دقیقتری نیاز دارد و در بیشتر موارد، مهارت بیشتری از مهاجمان نیز میطلبد، زیرا اطلاعاتی که آنها به دنبال آن هستند، اغلب در اعماق شبکه قربانی مدفون است.
نمونهای از چنین کمپین "دوکس کردن" سربازان اوکراینی است. نهادهای غربی نیز مورد هدف قرار گرفتند، مانند دولت لهستان یا بسیاری از چهرههای برجسته طرفدار برگزیت در بریتانیا. در موارد اخیر، ایمیل های داخلی منتشر شد که منجر به بررسی دقیق روزنامه نگاران تحقیقی شد. در تئوری، این نشت دادهها در معرض دستکاری هستند. مهاجمین تمام زمان لازم برای ویرایش هر سند منتشر شده را دارند یا میتوانند اسناد کاملا جعلی را تزریق کنند. مهم است توجه داشته باشید که اینکه مهاجم بخواهد نشت داده را آسیبرسان کند لزوماً قرار نیست اضافهکاری کند و از خود حسابی کار بکشد. در دسترس بودن عمومی داده ها خود گواه این است که یک رخداد امنیتی جدی روی داده و محتوای قانونی و اصلی ممکن است قبلاً حاوی اطلاعات مجرمانه باشد.
بینشهای کلیدی
- ما در پیشبینیهای apt 2023 خودمان اینطور تصور میکنیم که عملیاتهای هک و نشت در سال جدید میلادی افزایش مییابد زیرا آنها در برابر نهادهایی که از پیش قرارگری بالای رسانهای داشتند و سطوح فساد نیز در آنها زیاد است (منظور سیاسیون است) بسار کارامدند.
- جنگ اطلاعاتی فقط از درگیری ناشی نمیشود بلکه متوجه همه ناظرین است. ما انتظار داریم اکثریت چنین حملاتی تنها متوجه متخاصمین نشوند و حتی نهادهایی را که جانبداری هر حزب را نیز میکردند (اما نه به اندازهای که برای عاملین تهدید کافی باشد) هم تحتالشعاع قرار دهند.
- فرقی ندارد عملیات هک و نشت است یا DDoS، به هر روی حملات سایبری ابزاری غیرجنبشی هستند برای سیگنالدهی سیاسی بین دولتها.
ذخایر منبع باز سمی و استفاده از نرمافزارهای منبع باز به عنوان حربه
نرم افزار متن/منبع باز مزایای زیادی دارد. اولاً، استفاده از آن اغلب رایگان است، به این معنی که کسب و کارها و افراد میتوانند در هزینههای نرم افزار صرفهجویی کنند. با این حال، از آنجایی که هر کسی میتواند به کد کمک کند و بهبودهایی را ایجاد کند، این نیز میتواند مورد سوء استفاده قرار گیرد و به نوبه خود، درهای امنیتی را باز کند. از سوی دیگر، از آنجایی که کد میتواند به صورت عمومی برای هر گونه آسیبپذیری امنیتی احتمالی مورد بررسی قرار گیرد، به این معنی است که با بررسی دقیق کافی، خطرات استفاده از نرم افزار منبع باز را می توان تا سطوح مناسب کاهش داد.
در ماه مارس، RIAEvangelist، توسعهدهنده بسته محبوب npm «node-ipc»، نسخههای اصلاحشده این نرمافزار را منتشر کرد که در صورتی که سیستمهای در حال اجرا دارای آدرس IP روسی یا بلاروسی بودند، عملکرد ویژهای میداشتند. در چنین سیستمهایی، کد همه فایلها را با یک ایموجی قلب بازنویسی میکند، همچنین پیام WITH-LOVE-FROM-AMERICA.txt را که در ماژول دیگری ایجاد شده توسط همان توسعهدهنده ایجاد شده، گسترش میدهد. بسته node-ipc با بیش از 800000 کاربر در سراسر جهان بسیار محبوب است.
همانطور که اغلب در مورد نرم افزار منبع باز اتفاق میافتد، اثر استقرار این نسخههای node-ipc اصلاح شده محدود به کاربران مستقیم نبود. بسته های منبع باز دیگر، به عنوان مثال Vue.js که به طور خودکار آخرین نسخه node-ipc را در بر میگیرد، این اثر را تقویت کرد. بستههایی که قصد انتشار در بازار روسیه را داشتند، همیشه منجر به تخریب فایلها نمیشد، برخی از آنها دارای قابلیتهای پنهانی مانند افزودن پرچم اوکراین به بخشی از وبسایت نرمافزاری یا بیانیههای سیاسی در حمایت از کشور بودند. در موارد خاص، عملکرد بسته حذف شده و با نوتیفهای سیاسی جایگزین میشود. شایان ذکر است که همه بستهها این قابلیت را نداشتند که برخی از نویسندگان این عملکرد را در توضیحات بسته اعلام کردند.
بینشهای کلیدی
- با طولانی شدن درگیریها، بستههای محبوب منبع باز را میشود به عنوان اعتراض استفاده کرد و یا پلتفرم حملهای با مدیریت توسعهدهندگان یا هکرها.
- تأثیرات چنین حملاتی حتی میتواند تا جایی پیش رود که خود نرمافزار منبع باز به بستههای دیگر که خودکار به کد تروجانزدهای تکیه دارند سرایت پیدا میکند.
نکاتی چند در خصوص مفهوم «از هم پاشیدگی[1]»
اگر درگیری تشدید شود، سازمانهای مستقر در کشورهایی که وضعیت سیاسیشان نیازی به رسیدگی به مسائل فوق ندارد، همچنان باید عوامل خطر آتی را که ممکن است همه را تحت تأثیر قرار دهد، در نظر بگیرند:
- با از دست دادن برخی از بازارهای توسعه دهندگان IS، کیفیت تشخیص تهدید کاهش مییابد و در نتیجه برخی از کارشناسان واجد شرایط IS خود از دست میدهند. این یک عامل خطر واقعی برای همه فروشندگان امنیتی است که فشار سیاسی را تجربه میکنند.
- قطع ارتباط بین توسعهدهندگان IS و محققین واقع در طرف مقابل بدون شک نرخ تشخیص راهکارهای امنیتی را که در حال حاضر در حال توسعه هستند کاهش میدهد.
- کاهش کیفیت CTI:انتساب تهدید سایبری با انگیزه سیاسی بیاساس، تهدیدهای اغراق آمیز، معیارهای اعتبار پایین تر بیانیه به دلیل فشار سیاسی و تلاش برای استفاده از روایت سیاسی دولت برای کسب سود بیشتر.
تلاشهای دولت برای یکپارچهسازی اطلاعات در مورد رخدادها، تهدیدها و آسیبپذیریها و محدود کردن دسترسی به این اطلاعات، آگاهی کلی را کاهش میدهد، زیرا ممکن است گاهی اوقات اطلاعات بدون دلیل موجه مخفی نگه داشته شود.
بینشهای کلیدی
- ژئوپولیتیک نقش کلیدی ایفا میکند و پروسه از هم پاشیدگی قرار است حتی بسط نیز داده شود.
- آپدیتهای امنیتی ممکن است وقتی فروشندها پشتیبانی محصولاتشان را متوقف و یا بازار را ترک کنند، معضل اصلی بشوند.
- جایگزین کردن رهبران جهانی با محصولات بومی شاید باعث شود مهاجمین بتوانند آسیبپذیریهای روز صفر را اکسپلویت کنند.
آیا جنگ سایبری اتفاق افتاده؟
از اول درگیریها، جامعه امنیت سایبری در مورد این بحث میکند که آیا در مورد اوکراین ما شاهد جنگ سایبری بودهایم یا نه. حقیقت غیرقابلانکار این است که این فعالیت مهم سایبری با شروع جنگ اوکراین اتفاق افتاده است. شاید این تنها معیاری باشد که بدان نیاز داریم. از طرفی دیگر، بسیاری از ناظران تصور کرده بودند که در مورد یک درگیری، حملات پیشگیرانه سایبری طرف «عملیات ویژه» را فلج میکند. به استثنای رخداد Viasat که اثر آن را سخت میشود ارزیابی کرد، این کار اتفاق نیافتاد. درگیری در عوض، غیاب همکاری بین نیروهای سایبری جنبشی را پررنگ کرد و از بسیاری جهات حمله سایبری را تنها به داشتن نقشی فرعی تنزل داد.
حملات باجافزار مشاهدهشده در هفتههای اولیه درگیری اوکراین نیز در بهترین حالت فقط میتوانند عنوان «عنصر حواسپرتی» داشته باشند. بعدها وقتی درگیری بالا گرفت (در ماه نوامبر) و زیرساخت اوکراین (مشخصاً شبکههای انرژی) صراحتاً مورد هدف قرار گرفتند خیلی واضح میشود فهمید ابزار انتخابی ارتش روسیه موشک بود. اگر بر تعریف جنگ سایبری به عنوان هرگونه درگیری جنبشی که از طریق ابزارهای سایبری پشتیبانی میشود، صرف نظر از ارزش تاکتیکی یا استراتژیک آنها، صحه میگذارید در آن صورت میشود گفت جنگ سایبری در فوریه 2022 اتفاق افتاده است. در غیر این صورت، ممکن است با مفهوم «آزار سایبری[2]» سیاران مارتین بیشتر موافق باشید.
بینشهای کلیدی
- در این بخش، حملات سایبری از خود غیرعملی بودن بنیادی را نشان میدهند؛ یک جور غیرعملی بودن که فقط وقتی بحث پنهانکاری مهم میشود میشود توجیهش کرد. وقتی پنهانکاری در میان نباشد خرابی فیزیکی کامپیوترها هم آسانتر است هم ارزانتر و نیز به مراتب مطمئنتر.
جمعبندی
درگیری اوکراین اثر مادامالعمر روی صنعت امنیت سایبری و چشمانداز ان به طور کلی خواهد داشت. چه واژه «جنگ سایبری» کارایی داشته باشد چه نداشته باشند، به هر روی نمیشود انکار کرد که این درگیری برای همیشه انتظارات هر کس را در مورد فعالیت سایبری انجامشده در طول جنگ –وقتی پای قدرت اصلی در میان است- تغییر خواهد داد. متأسفانه این احتمال وجود دارد که رویه تثبیتشده به هنجار عملی تبدیل شود. قبل از درافتادن جنگ، چندین فرآیند چند جانبه در حال انجام تلاش برای ایجاد یک اجماع در مورد رفتار قابل قبول و مسئولانه در فضای مجازی بود. با توجه به تنشهای شدید ژئوپلیتیکی که در حال حاضر تجربه میکنیم، تردید وجود دارد که این بحثهای دشوار در آینده نزدیک به ثمر بنشیند.
شاید اقدام امیدوارکننده پروژهی «نشان دیجیتال[3]» ICRC باشد که در واقع راهکاری است برای شفاف تعیین کردن دستگاههایی که برای مقاصد انسانی یا دارویی استفاده میشوند. امید است مهاجمین با توجه به شفافیت اعمالشده دست از ویرانی این ماشینها بردارند! نشانها دیجیتال شاید درست مانند نمادهای صلیب سرخ و هلال احمر واقعی نتوانند گلوله ها را متوقف کنند و جلوی حملات سایبری را در سطح فنی بگیرند اما حداقل برای همه آشکار میشود که زیرساخت های پزشکی هدف قانونیای نیست. از آنجایی که به نظر میرسد این درگیری تا سالها ادامه داشته باشد و آمار کشتهها نیز تا همین الانش بسیار بالا رفته امید است دست کم همه بر سر نشانهای دیجیتال توافق کنند.
[1] Fragmentation
[2] cyberharassment
[3] Digital emblem
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
