وبلاگ کسپرسکی آنلاین | ارزیابی مجدد جنگ سایبری: آموخته‌های سال 2022

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ دیگر گفتن اینکه 2022 کاملاً خلاف انتظارها گذشت به کلیشه تبدیل شده است. ما بحران کووید 19 را به امید بازگشت به روزهای عادی‌مان که مدت‌ها انتظارش را می‌کشیدیم از سر گذرانیدم اما بلافاصله بعدش به دام درگیری نظامی به سبک قرن بیست و یکم افتادیم که خطرات جدی‌ و مسری بر قاره‌ها در پی داشت. در حالی که تحلیل ژئوپلیتیک گسترده‌تر جنگ در اوکراین و پیامدهای آن بهتر است به کارشناسان واگذار شود، تعدادی از رویدادهای سایبری در طول درگیری رخ داده است و ارزیابی ما این است که آنها بسیار مهم هستند. در این مقاله، قصد داریم فعالیت‌های مختلفی را که در فضای سایبری در رابطه با درگیری در اوکراین مشاهده شده است مرور، معنای آن‌ها را در چارچوب درگیری کنونی درک و تأثیر آن‌ها را بر حوزه امنیت سایبری به طور کلی مطالعه کنیم. با ما همراه بمانید.

در دنیای مدرن، راه اندازی هر نوع عملیات نظامی بدون پشتیبانی اطلاعاتی در میدان بسیار دشوار شده است. بیشتر اطلاعات از منابع مختلف از طریق روش‌هایی مانند HUMINT (اطلاعات انسانی، جمع آوری شده از افراد مستقر در منطقه درگیری آتی)، SIGINT (هوش سیگنال‌ها، جمع آوری شده از طریق رهگیری سیگنال ها)، GEOINT (هوش فضایی، مانند نقشه های ماهواره‌ها) یا ELINT (هوش الکترونیک، به استثنای متن یا صدا و غیره) جمع‌آوری می‌شود. به عنوان مثال، بر اساس گزارش نیویورک تایمز، در سال 2003، ایالات متحده برنامه‌هایی برای یک حمله سایبری عظیم برای مسدود کردن میلیاردها دلار در حساب‌های بانکی صدام حسین و فلج کردن دولت او قبل از حمله به عراق طراحی کرد.با این حال، این طرح تصویب نشد، زیرا دولت از خسارات جانبی بیم داشت. در عوض، یک طرح محدودتر برای فلج کردن سیستم‌های ارتباطی نظامی و دولتی عراق در ساعات اولیه جنگ در سال 2003 انجام شد. این عملیات شامل منفجر کردن دکل‌های تلفن همراه و شبکه‌های ارتباطی و همچنین پارازیت و حملات سایبری علیه شبکه‌های تلفن عراق بود.

بر اساس همین مقاله، حمله دیگری از این دست در اواخر دهه 1990 با حمله ارتش آمریکا به شبکه مخابراتی صربستان صورت گرفت. به طور ناخواسته، این نیز برای روزها بر سیستم ارتباطی Intelsat تأثیر گذاشت و ثابت کرد که خطر آسیب جانبی در طول جنگ سایبری بسیار زیاد است. درس های آموخته‌شده از این رویدادها ممکن است امکان پیش‌بینی درگیری‌های جنبشی را با نظارت بر حملات سایبری جدید در مناطق بالقوه درگیری فراهم کند. به عنوان مثال، در اواخر سال 2013 و ژانویه 2014، ما شاهد فعالیت بالاتر از حد معمول در اوکراین توسط گروه Turla APT و همچنین افزایش در تعداد مشاهدات BlackEnergy APT بودیم. به همین ترتیب، در ابتدای فوریه 2022، ما متوجه افزایش عظیمی در میزان فعالیت مربوط به سرورهای Gamaredon C&C شدیم. این فعالیت به سطوحی رسیده است که تاکنون دیده نشده بود، که نشان‌دهنده آمادگی‌های گسترده برای یک تلاش بزرگ برای گردهمایی SIGINT است.

بینش‌های کلیدی

کمپین‌های نظامی امروزی به دنبال جمع‌آوری هوش حامی در این حوزه می‌گردند: این شامل SIGINT و ELINT (از میان کلی مورد دیگر) می‌شود.
کمپین‌های مهم نظامی مانند حمله به عراق در سال 2003 با حملات سایبری قوی‌ای تکمیل شد که دلیل طراحی‌شان غیرفعال کردن شبکه‌های ارتباطی دشمن بود.
در فوریه 2022 متوجه افزایش زیاد فعالیت مرتبط به سرورهای Gamaredon C&C شدیم؛ همین میزان افزایش نیز در فعالیت‌های Turla و BlackEnergy نیز اواخر 2013 و اوایل 2014 مشاهده شد.
انتظار می‌رود شاهد علایم و جهش‌های زیادی در جنگ‌های سایبری باشیم (با توجه با بالا گرفتن درگیری‌های نظامی).

جانبداری: گروه‌های حرفه‌ای باج‌افزار، هکتیویست‌ها و حملات DDos

همیشه اینطور بوده که زمان جنگ روی چشم‌انداز اطلاعاتی تأثیر می‌گذارد. این مسئله مشخصاً روی سال 2022 صدق می‌کند. اکنون بشریت قدرتمندترین ابزارهای انتشار اطلاعات ایجادشده را در اختیار دارد: شبکه‌های اجتماعی و اثر تقویتی‌شان که بخوبی سندسازی شده‌اند. بیشتر رویدادهای جهان واقعی مرتبط با جنگ (حکایت درگیری‌ها، آمار کشته‌ها و شهادت اسیران جنگی) با درجات مختلف حسن نیت در فضای آنلاین به اشتراک گذاشته می‌شوند. رسانه‌های خبری سنتی نیز تحت الشعاع چنین بستر وسیع جنگ اطلاعاتی قرار می‌گیرند. حملات DDoS و تا حد کمتری تخریب وبسایت‌های رندوم همیشه جزو حملاتی با پیچیدگی کمتر و اثراتی خفیف‌تر در جوامع امنیتی به حساب می‌آیند.

مشخصاً حملات DDoS به تولید ترافیک شبکه سنگین نیاز دارند که مهاجمین معمولاً نمی‌توانند این وضعیت را تا مدت طولانی یک‌جور نگه دارند. به محض متوقف شدن حمله، وبسایت هدف باری دیگر «در دسترس» می‌شود. سوای ضرر موقتی در بخش درآمد وبسایت‌های تجارت الکترونیک، تنها ارزش ارائه‌شده توسط حملات DDoS تحقیر کردن قربانی است. از آنجایی که ژورنالیست‌های غیرمتخصص ممکن است فرق بین انواع مختلف رخدادهای امنیتی را ندانند، گزارشات بعدی‌شان همراه با نالایقی و امنیت ناکافی است که همین ممکن است اعتماد کاربران را خدشه‌دار کند.

هک و نشتی

آن سر پیچیده‌ترِ حملاتی که برای جلب توجه رسانه‌ها تلاش می‌کنند، عملیات هک و نشت از ابتدای درگیری نشسته که رو به افزایش است. مفهوم، ساده است: نفوذ به یک سازمان و انتشار داده‌های داخلی آن به صورت آنلاین، اغلب از طریق یک وب سایت اختصاصی. این به طور قابل توجهی دشوارتر از یک عملیات ساده تغییر چهره است، زیرا همه ماشین‌ها حاوی داده‌های داخلی نیستند که ارزش انتشار داشته باشند. بنابراین، عملیات هک و نشت به هدف‌گیری دقیق‌تری نیاز دارد و در بیشتر موارد، مهارت بیشتری از مهاجمان نیز می‌طلبد، زیرا اطلاعاتی که آنها به دنبال آن هستند، اغلب در اعماق شبکه قربانی مدفون است.

نمونه‌ای از چنین کمپین "دوکس کردن" سربازان اوکراینی است. نهادهای غربی نیز مورد هدف قرار گرفتند، مانند دولت لهستان یا بسیاری از چهره‌های برجسته طرفدار برگزیت در بریتانیا. در موارد اخیر، ایمیل های داخلی منتشر شد که منجر به بررسی دقیق روزنامه نگاران تحقیقی شد. در تئوری، این نشت داده‌ها در معرض دستکاری هستند. مهاجمین تمام زمان لازم برای ویرایش هر سند منتشر شده را دارند یا می‌توانند اسناد کاملا جعلی را تزریق کنند. مهم است توجه داشته باشید که اینکه مهاجم بخواهد نشت داده را آسیب‌رسان کند لزوماً قرار نیست اضافه‌کاری کند و از خود حسابی کار بکشد. در دسترس بودن عمومی داده ها خود گواه این است که یک رخداد امنیتی جدی روی داده و محتوای قانونی و اصلی ممکن است قبلاً حاوی اطلاعات مجرمانه باشد.

بینش‌های کلیدی

ما در پیش‌بینی‌های apt 2023 خودمان اینطور تصور می‌کنیم که عملیات‌های هک و نشت در سال جدید میلادی افزایش می‌یابد زیرا آن‌ها در برابر نهادهایی که از پیش قرارگری بالای رسانه‌ای داشتند و سطوح فساد نیز در آن‌ها زیاد است (منظور سیاسیون است) بسار کارامدند.
جنگ اطلاعاتی فقط از درگیری ناشی نمی‌شود بلکه متوجه همه ناظرین است. ما انتظار داریم اکثریت چنین حملاتی تنها متوجه متخاصمین نشوند و حتی نهادهایی را که جانبداری هر حزب را نیز می‌کردند (اما نه به اندازه‌ای که برای عاملین تهدید کافی باشد) هم تحت‌الشعاع قرار دهند.
فرقی ندارد عملیات هک و نشت است یا DDoS، به هر روی حملات سایبری ابزاری غیرجنبشی هستند برای سیگنال‌دهی سیاسی بین دولت‌ها.

ذخایر منبع باز سمی و استفاده از نرم‌افزارهای منبع باز به عنوان حربه

نرم افزار متن/منبع باز مزایای زیادی دارد. اولاً، استفاده از آن اغلب رایگان است، به این معنی که کسب و کارها و افراد می‌توانند در هزینه‌های نرم افزار صرفه‌جویی کنند. با این حال، از آنجایی که هر کسی می‌تواند به کد کمک کند و بهبودهایی را ایجاد کند، این نیز می‌تواند مورد سوء استفاده قرار گیرد و به نوبه خود، درهای امنیتی را باز کند. از سوی دیگر، از آنجایی که کد می‌تواند به صورت عمومی برای هر گونه آسیب‌پذیری امنیتی احتمالی مورد بررسی قرار گیرد، به این معنی است که با بررسی دقیق کافی، خطرات استفاده از نرم افزار منبع باز را می توان تا سطوح مناسب کاهش داد.

در ماه مارس، RIAEvangelist، توسعه‌دهنده بسته محبوب npm «node-ipc»، نسخه‌های اصلاح‌شده این نرم‌افزار را منتشر کرد که در صورتی که سیستم‌های در حال اجرا دارای آدرس IP روسی یا بلاروسی بودند، عملکرد ویژه‌ای می‌داشتند. در چنین سیستم‌هایی، کد همه فایل‌ها را با یک ایموجی قلب بازنویسی می‌کند، همچنین پیام WITH-LOVE-FROM-AMERICA.txt را که در ماژول دیگری ایجاد شده توسط همان توسعه‌دهنده ایجاد شده، گسترش می‌دهد. بسته node-ipc با بیش از 800000 کاربر در سراسر جهان بسیار محبوب است.

همانطور که اغلب در مورد نرم افزار منبع باز اتفاق می‌افتد، اثر استقرار این نسخه‌های node-ipc اصلاح شده محدود به کاربران مستقیم نبود. بسته های منبع باز دیگر، به عنوان مثال Vue.js که به طور خودکار آخرین نسخه node-ipc را در بر می‌گیرد، این اثر را تقویت کرد. بسته‌هایی که قصد انتشار در بازار روسیه را داشتند، همیشه منجر به تخریب فایل‌ها نمی‌شد، برخی از آنها دارای قابلیت‌های پنهانی مانند افزودن پرچم اوکراین به بخشی از وب‌سایت نرم‌افزاری یا بیانیه‌های سیاسی در حمایت از کشور بودند. در موارد خاص، عملکرد بسته حذف شده و با نوتیف‌های سیاسی جایگزین می‌شود. شایان ذکر است که همه بسته‌ها این قابلیت را نداشتند که برخی از نویسندگان این عملکرد را در توضیحات بسته اعلام کردند.

بینش‌های کلیدی

با طولانی‌ شدن درگیری‌ها، بسته‌های محبوب منبع باز را می‌شود به عنوان اعتراض استفاده کرد و یا پلت‌فرم حمله‌ای با مدیریت توسعه‌دهندگان یا هکرها.
تأثیرات چنین حملاتی حتی می‌تواند تا جایی پیش رود که خود نرم‌افزار منبع باز به بسته‌های دیگر که خودکار به کد تروجان‌زده‌ای تکیه دارند سرایت پیدا می‌کند.

نکاتی چند در خصوص مفهوم «از هم پاشیدگی[1]»

اگر درگیری تشدید شود، سازمان‌های مستقر در کشورهایی که وضعیت سیاسی‌شان نیازی به رسیدگی به مسائل فوق ندارد، همچنان باید عوامل خطر آتی را که ممکن است همه را تحت تأثیر قرار دهد، در نظر بگیرند:

با از دست دادن برخی از بازارهای توسعه دهندگان IS، کیفیت تشخیص تهدید کاهش می‌یابد و در نتیجه برخی از کارشناسان واجد شرایط IS خود از دست می‌دهند. این یک عامل خطر واقعی برای همه فروشندگان امنیتی است که فشار سیاسی را تجربه می‌کنند.
قطع ارتباط بین توسعه‌دهندگان IS و محققین واقع در طرف مقابل بدون شک نرخ تشخیص راهکارهای امنیتی را که در حال حاضر در حال توسعه هستند کاهش می‌دهد.
کاهش کیفیت CTI:انتساب تهدید سایبری با انگیزه سیاسی بی‌اساس، تهدیدهای اغراق آمیز، معیارهای اعتبار پایین تر بیانیه به دلیل فشار سیاسی و تلاش برای استفاده از روایت سیاسی دولت برای کسب سود بیشتر.

تلاش‌های دولت برای یکپارچه‌سازی اطلاعات در مورد رخدادها، تهدیدها و آسیب‌پذیری‌ها و محدود کردن دسترسی به این اطلاعات، آگاهی کلی را کاهش می‌دهد، زیرا ممکن است گاهی اوقات اطلاعات بدون دلیل موجه مخفی نگه داشته شود.

بینش‌های کلیدی

ژئوپولیتیک نقش کلیدی ایفا می‌کند و پروسه از هم پاشیدگی قرار است حتی بسط نیز داده شود.
آپدیت‌های امنیتی ممکن است وقتی فروشندها پشتیبانی محصولاتشان را متوقف و یا بازار را ترک کنند، معضل اصلی بشوند.
جایگزین کردن رهبران جهانی با محصولات بومی شاید باعث شود مهاجمین بتوانند آسیب‌پذیری‌های روز صفر را اکسپلویت کنند.

آیا جنگ سایبری اتفاق افتاده؟

از اول درگیری‌ها، جامعه امنیت سایبری در مورد این بحث می‌کند که آیا در مورد اوکراین ما شاهد جنگ سایبری بوده‌ایم یا نه. حقیقت غیرقابل‌انکار این است که این فعالیت مهم سایبری با شروع جنگ اوکراین اتفاق افتاده است. شاید این تنها معیاری باشد که بدان نیاز داریم. از طرفی دیگر، بسیاری از ناظران تصور کرده بودند که در مورد یک درگیری، حملات پیشگیرانه سایبری طرف «عملیات ویژه» را فلج می‌کند. به استثنای رخداد Viasat که اثر آن را سخت می‌شود ارزیابی کرد، این کار اتفاق نیافتاد. درگیری در عوض، غیاب همکاری بین نیروهای سایبری جنبشی را پررنگ کرد و از بسیاری جهات حمله سایبری را تنها به داشتن نقشی فرعی تنزل داد.

حملات باج‌افزار مشاهده‌شده در هفته‌های اولیه درگیری اوکراین نیز در بهترین حالت فقط می‌توانند عنوان «عنصر حواس‌پرتی» داشته باشند. بعدها وقتی درگیری بالا گرفت (در ماه نوامبر) و زیرساخت اوکراین (مشخصاً شبکه‌های انرژی) صراحتاً مورد هدف قرار گرفتند خیلی واضح می‌شود فهمید ابزار انتخابی ارتش روسیه موشک بود. اگر بر تعریف جنگ سایبری به عنوان هرگونه درگیری جنبشی که از طریق ابزارهای سایبری پشتیبانی می‌شود، صرف نظر از ارزش تاکتیکی یا استراتژیک آن‌ها، صحه می‌گذارید در آن صورت می‌شود گفت جنگ سایبری در فوریه 2022 اتفاق افتاده است. در غیر این صورت، ممکن است با مفهوم «آزار سایبری[2]» سیاران مارتین بیشتر موافق باشید.

بینش‌های کلیدی

در این بخش، حملات سایبری از خود غیرعملی بودن بنیادی را نشان می‌دهند؛ یک جور غیرعملی بودن که فقط وقتی بحث پنهان‌کاری مهم می‌شود می‌شود توجیهش کرد. وقتی پنهان‌کاری در میان نباشد خرابی فیزیکی کامپیوترها هم آسان‌تر است هم ارزان‌تر و نیز به مراتب مطمئن‌تر.

جمع‌بندی

درگیری اوکراین اثر مادام‌العمر روی صنعت امنیت سایبری و چشم‌انداز ان به طور کلی خواهد داشت. چه واژه «جنگ سایبری» کارایی داشته باشد چه نداشته باشند، به هر روی نمی‌شود انکار کرد که این درگیری برای همیشه انتظارات هر کس را در مورد فعالیت سایبری انجام‌شده در طول جنگ –وقتی پای قدرت اصلی در میان است- تغییر خواهد داد. متأسفانه این احتمال وجود دارد که رویه تثبیت‌شده به هنجار عملی تبدیل شود. قبل از درافتادن جنگ، چندین فرآیند چند جانبه در حال انجام تلاش برای ایجاد یک اجماع در مورد رفتار قابل قبول و مسئولانه در فضای مجازی بود. با توجه به تنش‌های شدید ژئوپلیتیکی که در حال حاضر تجربه می‌کنیم، تردید وجود دارد که این بحث‌های دشوار در آینده نزدیک به ثمر بنشیند.

شاید اقدام امیدوارکننده پروژه‌ی «نشان دیجیتال[3]» ICRC باشد که در واقع راهکاری است برای شفاف تعیین کردن دستگاه‌هایی که برای مقاصد انسانی یا دارویی استفاده می‌شوند. امید است مهاجمین با توجه به شفافیت اعمال‌شده دست از ویرانی این ماشین‌ها بردارند! نشان‌ها دیجیتال شاید درست مانند نمادهای صلیب سرخ و هلال احمر واقعی نتوانند گلوله ها را متوقف کنند و جلوی حملات سایبری را در سطح فنی بگیرند اما حداقل برای همه آشکار می‌شود که زیرساخت های پزشکی هدف قانونی‌ای نیست. از آنجایی که به نظر می‌رسد این درگیری تا سال‌ها ادامه داشته باشد و آمار کشته‌ها نیز تا همین الانش بسیار بالا رفته امید است دست کم همه بر سر نشان‌های دیجیتال توافق کنند.

[1] Fragmentation

[2] cyberharassment

[3] Digital emblem

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.