حملات سایبری؛ سلاح تازه در جنگ ایران

شرکت آمریکایی فناوری‌های پزشکی «استرایکر» روز ۱۱ مارس تایید کرد که یک حمله سایبری شبکه جهانی این شرکت را مختل کرده است. به گزارش وال‌استریت ژورنال، کارکنان در دفاتر مختلف شرکت هنگام ورود به سیستم، لوگوی «حنظله»، یک گروه هکری منتسب به ایران، را روی صفحه‌های لاگین خود دیدند.

آگهی

آگهی

این حمله محیط مایکروسافتی استرایکر را هدف قرار داد، هرچند ابعاد کامل خسارت و زمان‌بندی بازگشت سیستم‌ها هنوز روشن نیست.

طبق اعلام پلتفرم اطلاعات سایبری SOCRadar، حنظله مسئولیت حمله را بر عهده گرفته و مدعی شده با سوءاستفاده از پلتفرم مدیریت ابری مایکروسافت، اینتیون (Intune)، از راه دور داده‌های بیش از ۲۰۰ هزار دستگاه در ۷۹ کشور را پاک کرده است. یورونیوز نکست برای راستی‌آزمایی این ادعا با مایکروسافت تماس گرفته است.

این گروه گفته است که این عملیات در تلافی حمله موشکی به یک دبیرستان دخترانه در میناب ایران انجام شده که در آن بیش از ۱۶۰ نفر کشته شدند.

این نفوذ بخشی از موج گسترده‌تری از عملیات‌های سایبری از سوی گروه‌های وابسته به دولت‌ها و هکتیویست‌ها علیه ایالات متحده و اسرائیل در واکنش به عملیات «اپیک فیوری» است.

چه بازیگران دولتی در این حملات نقش دارند؟

یک گزارش (منبع به زبان انگلیسی) از شرکت امنیت سایبری «کلادسک» می‌گوید چندین گروه قدیمی وابسته به نهادهای دولتی ایران علیه زیرساخت‌های حیاتی آمریکا فعال شده‌اند.

گروه‌هایی مورد حمایت سپاه پاسداران انقلاب اسلامی ایران، از جمله CyberAv3ngers ،APT33 و APT55، اقدام به حمله (منبع به زبان انگلیسی) به سامانه‌های کنترل صنعتی آمریکا کرده‌اند؛ این سامانه‌ها زیرساخت‌های فیزیکی مانند تصفیه‌خانه‌های آب، شبکه‌های برق و خطوط تولید را اداره می‌کنند.

گزارش حاکی است که هکرهای CyberAv3nger با گذرواژه‌های پیش‌فرض وارد دستگاه‌های صنعتی می‌شوند و بدافزارهایی نصب می‌کنند که می‌تواند آن سامانه‌ها را تحت کنترل بگیرد.

این گزارش می‌افزاید APT33 از انواع گذرواژه‌های متداول برای دسترسی به حساب‌های متعدد در شرکت‌های انرژی آمریکا استفاده می‌کند و سپس با نصب بدافزار در سامانه‌های رایانه‌ای آنها تلاش می‌کند سامانه‌های ایمنی را از کار بیندازد.

کلادسک می‌گوید در مورد APT55، این گروه علیه افراد مرتبط با بخش‌های انرژی و دفاع آمریکا جاسوسی سایبری انجام می‌دهد تا اطلاعات لازم برای هدف‌گیری توسط نهادهای اطلاعاتی ایران را جمع‌آوری کند.

وزارت اطلاعات ایران (MOIS) نیز در حملات علیه اسرائیل و ایالات متحده با گروه‌هایی مانند MuddyWater ،APT34 و حنظله همکاری می‌کند.

نقش گروه MuddyWater هدف قرار دادن شرکت‌های مخابراتی، نفت و گاز و نهادهای دولتی بوده است. این گروه به عنوان «تامین‌کننده دسترسی اولیه» عمل می‌کند؛ یعنی با نفوذ به شبکه‌ها گذرواژه‌ها را جمع‌آوری و آنها را در اختیار مهاجمان دیگر قرار می‌دهد.

به گفته SOC Radar، حنظله علاوه بر حمله به استرایکر، مسئولیت عملیات‌های دیگری را هم بر عهده گرفته؛ از جمله پاک کردن بیش از ۴۰ ترابایت (TB) داده از سرورهای دانشگاه عبری اورشلیم و نفوذ به شرکت آمریکایی مخابراتی Verifone در اسرائیل.

با این حال رسانه‌های آمریکایی گزارش داده‌اند که شرکت Verifone این نقض امنیتی را رد کرده و گفته هیچ نشانه‌ای از نفوذ یا اختلال در خدمات مشاهده نشده است.

به گفته مقام‌ها، اقدامات آمریکا شبکه‌های ارتباطی را «مختل» کرده است

ایالات متحده و اسرائیل نیز خود در حال انجام حملات سایبری هستند.

ژنرال دن کین، بالاترین مقام (منبع به زبان انگلیسی) نظامی آمریکا، در سخنانی (منبع به زبان انگلیسی) در ۲ مارس گفت فرماندهی سایبری ایالات متحده یکی از «اولین نیروهای وارد عمل» در عملیات «اپیک فیوری» بوده است.

او گفت این یگان شبکه‌های ارتباطی و حسگری را مختل کرد و ایران را «بدون توانایی دیدن، هماهنگ کردن یا واکنش موثر» باقی گذاشت.

کین هیچ اطلاعات بیشتری درباره عملیات‌های سایبری آمریکا در ایران ارائه نکرد.

در یک بیانیه (منبع به زبان انگلیسی) جداگانه در ۱۳ مارس، پیت هگزث، وزیر دفاع آمریکا، تایید کرد که ایالات متحده از هوش مصنوعی (AI) و ابزارهای سایبری به عنوان بخشی از جنگ خود در ایران استفاده می‌کند.

به گزارش فایننشال تایمز (منبع به زبان انگلیسی)، جاسوسان اسرائیلی همچنین از اطلاعات به‌دست‌آمده از هک دوربین‌های ترافیکی در سراسر تهران برای کمک به برنامه خود برای هدف قرار دادن آیت‌الله علی خامنه‌ای استفاده کرده‌اند.

اتاق عملیات هماهنگ هکتیویست‌ها

به گفته کلادسک، در ساعات اولیه آغاز عملیات «اپیک فیوری» بیش از ۶۰ گروه هکتیویستی بسیج شدند و ائتلافی به نام «مقاومت سایبری اسلامی» تشکیل دادند.

گزارش حاکی است این مجموعه طرفدار ایران حملات خود را در یک «اتاق عملیات الکترونیکی» در تلگرام سازماندهی می‌کند. در این گزارش آمده است این گروه «بر اساس ابتکار ایدئولوژیک عمل می‌کند نه دستور مستقیم دولتی» و همین امر ردیابی تحرکات آنها را دشوار می‌کند.

این گزارش اضافه کرده است: «این بازیگران انضباط کمتری نسبت به گروه‌های هدایت‌شده از سوی دولت‌ها دارند، احتمالا بی‌پروا‌ترند و هیچ محدودیت سیاسی در مورد تاثیر بر غیرنظامیان ندارند.» همچنین به گفته این گزارش، اعضای این ائتلاف بیشترین احتمال را دارند که از هوش مصنوعی برای «جبران کمبود عمق فنی خود» استفاده کنند.

به گفته پلتفرم اطلاعات سایبری SOC Radar، در دو هفته نخست جنگ، «مقاومت سایبری اسلامی» در بیش از ۱۰۰ کانال تلگرام مسئولیت بیش از ۶۰۰ حمله مجزا را بر عهده گرفته است.

این گروه مسئولیت عملیاتی علیه سامانه‌های پدافند هوایی (منبع به زبان انگلیسی) شرکت دفاعی اسرائیلی رافائل، حمله به سرویس شناسایی پهپادها به نام VigilAir (منبع به زبان انگلیسی) و هماهنگی حمله به سیستم‌های برق و آب یک هتل در تل‌آویو را بر عهده گرفته است.

همین گروه مدعی شد در نخستین آخر هفته درگیری، تقویم بادصبا ایران، یک اپلیکیشن مذهبی پرطرفدار با بیش از پنج میلیون دانلود در فروشگاه گوگل‌پلی، را هک کرده است.

بر اساس تصاویر منتشرشده در شبکه‌های اجتماعی، کاربران اعلان‌هایی با این پیام‌ها دریافت کردند: «کمک در راه است!» و «زمان حساب‌رسی فرارسیده است.»

ورود بازیگران روس، سوری و عراقی به میدان

SOC Radar می‌گوید به دلیل ادامه محدودیت‌های اینترنتی در سراسر ایران، تعداد هکتیویست‌های مستقر در داخل کشور که در این درگیری مشارکت دارند کمتر است و این محدودیت‌ها هماهنگی مبتنی بر تلگرام را مختل کرده است.

این پلتفرم اضافه کرده است که با ادامه درگیری، فعالیت گروه‌های طرفدار ایران را در آسیای جنوب شرقی، پاکستان و سایر نقاط خاورمیانه رصد می‌کند.

به گفته (منبع به زبان انگلیسی) شرکت امنیت سایبری Unit 42، «مقاومت سایبری اسلامی» در عراق که با نام تیم ۳۱۳ شناخته می‌شود، یک هسته طرفدار ایران است که مسئولیت حمله به وب‌سایت‌های چندین وزارتخانه دولت کویت، از جمله نیروهای مسلح و وزارت دفاع، را بر عهده گرفته است. این گروه همچنین وب‌سایت‌هایی در رومانی و بحرین را هدف قرار داده است.

Unit 42 در گزارشی درباره تهدیدها نوشته است گروه هکتیویست طرفدار ایران DieNet که در سراسر خاورمیانه ریشه دارد، همچنین مسئولیت حملات سایبری به فرودگاه‌های بحرین، عربستان سعودی و امارات متحده عربی را بر عهده گرفته است.

به گفته SOC Radar، گروه‌هایی از هکرهای روس طرفدار ایران نیز وجود دارند؛ از جمله گروه NoName057(16) که چندین حمله علیه اوکراین انجام داده است.

به گفته (منبع به زبان انگلیسی) پلتفرم اطلاعات تهدید FalconFeeds، گروه NoName057(16) موجی از حملات محروم‌سازی از سرویس (DDoS) به راه انداخته تا وب‌سایت‌های نهادهای شهرداری، سیاسی، مخابراتی و دفاعی اسرائیل، از جمله پیمانکار دفاعی Elbit Systems، را از کار بیندازد.

به گفته SOC Radar، این گروه همچنین با یک گروه مستقر در شمال آفریقا به نام Hider-Nex متحد است که مدعی شده در جریان جنگ در ایران دامنه چندین وب‌سایت دولتی کویت را هدف قرار داده است.

برخی گروه‌های فعال طرفدار اسرائیل هم وجود دارند؛ از جمله گروه Anonymous Syria Hackers (منبع به زبان انگلیسی) که به تازگی در ادعایی (منبع به زبان انگلیسی) گفته است به یک شرکت فناوری ایرانی نفوذ کرده و اطلاعات ورود، ایمیل‌ها و گذرواژه‌های حساب‌های پی‌پل را منتشر کرده است.

SOC Radar اعلام کرده است که اسرائیل بیشتر حملات سایبری خود را از سطح دولت هدایت می‌کند و همین امر گروه‌های مستقل را «تا حد زیادی زائد» می‌سازد.

به همین دلیل، گروه‌های طرفدار اسرائیل که وجود دارند تا حد زیادی مستندسازی نشده‌اند، زیرا فعالیت آنها هشدارهای آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) را برنمی‌انگیزد.