متن حاضر ترجمه ای است از مقاله ای با عنوان HOW AN ENTIRE NATION BECAME RUSSIA’S TEST LAB FOR CYBERWAR نوشته اندی گرینبرگ که در ژوئن 2017 در نشریه WIRED منتشر شده است.
در ابتدا، رابرت لی سنجاب ها را مقصر دانست.
شب کریسمس 2015 بود؛ درست یک روز پیش از مراسم ازدواج رابرت لی که قرار بود در شهر زادگاهش کالمن (Cullman) واقع در ایالت آلاباما برگزار شود. لی به تازگی یک شغل رده بالا را در یک سازمان امنیتی ایالات متحده، جایی که روی مبحث امنیت سایبری زیرساخت های حساس کار می کرد، ترک کرده بود. حالا او قصد داشت شرکت خودش را تاسیس کرده و با دوست دختر هلندیش که زمان کار در خارج از کشور با او آشنا شده بود، ازدواج کند. در حالی که لی خود را با مقدمات مراسم ازدواج مشغول می کرد، چشمش به سر تیتر خبرها افتاد که می گفت هکرها یک شبکه توزیع برق واقع در غرب اوکراین را از کار انداخته اند. بخش عمده ای از آن منطقه، شش ساعتی را در تاریکی به سر می برد. لی خبر را نادیده گرفت – او کارهای دیگری در ذهنش داشت و از طرفی بارها درباره خطوط هک شده شنیده بود؛ دلیل آن معمولا یک جونده یا پرنده بود – این عبارت که سنجاب ها نسبت به هکرها تهدید بزرگتری برای خطوط انتقال برق هستند به یک شوخی مرسوم در دنیای امنیت سایبری تبدیل شده بود.
به هر حال؛ روز بعد و درست پیش از شروع مراسم ازدواج، او متنی را درباره حمله روز گذشته از مایک آسانت (Mike Assante)، محقق امنیتی فعال در انستیتوی SANS، دریافت کرد. محتوای متن توجه لی را جلب کرد. وقتی بحث درباره تهدیدهای دیجیتالی که شبکه های توزیع برق را تهدید می کند پیش می آید، آسانت یکی از قابل احترام ترین و برجسته ترین متخصصین جهان است؛ و اکنون او به لی می گفت که هک منجر به خاموشی اوکراین یک مورد واقعی است.
اندکی پس از آنکه لی عروس خود را در آغوش کشید و بخش اصلی مراسم خاتمه یافت، یک طرف ارتباطی در اوکراین به او پیام داد که هک مورد بحث واقعی بوده و اینکه در آنجا به کمک او نیاز دارند. برای لی که دوران کاری خود را به منظور آماده سازی جهت مقابله با حمله های سایبری به زیر ساخت ها سپری کرده بود، لحظه ای که سالها انتظارش را می کشید اکنون فرا رسیده بود. برای همین یک گوشه خلوت گیر آورد و در حالی که هنوز لباس مراسم را به تن داشت، مشغول مکالمه متنی با آسانت شد.
سرانجام لی توانست خود را به پشت سیستم دسکتاپ مادرش واقع در منزل والدینش بکشاند و از آنجا با آسانت که در یک مهمانی کریسمس دوستانه در روستایی واقع در آیداهو به سر می برد، مشغول به کار شود. آنها نقشه اوکراین و سه شرکت توزیع برقی که به آنها حمله شده بود را بیرون کشیدند. شرکت ها در سه موقعیت جغرافیایی کاملا متفاوت و به دور از هم قرار داشتند. لی با هیجان گفت: “این نمی تواند کار سنجاب باشد”.
لی آن شب را به کالبد شکافی بدافزار KillDisk گذراند که پس از استخراج از سیستم های هک شده، به وسیله رابط اوکراینی برایش فرستاده شده بود؛ درست مثل همان کاری که چند ماه پیش یاسینسکی در آشپزخانه آپارتمانش انجام داد. (لی می گوید: “همسر من فرد بسیار صبوری است.”) در روزهای پس از آن، یک نمونه از تروجان BlackEnergy و داده های به دست آمده از تحقیقات به دستش رسید. معلوم شد که نفوذ اولیه توسط ایمیلی جعلی بوده که ادعا می کرده از جانب پارلمان اوکراین ارسال شده است. ایمیل حاوی یک فایل ضمیمه مایکروسافت ورد بود و در آن کد ماکرو مخربی جاسازی شده بود که پس از اجرا شدن سیستم را آلوده به BlackEnergy می کرد. پس از آن هکرها سطح دسترسی خود را افزایش داده و در نهایت به سرویس VPN اختصاصی شرکت دست یافتند. این سرویس VPN برای دسترسی از راه دور به شبکه داخلی شرکت توزیع برق استفاده می شد و علاوه بر آن امکان کار با یک نرم افزار صنعتی ویژه را فراهم می کرد؛ نرم افزاری که قابلیت های سطح بالایی از جمله صدور فرمان به قطع کننده های مدار را در اختیار می گذاشت.
با در نظر گرفتن روش های مورد استفاده هکرها، لی تصوری از افرادی که در مقابل خود داشت را شکل می داد. او میان شباهت های این گروه و یک گروه دیگر در کشمکش بود؛ گروهی از هکرها که اخیرا در دنیای امنیت سایبری مورد توجه قرار گرفته و به Sandworm معروف بودند. در سال 2014 شرکت امنیتی FireEye درباره این گروه اعلام خطر کرده و عنوان نمود که آنها مشغول توزیع تروجان BlackEnergy در شبکه شرکت های انرژی لهستانی و همینطور چند سازمان دولتی اوکراین بوده اند. به نظر می رسید Sandworm مشغول توسعه روش هایی جهت دسترسی به سیستم های کامپیوتری با معماری خاص باشد؛ سیستم هایی که جهت مدیریت از راه دور تجهیزات صنعتی کاربرد دارند.
هیچ کسی از قصد و نیت گروه خبر نداشت، اما نشانه ها می گفتند که گروه هکرها روسی هستند: FireEye ردپای یکی از روش های نفوذ اختصاصی Sandworm را در یک ارائه مطلب برای کنفرانسی هکری در روسیه یافته بود. به علاوه، زمانی که مهندسین Sandworm موفق شدند به یکی از سرورهای ارسال فرمان و کنترل از راه دور Sandworm دسترسی یابند، در آنجا دستورالعمل هایی را به زبان روسی جهت استفاده از BlackEnergy یافتند که در کنار فایل های دیگری به زبان روسی قرار داشت. اوایل سال 2014 دولت آمریکا خبر داد که گروهی از هکر ها بدافزار BlackEnergy را وارد شبکه تجهیزات انرژی و آب این کشور کرده بودند. از آنجا که FireEye می توانست یافته های دولت را بررسی کند، قادر بود به کمک نشانه های یافته شده این حملات را هم به Sandworm نسبت دهد.
قطعات پازل برای لی کنار یکدیگر قرار گرفتند. به نظر می رسید همان گروهی که جریان برق را به روی یک چهارم میلیون اوکراینی قطع کرده، همین چند وقت پیش مشغول آلوده سازی تجهیزات الکتریکی آمریکا با بدافزار یکسانی بوده است. تنها چند روز از خاموشی تعطیلات کریسمس 2015 می گذشت و به نظر آسانت هنوز برای اینکه گروه هکری خاص و یا دولتی را مسئول حملات بدانیم خیلی زود بود. اما در ذهن لی جایی برای ملاحظه نبود. حمله اوکراین چیزی بسیار فراتر از یک نفوذ برون مرزی بود. لی می گوید: “همان گروه متخاصمی که تجهیزات انرژی آمریکا را هدف قرار داده بود، از خط قرمز عبور کرده و شبکه برق کشوری را از کار انداخته بود. این یک تهدید قریب الوقوع برای ایالات متحده محسوب می شود.”
دیدگاهتان را بنویسید