چگونه هکرها تمامی یک کشور را به آزمایشگاه جنگ سایبری تبدیل کردند – بخش چهارم

متن حاضر ترجمه ای است از مقاله ای با عنوان HOW AN ENTIRE NATION BECAME RUSSIA’S TEST LAB FOR CYBERWAR نوشته اندی گرینبرگ که در ژوئن 2017 در نشریه WIRED منتشر شده است.

چند هفته بعد و در یک روز سرد زمستانی، تیمی از آمریکایی ها به کی یف رسیدند. در بین آنها کارمندانی از FBI، دپارتمان انرژی، دپارتمان امنیت داخلی و افرادی از شرکت پایداری شبکه برق آمریکای شمالی حضور داشتند و همگی در کنار هم جمع شده بودند تا اعماق خاموشی اوکراین را بررسی کنند. مامورین فدرال، آسانت را هم از وایومینگ با خودشان آورده بودند. اما لی که اصرار داشت جزییات مربوط به حمله بایستی در دسترس عموم قرار گیرد و این حد از مخفی کاری آژانس های امنیتی را قبول نداشت، دعوت نشده بود.

روز نخست گروه به سالن کنفرانس ایزوله شده هتلی برده شد که در آنجا گروهی از شرکت توزیع برق Kyivoblenergo حضور داشتند. این شرکت مسئول توزیع برق آن منطقه از کشور و یکی از سه شرکت قربانی بود. در طی ساعات پس از آن، مدیران اجرایی و مهندسین شرکت به طور کامل جزییات حمله و آنچه در شبکه شرکتشان گذشت را شرح دادند.

همانطور که لی و آسانت متوجه شده بودند، بدافزاری که سیستم ها را آلوده کرده بود خودش به طور مستقل قادر به کنترل قطع کننده های مدار جریان برق نبود. با این حال در یک بعد از ظهر روز 23 دسامبر، کارمندان Kyivoblenergo  در حالی که بهت زده به مانیتورهای اتاق کنترل مرکزی چشم دوخته بودند، می دیدند که انگار توسط کامپیوتری نامشخص در شبکه شرکت، ده ها مدار در ایستگاه های فرعی باز می شوند (جریان برق قطع می شود) و منطقه ای به وسعت ایالت ماساچوست در خاموشی فرو می رود. در واقع مهندسین Kyivoblenergo  معتقد بودند که نفوذگران موفق شده اند یک کپی از نرم افزار اختصاصی کنترل سیستم را در کامپیوتری دوردست راه اندازی کرده و از آنجا فرمان قطع جریان برق را ارسال کنند.

به محض آنکه قطع کننده های جریان باز شدند و برق منازل ده ها هزار اوکراینی قطع شد، هکرها فاز بعدی حمله خود را آغاز کردند. درون محفظه سرورها، قطعه کوچکی بود که پورت اترنت را به پورت سریال تبدیل می کرد و به تجهیزات قدیمی تر امکان ارتباط و اتصال به اینترنت را می داد. هکرها میان افزار (firmware) تمامی این تبدیل ها را بازنویسی کردند. با بانویسی تصادفی میان افزار این قطعه – کاری که به نظر می رسید آماده سازی و دستیابی به چگونگی انجام آن هفته ها زمان برده باشد – هکرها این قطعه را به طور دائمی و برای همیشه از کار انداخته و امکان هرگونه ارسال فرمان مجدد از طریق سیستم های دیجیتال به قطع کننده های جریان را از بین بردند. آسانت همانطور که در سالن کنفرانس به توضیحات گوش می داد، از گستردگی و کیفیت عملیات خرابکارانه در شگفت بود.

در ادامه هکرها یکی از کارت های معمولشان را رو کردند و با اجرای بدافزار KillDisk  روی چند کامپیوتر اصلی شرکت، آنها را نابود ساختند. اما هنوز بدترین بخش حمله باقی مانده بود و آن، سیستم باتری پشتیبان ایستگاه های کنترل بود. پس از آنکه جریان برق روی منطقه قطع شد، خود ایستگاه ها هم در میانه بحرانی که همه جا را فرا گرفته بود در تاریکی فرو رفتند. در نهایت دقت و چیره دستی، هکرها یک خاموشی را در دل خاموشی دیگر مهندسی کرده بودند. آسانت در حالی که سعی می کرد حمله را از نگاه یک اپراتور گیج و سردرگم ببیند، گفت:”پیام این بود: می خواهم این را همه جا حس کنی. این هکرها بایستی چیزی شبیه به خدا می بودند.”

تیم آن شب را سوار بر هواپیمایی شد که مقصدش شهر Ivano-Frankivsk واقع در غرب اوکراین بود. این شهر در کوهپایه کوه Carpathian  قرار دارد. زمانی که به فرودگاه قدیمی و به جا مانده از دوران اتحاد جماهیر شوروی رسیدند، کولاک و برف همه جا را فرا گرفته بود. صبح روز بعد به دفتر مرکزی شرکت Prykarpattyaoblenergo، یکی دیگر از شرکت های صدمه دیده رفتند. مدیر اجرایی شرکت به گرمی به استقبال آمریکایی ها آمد و آنها را به سمت ساختمان جدید و مدرنی که در سایه برج های نیروگاه متروک و قدیمی ذغالی قرار داشت هدایت کرد. از آنجا به سمت اتاق گردهمایی مدیران رفتند و دور میزی چوبی در زیر تابلوی رنگ روغن بزرگی از وقایع قرون وسطا جمع شدند.

حمله ای را که در آنجا توضیح دادند، تقریبا با حمله به شرکت Kyivoblenergo یکی بود: تروجان BlackEnergy برای نفوذ، میان افزارهای نابود شده، بدافزار KillDisk و باتری های پشتیبانی که منهدم شده بودند. اما در این حمله هکر ها یک گام دیگر هم برداشته بودند. آنها مرکز تماس تلفنی شرکت را با تماس های جعلی بمباران کردند؛ شاید برای ممانعت از برقرای تماس مشترکین برای مشکل پیش آمده و یا افزودن یک لایه دیگر به شرایط  آشفته و ایجاد حس حقارت در قربانیان.

البته یک تفاوت دیگر هم بود. پس از آنکه آمریکایی ها پرسیدند آیا همانند کی یف، یک کپی از نرم افزار کنترل سیستم فرمان باز شدن را به قطع کننده های جریان صادر کرده بود، مهندسین  Prykarpattyaoblenergo  پاسخ منفی دادند و گفتند قطع کننده ها با روش دیگری باز شده بودند. در این زمان بود که مدیر فنی شرکت، مردی قد بلند با چشمان آبی روشن و چهره ای جدی، وارد شد. به جای تلاش برای توضیح روش هکرها از طریق مترجم، او ترجیح داد فیلمی را که خودش با گوشی آیفون 5s ضبط کرده بود به حاضرین نشان دهد.

یک کلیپ 56 ثانیه ای کامپیوتری را واقع در اتاق کنترل شرکت نشان می داد که نشانگر ماوس روی مانیتور آن در حرکت بود. نشانگر به سمت آیکون یکی از قطع کننده های جریان حرکت می کرد و روی فرمانی برای باز شدن آن کلیک می نمود. دوربین از صفحه نمایش به روی ماوسی حرکت می کرد که هیچ دستی روی آن قرار نداشت. پس از آن دوباره نشانگر متحرک را نشان می داد که به سوی یک قطع کننده می رفت و تلاش می کرد جریان برق را قطع کند؛ در حالی که مهندسین حاضر در اتاق کنترل از همدیگر می پرسیدند چه کسی دارد آن را کنترل می کند.

هکرها فرامین خود را بوسیله یک بدافزار یا توسط کپی نرم افزاری روی یک سیستم دور دست ارسال نمی کردند. به جای آن، مهاجمین نرم افزار helpdesk  بخش IT شرکت را هک کرده بودند و به سادگی کنترل کامل ماوس روی سیستم های اپراتور ایستگاه را در اختیار خود درآورده بودند (نرم افزار helpdesk  برنامه ای است که توسط بخش IT شرکت برای رفع مشکلات سیستمی کاربران به صورت غیر حضوری و از راه دور استفاده می شود). آنها دسترسی اپراتورها را قطع کرده و پس از در اختیار گرفتن ماوس، روی تک تک قطع کننده های جریان که هر یک مربوط به منطقه مشخصی بود رفته و آنها را می گشودند.