متن حاضر ترجمه ای است از مقاله ای با عنوان HOW AN ENTIRE NATION BECAME RUSSIA’S TEST LAB FOR CYBERWAR نوشته اندی گرینبرگ که در ژوئن 2017 در نشریه WIRED منتشر شده است.
زمانی که برق رفت، ساعت نیمه شب را نشان می داد.شنبه شب آخر ماه دسامبر بود و اولکسی یاسینسکی (Oleksii Yasinsky) روی کاناپه اتاق نشیمن آپارتمانش واقع در کی یف در کنار همسر و پسر نوجوانش نشسته بود. یک ساعتی می شد که محقق امنیت سایبری 40 ساله و خانواده اش مشغول تماشای فیلم اسنودن ساخته الیور استون بودند که به ناگاه برق رفت. همسر یاسینسکی به شوخی گفت:”هکرها نمی خواهند فیلم را تمام کنیم”. اشاره او به حمله سایبری سال پیش بود که به واسطه آن 250 هزار اوکراینی دو روز مانده به کریسمس 2015 چند ساعتی را در تاریکی به سر می بردند. اما این اتفاق چیزی نبود که بتواند برای فردی چون یاسینسکی، مدیر امنیت سیستم ها در یک شرکت امنیتی معتبر واقع در کی یف، خنده دار باشد. او نگاهی به ساعت کوچک روی میزش انداخت: ساعت 00:00 را نشان می داد؛ دقیقا نیمه شب بود.
تلویزیون یاسینسکی به سیستم برق پشتیبان متصل بود و بنابراین تنها نور صفحه نمایش بود که محیط اتاق را روشن می کرد. صدای بوق ممتد باتری پشتیبان شنیده می شد و یاسینسکی برای ذخیره انرژی آن، باتری را خاموش کرد و فضای اتاق به ناگاه در سکوت فرو رفت. او پس از آن به آشپزخانه رفت و چند شمع را برداشت و روشن کرد و در حالی که یکی از شمع ها را در دست گرفته بود، به سوی پنجره آشپزخانه گام برداشت. مهندس باریک اندام و بور صحنه ای از شهر را دید که تا به آن روز ندیده بود: تمام افق آسمان اطراف آپارتمانش یک دست سیاه و تاریک بود. تنها بازتاب نور بی رمق چراغ هایی در دور دست آسمان ابری را عیان می کرد.
با در نظر گرفتن تاریخ، ساعت و اینکه نزدیک به یک سال از حمله سایبری سال پیش می گذشت، یاسینسکی حس کرد این خاموشی نمی تواند طبیعی باشد. دمای هوا حوالی 17 درجه سانتیگراد زیر صفر بود. دمای داخلی هزاران خانه داشت به آرامی پایین می آمد و پمپ های آب از کار افتاده به لوله های یخ زده و منجمد منتهی می شدند. در همین زمان بود که فکر آزار دهنده ای ذهنش را فرا گرفت: برای 14 ماه گذشته او خودش را در مرکز بحرانی سربسته و پنهان شده از عموم مردم یافته بود. تعداد زیاد و رو به رشدی از شرکت های خصوصی و دولتی اوکراین به خاطر حمله های سایبری پیوسته و شدیدی که به شبکه شان شده بود به او مراجعه می کردند. به نظر می رسید تنها یک گروه هکر پشت تمامی این وقایع باشد و برای همین نمی توانست این فکر را از ذهنش خارج کند که همان گروه وارد شبکه برق سراسری شده و خانه اش را در تاریکی فرو برده است.
متخصصان امنیت سایبری جهان خیلی پیشتر چنین رویدادی را پیش بینی کرده بودند. برای همین هم طی چند دهه گذشته اعلام خطر می کردند که روزی فرا می رسد که در آن هکرها مرزهای کاملا دیجیتال را پشت سر می گذراند و آسیب رسانی فیزیکی در دنیای واقعی را آغاز می کنند. به نظر می رسد آن دوران از زمانی که بدافزار استاکس نت شتاب سانتریفیوژهای یک راکتور اتمی در ایران را افزایش داد و تا جایی پیش رفت که سانتریفیوژها از کار افتادند، آغاز شده است. ژنرال مایکل هیدن (Michael Hayden) رئیس سابق سازمان NCA و CIA زمانی گفت: “فردی به تازگی از یک سلاح جدید استفاده کرده؛ و این سلاح به درون جعبه خود باز نخواهد گشت.”
حالا در اوکراین جوهره و ماهیت اصلی جنگ سایبری به خود جنبه حیات گرفته است. در چند رویداد مختلف و در موقعیت های مکانی مجزا، خرابکاران نامریی جریان برق را به روی صدها هزار نفر قطع کرده اند. هر خاموشی چند ساعتی به طول انجامید و در نهایت مهندسین توانستند به شکل دستی (و نه به کمک سیستم های خودکار که از مدار خارج شده بودند) جریان برق را به شریان اصلی بازگردانند. با این حال چنین رویدادی نمونه بارزی از شروع یک دوران تازه بود: کابوس چند ده ساله هکرهایی که قادرند چرخ های جامعه مدرن را از چرخش باز دارند به واقعیت پیوسته بود. البته این حمله ها بی هدف و کاملا مستقل نبودند، بلکه بخشی از مجموعه حملاتی بودند که اوکراین را برای سه سال متوالی مورد هدف قرار داده بود. ارتشی از هکرها به شکلی سیستماتیک و کاملا سازمان یافته تمامی زیرساخت های اوکراین را تخریب می کرد: از رسانه و شرکت های مالی گرفته تا احزاب سیاسی و نیروهای نظامی. همگی هدف حملات بودند. دسته دسته داده ها نابود می شدند، کامپیوترها از کار می افتادند و در برخی موارد سازمان ها به طور کامل فلج شده و حتی پایه ای ترین عملکردهای خود را هم از دست می دادند. کنث گیرز (Kenneth Geers) سفیر ناتو که بر امنیت سایبری تمرکز دارد می گوید:”واقعا نمی توانید گوشه ای را در اوکراین بیابید که مورد حمله قرار نگرفته باشد.”
دسامبر 2016 پترو پوروشنکو (Petro Poroshenko) رییس جمهور اوکراین در بیانه ای رسمی اعلام کرد که تنها طی دو ماه گذشته 36 هدف مختلف در این کشور 6500 بار مورد حمله قرار گرفته اند. غالب تحلیل گران امنیت سایبری بین الملل از اشاره مستقیم به کرملین به عنوان عامل اصلی حملات خودداری کردند. با این حال پوروشنکو در اینباره تردید به خود راه نداد و به طور مستقیم یا غیر مستقیم سرویس های امنیتی روسیه را مسئول حملات جاری علیه کشورش دانست.
به منظور فهم بهتر اهمیت این حملات، درک جایگاه و موقعیت سیاسی روسیه در تناسب با بزرگترین همسایه غربیش (اوکراین) می تواند کمک کننده باشد. مسکو سالهاست که اوکراین را بخشی از امپراتوری روسیه و جزیی جدایی ناپذیر از دارایی های ارضی خود می داند. این سرزمین فضای میان روسیه و ناتو بوده و مسیری برای انتقال خطوط لوله به اروپا و همچنین یکی از معدود مکان های دسترسی این کشور به آبهای گرم است. برای همین همیشه تلاش نموده اوکراین را در موقعیت ضعف قرار دهد و مانع رشد و توسعه گسترده آن شود. اما طی یک دهه و نیم گذشته شرایط بحرانی تر شده و دلیل آن تمایل عموم مردم برای حرکت به سوی ناتو و پیوستن به اتحادیه اروپا است. در سال 2004 مردم اوکراین در حالی که شال های نارنجی رنگی بر تن داشتند، در اعتراض به دستکاری نتایج انتخابات توسط مسکو به خیابان ها ریختند. گفته می شود ماموران روسی در آن سال پا را تا جایی فراتر نهاده بودند که نتایج انتخابات ریاست جمهوری را برای ممانعت از روی کار آمدن ویکتور یوشچنکو (Viktor Yushchenko) کاندیدای غرب گرای آن دوران تغییر داده بودند. یک دهه بعد و در سال 2014 انقلاب اوکراین به برکناری رییس جمهور مورد حمایت روس ها ویکتور یانکوویچ (Viktor Yanukovych) انجامید (رهبری که مشاور سیاسی طولانی مدت او، پل منفورت (Paul Manafort)، به کمپین تبلیغات ریاست جمهوری دونالد ترامپ پیوست.) بلافاصله پس از آن، ارتش روسیه به نواحی شرقی اوکراین حمله کرد و از آن زمان تاکنون این کشور در جنگی اعلان نشده گیر افتاده است؛ جنگی که باعث آوارگی دو میلیون و مرگ بالغ بر ده هزار تن شده است.
از همان ابتدا یکی از جبهه های این جنگ دنیای دیجیتال بود. کمی پس از انقلاب 2014 و هنگام برگزاری انتخابات ریاست جمهوری، گروهی از هکرها که خود را CyberBerkut می نامیدند (گروهی که به هکرهای منتسب به کرملین مرتبط بوده؛ همان هکرهایی که ادعا شده به سیستم های حزب دموکرات در جریان انتخابات 2016 آمریکا حمله کردند و مستندات به دست آمده را از طریق ویکی لیکس افشا نمودند) سعی کرند به سیستم های الکترونیکی انتخابات نفوذ کرده و نامزد مورد حمایت روس ها دمیترو یاروش (Dmytro Yarosh) را برنده اعلام کنند. اما یک ساعت مانده به اعلام رسمی نتایج، مسئولین برگزاری متوجه نفوذ و دستکاری نتایج شدند و آنها را باطل اعلام کردند. این حمله تنها سرآغازی برای شروع حمله های سایبری جاه طلبانه دیگر بود؛ حملاتی که از پاییز 2015 شدت یافته و تا به امروز ادامه دارند.
یک صبح یکشنبه در ماه اکتبر 2015، کمی بیش از یک سال پیش از آنکه یاسینسکی از پنجره آشپزخانه خود به افق تیره رنگ آسمان خیره شود، درست کنار همان پنجره مشغول صرف چای و کورن فلکس صبحانه اش بود. گوشی موبایل با نمایش شماره محل کارش شروع به زنگ زدن کرد. آن زمان او به عنوان مدیر امنیت اطلاعات در شرکت استارلایت مدیا، بزرگترین شبکه رسانه ای اوکراین، مشغول به کار بود. شب گذشته دو سرور استارلایت بی هیچ دلیل واضحی از شبکه خارج شده بودند. مدیر بخش IT پشت گوشی به او اطمینان داد که سرورها هم اکنون به کمک داده های پشتیبان به شرایط نرمال خود بازگشته اند. اما یاسینسکی حس خوبی نداشت. هر دو سرور هم زمان از دسترس خارج شده بودند. به گفته او: “اینکه یک سرور از دسترس خارج شود ممکن و پذیرفتنی است. اما دو سرور آن هم همزمان؟ این شک برانگیز است.”
با پذیرش یک آخر هفته از دست رفته، آپارتمان خود را ترک کرد و مسیر 40 دقیقه ای مترو تا دفتر محل کارش در استارلایت را در پیش گرفت. وقتی به آنجا رسید، به کمک مدیر بخش IT فایل image گرفته شده از یکی از سرورهای آسیب دیده را بررسی کردند. تک تک بیت های رکورد بوت اصلی (MBR)؛ همان بخشی از هارد دیسک که به کامپیوتر می گوید کجا را به دنبال سیستم عامل بگردد؛ با دقت بالایی با صفر بازنویسی شده بودند. هر دو سرور سیستم های اصلی بودند و توسط آنها می شد به صدها کامپیوتر دیگر واقع در شبکه شرکت دسترسی داشت. برای همین چنین اتفاقی مطلقا نشانه خوبی نبود.
یاسینسکی به فاصله زمانی کوتاهی دریافت که حمله بسیار بدتر از آنی بوده که به نظر می رسد: دو سرور آسیب دیده روی لپتاپ سیزده کارمند استارلایت اقدام به نصب بدافزار کرده بودند. این بدافزار دقیقا از همان تکنیک برای پاکسازی رکورد بوت اصلی استفاده کرده و سیستم کارمندان را در حالی که مشغول تهیه اخبار صبحگاهی روز پیش از انتخابات سراسری بودند، از کار انداخته بود.
با این حال یاسینسکی متوجه شد که شانس تاحدی همراهش بوده است. جداول ثبت شده از فعالیت سرورهای آسیب دیده نشان می داد که آنها در واقع برای نابود سازی 200 کامپیوتر دیگر برنامه ریزی شده بودند. کمی بعدتر، یاسینسکی از همکار خود که در شرکت رقیب استارلایت به نام TRK مشغول به کار بود شنید که بخت و اقبال با آنها کمتر همراهی کرده است: بیش از صد کامپیوتر آن شرکت در حمله یکسانی از کار افتاد.
یاسینسکی موفق شد یک کپی از برنامه مخرب را از شبکه شرکت استخراج کند و در خانه به کنکاش در خطوط کد آن بپردازد. آنچه که در آنجا دید او را شکه کرد. بدافزار توانسته بود تمامی آنتی ویروس ها رافریب دهد و حتی در مواردی با معرفی خود به عنوان آنتی ویروس ویندوز (Windows Defender) از لایه های دفاعی آنها عبور کند. پس از آنکه اعضای خانواده به خواب فرو رفتند، یاسینسکی کدهای بدافزار را روی کاغذ چاپ کرد و پس از چیدن کاغذ ها روی میز ناهارخوری و کف آشپزخانه، مشغول حذف خطوطی از کد شد که به استتار و پنهان سازی آن مربوط می شد و بخش های اجرایی را جدا کرد تا به این ترتیب بتواند به ساختار حقیقی آن دست یابد. بیست سالی می شد که یاسینسکی در زمینه امنیت اطلاعات فعالیت می کرد و در این مدت مدیریت شبکه های عظیمی را در اختیار داشت و با هکرهای برجسته بسیاری دست و پنجه نرم کرده بود؛ اما هرگز کدهای چنین سلاح دیجیتال دقیق و کارآمدی را آنالیز نکرده بود. در زیر تمامی لایه های پنهان سازی و گیج کننده (که باعث می شد کشف ماهیت واقعی بدافزار دشوار شود)، بدافزاری قرار داشت که به KillDisk شناخته می شد. KillDisk بالغ بر یک دهه بود که به عنوان ابزاری برای نابود سازی داده ها در میان هکرها دست به دست می گشت. برای فهمیدن اینکه چگونه راه چنین چیزی به سیستم های شرکت باز شده، یاسینسکی و دو همکار دیگر به طور خستگی ناپذیری جداول ثبت وقایع فعالیت شبکه استارلایت را زیر و رو کردند و شب ها و آخر هفته های متوالی به جستجو در آنها پرداختند.
پس از آنکه رد نفوذگران را به کمک چند حساب هک شده یوتیوب شرکت و همچنین یک حساب کاربری با سطح دسترسی مدیر سیستم ها گرفتند (حسابی که حتی در زمان نبود مدیر هم فعال بود)، این حقیقت دردناک بر ملا شد که هکر ها در واقع بیش از شش ماهی می شد که در شبکه شرکت حضور داشتند. در نهایت یاسینسکی موفق شد نقطه آغازین و ابزاری که هکرها توسط آن موفق به ورود به شبکه شده بودند را بیابد: یک تروجان چند منظوره به نام BlackEnergy (تروجان گونه ای از بدافزارهاست که خود را به عنوان یک برنامه یا محتوای دیجیتال سودمند و بی خطر جا می زند و از این طریق به سیستم ها راه می یابد). اندکی بعد یاسینسکی از دیگر همکاران خود که در سایر شرکت های خصوصی و دولتی مشغول به کار بودند گزارش هایی را دریافت کرد که نشان می داد همگی آنها تقریبا به همان شکل مورد حمله قرار گرفته و هک شده بودند. یکی از این حملات، بزرگترین شرکت خطوط آهن اوکراین Ukrzaliznytsia را هدف قرار داده بود. سایر شرکت ها از یاسینسکی خواستند که نامشان فاش نشود. در تمامی موارد هکرها از تروجان BlackEnergy به عنوان ابزار نفوذ و شناسایی ساختار شبکه و پس از آن از KillDisk برای از کار انداختن سیستم ها استفاده کرده بودند. اینکه انگیزه آنها چه بود یک راز باقی ماند، اما اثر تخریب آنها همه جا دیده می شد. به گفته یاسینسکی: “با هر قدم رو به جلو، بیشتر معلوم می شد که تایتانیک ما کوه یخ خود را یافته است. هر چه عمیق تر نگاه می کردیم، کوه یخ را بزرگتر می دیدیم.”
حتی آن زمان هم یاسینسکی متوجه ابعاد واقعی و گستردگی تهدید پیش رو نبود. برای مثال او حتی به ذهنش خطور نمی کرد در همان زمان تروجان BlackEnergy و بدافزار KillDisk به سیستم های حداقل سه شرکت انرژی بزرگ اوکراین راه یافته و در انتظار فرا رسیدن دسامبر 2015 خفته باشند.
در ابتدا، رابرت لی سنجاب ها را مقصر دانست.
شب کریسمس 2015 بود؛ درست یک روز پیش از مراسم ازدواج رابرت لی که قرار بود در شهر زادگاهش کالمن (Cullman) واقع در ایالت آلاباما برگزار شود. لی به تازگی یک شغل رده بالا را در یک سازمان امنیتی ایالات متحده، جایی که روی مبحث امنیت سایبری زیرساخت های حساس کار می کرد، ترک کرده بود. حالا او قصد داشت شرکت خودش را تاسیس کرده و با دوست دختر هلندیش که زمان کار در خارج از کشور با او آشنا شده بود، ازدواج کند. در حالی که لی خود را با مقدمات مراسم ازدواج مشغول می کرد، چشمش به سر تیتر خبرها افتاد که می گفت هکرها یک شبکه توزیع برق واقع در غرب اوکراین را از کار انداخته اند. بخش عمده ای از آن منطقه، شش ساعتی را در تاریکی به سر می برد. لی خبر را نادیده گرفت – او کارهای دیگری در ذهنش داشت و از طرفی بارها درباره خطوط برق هک شده شنیده بود؛ دلیل آن معمولا یک جونده یا پرنده بود – این عبارت که سنجاب ها نسبت به هکرها تهدید بزرگتری برای خطوط انتقال برق هستند به یک شوخی مرسوم در دنیای امنیت سایبری تبدیل شده بود.
به هر حال؛ روز بعد و درست پیش از شروع مراسم ازدواج، او متنی را درباره حمله روز گذشته از مایک آسانت (Mike Assante)، محقق امنیتی فعال در انستیتوی SANS، دریافت کرد. محتوای متن توجه لی را جلب کرد. وقتی بحث درباره تهدیدهای دیجیتالی که شبکه های توزیع برق را تهدید می کند پیش می آید، آسانت یکی از قابل احترام ترین و برجسته ترین متخصصین جهان است؛ و اکنون او به لی می گفت که هک منجر به خاموشی اوکراین یک مورد واقعی بوده است.
اندکی پس از آنکه لی عروس خود را در آغوش کشید و بخش اصلی مراسم خاتمه یافت، یک طرف ارتباطی در اوکراین به او پیام داد که هک مورد بحث واقعی بوده و اینکه در آنجا به کمک او نیاز دارند. برای لی که دوران کاری خود را به منظور آماده سازی جهت مقابله با حمله های سایبری به زیر ساخت ها سپری کرده بود، لحظه ای که سالها انتظارش را می کشید اکنون فرا رسیده بود. برای همین یک گوشه خلوت گیر آورد و در حالی که هنوز لباس مراسم را به تن داشت، مشغول مکالمه متنی با آسانت شد.
سرانجام لی توانست خود را به پشت سیستم دسکتاپ مادرش واقع در منزل والدینش بکشاند و از آنجا با آسانت که در یک مهمانی کریسمس دوستانه در روستایی واقع در آیداهو به سر می برد، مشغول به کار شود. آنها نقشه اوکراین و سه شرکت توزیع برقی که به آنها حمله شده بود را بیرون کشیدند. شرکت ها در سه موقعیت جغرافیایی کاملا متفاوت و به دور از هم قرار داشتند. لی با هیجان گفت: “این نمی تواند کار سنجاب باشد”.
لی آن شب را به کالبد شکافی بدافزار KillDisk گذراند که پس از استخراج از سیستم های هک شده، به وسیله رابط اوکراینی برایش فرستاده شده بود؛ درست مثل همان کاری که چند ماه پیش یاسینسکی در آشپزخانه آپارتمانش انجام داد. (لی می گوید: “همسر من فرد بسیار صبوری است.”) در روزهای پس از آن، یک نمونه از تروجان BlackEnergy و داده های به دست آمده از تحقیقات به دستش رسید. معلوم شد که نفوذ اولیه توسط ایمیلی جعلی بوده که ادعا می کرده از جانب پارلمان اوکراین ارسال شده است. ایمیل حاوی یک فایل ضمیمه مایکروسافت ورد بود و در آن کد مخربی جاسازی شده بود که پس از اجرا شدن سیستم را آلوده به BlackEnergy می کرد. پس از آن هکرها سطح دسترسی خود را افزایش داده و در نهایت به سرویس VPN اختصاصی شرکت دست یافتند. این سرویس VPN برای دسترسی از راه دور به شبکه داخلی شرکت توزیع برق استفاده می شد و علاوه بر آن امکان کار با یک نرم افزار صنعتی ویژه را فراهم می کرد؛ نرم افزاری که قابلیت های سطح بالایی از جمله صدور فرمان به قطع کننده های مدار را در اختیار می گذاشت.
با در نظر گرفتن روش های مورد استفاده هکرها، لی تصوری از افرادی که در مقابل خود داشت را شکل می داد. او میان شباهت های این گروه و یک گروه دیگر در کشمکش بود؛ گروهی از هکرها که اخیرا در دنیای امنیت سایبری مورد توجه قرار گرفته و به Sandworm معروف بودند. در سال 2014 شرکت امنیتی FireEye درباره این گروه اعلام خطر کرده و عنوان نمود که آنها مشغول توزیع تروجان BlackEnergy در شبکه شرکت های انرژی لهستانی و همینطور چند سازمان دولتی اوکراین بوده اند. به نظر می رسید Sandworm مشغول توسعه روش هایی جهت دسترسی به سیستم های کامپیوتری با معماری خاص باشد؛ سیستم هایی که جهت مدیریت از راه دور تجهیزات صنعتی کاربرد دارند.
هیچ کسی از قصد و نیت گروه خبر نداشت، اما نشانه ها می گفتند که گروه هکرها روسی هستند: FireEye ردپای یکی از روش های نفوذ اختصاصی Sandworm را در یک ارائه مطلب برای کنفرانسی هکری در روسیه یافته بود. به علاوه، زمانی که مهندسین Sandworm موفق شدند به یکی از سرورهای ارسال فرمان و کنترل از راه دور Sandworm دسترسی یابند، در آنجا دستورالعمل هایی را به زبان روسی جهت استفاده از BlackEnergy یافتند که در کنار فایل های دیگری به زبان روسی قرار داشت. اوایل سال 2014 دولت آمریکا خبر داد که گروهی از هکر ها بدافزار BlackEnergy را وارد شبکه تجهیزات انرژی و آب این کشور کرده اند. از آنجا که FireEye می توانست یافته های دولت را بررسی کند، قادر بود به کمک نشانه های یافته شده این حملات را هم به Sandworm نسبت دهد.
قطعات پازل برای لی کنار یکدیگر قرار می گرفتند. به نظر می رسید همان گروهی که جریان برق را به روی یک چهارم میلیون اوکراینی قطع کرده، همین چند وقت پیش مشغول آلوده سازی تجهیزات الکتریکی آمریکا با بدافزاری یکسان بوده است. تنها چند روز از خاموشی تعطیلات کریسمس 2015 می گذشت و به نظر آسانت هنوز برای اینکه گروه خاص و یا دولتی را مسئول حملات بدانیم خیلی زود بود. اما در ذهن لی جایی برای ملاحظه نبود. حمله اوکراین چیزی بسیار فراتر از یک نفوذ برون مرزی به حساب می آمد. لی می گوید: “همان گروه متخاصمی که تجهیزات انرژی آمریکا را هدف قرار داده بود، از خط قرمز عبور کرده و شبکه برق کشوری را از کار انداخته بود. این یک تهدید قریب الوقوع برای ایالات متحده محسوب می شود.”
چند هفته بعد و در یک روز سرد زمستانی، تیمی از آمریکایی ها به کی یف رسیدند. در بین آنها کارمندانی از FBI، دپارتمان انرژی، دپارتمان امنیت داخلی و افرادی از شرکت پایداری شبکه برق آمریکای شمالی حضور داشتند و همگی در کنار هم جمع شده بودند تا اعماق خاموشی اوکراین را بررسی کنند. مامورین فدرال، آسانت را هم از وایومینگ با خودشان آورده بودند. اما لی که اصرار داشت جزییات مربوط به حمله بایستی در دسترس عموم قرار گیرد و این حد از مخفی کاری آژانس های امنیتی را قبول نداشت، دعوت نشده بود.
روز نخست گروه به سالن کنفرانس ایزوله شده هتلی برده شد که در آنجا گروهی از شرکت توزیع برق Kyivoblenergo حضور داشتند. این شرکت مسئول توزیع برق آن منطقه از کشور و یکی از سه شرکت قربانی بود. در طی ساعات پس از آن، مدیران اجرایی و مهندسین شرکت به طور کامل جزییات حمله و آنچه در شبکه شرکتشان گذشت را شرح دادند.
همانطور که لی و آسانت متوجه شده بودند، بدافزاری که سیستم ها را آلوده کرده بود خودش به طور مستقل قادر به کنترل قطع کننده های مدار جریان برق نبود. با این حال در یک بعد از ظهر روز 23 دسامبر، کارمندان Kyivoblenergo در حالی که بهت زده به مانیتورهای اتاق کنترل مرکزی چشم دوخته بودند، می دیدند که انگار توسط کامپیوتری نامشخص در شبکه شرکت، ده ها مدار در ایستگاه های فرعی باز می شوند (جریان برق قطع می شود) و منطقه ای به وسعت ایالت ماساچوست در خاموشی فرو می رود. در واقع مهندسین Kyivoblenergo معتقد بودند که نفوذگران موفق شده اند یک کپی از نرم افزار اختصاصی کنترل سیستم را در کامپیوتری دوردست راه اندازی کرده و از آنجا فرمان قطع جریان برق را ارسال کنند.
به محض آنکه قطع کننده های جریان باز شدند و برق منازل ده ها هزار اوکراینی قطع شد، هکرها فاز بعدی حمله خود را آغاز کردند. درون محفظه سرورها، قطعه کوچکی بود که پورت اترنت را به پورت سریال تبدیل می کرد و به تجهیزات قدیمی تر امکان ارتباط و اتصال به اینترنت را می داد. هکرها میان افزار (firmware) تمامی این تبدیل ها را بازنویسی کردند. با بانویسی تصادفی میان افزار این قطعه – کاری که به نظر می رسید آماده سازی و دستیابی به چگونگی انجام آن هفته ها زمان برده باشد – هکرها این قطعه را به طور دائمی و برای همیشه از کار انداخته و امکان هرگونه ارسال فرمان مجدد از طریق سیستم های دیجیتال به قطع کننده های جریان را از بین بردند. آسانت همانطور که در سالن کنفرانس به توضیحات گوش می داد، از گستردگی و کیفیت عملیات خرابکارانه در شگفت بود.
در ادامه هکرها یکی از کارت های معمولشان را رو کردند و با اجرای بدافزار KillDisk روی چند کامپیوتر اصلی شرکت، آنها را نابود ساختند. اما هنوز بدترین بخش حمله باقی مانده بود و آن، سیستم باتری پشتیبان ایستگاه های کنترل بود. پس از آنکه جریان برق روی منطقه قطع شد، خود ایستگاه ها هم در میانه بحرانی که همه جا را فرا گرفته بود در تاریکی فرو رفتند. در نهایت دقت و چیره دستی، هکرها یک خاموشی را در دل خاموشی دیگر مهندسی کرده بودند. آسانت در حالی که سعی می کرد حمله را از نگاه یک اپراتور گیج و سردرگم ببیند، گفت:”پیام این بود: می خواهم این را همه جا حس کنی. این هکرها بایستی چیزی شبیه به خدا می بودند.”
تیم آن شب را سوار بر هواپیمایی شد که مقصدش شهر Ivano-Frankivsk واقع در غرب اوکراین بود. این شهر در کوهپایه کوه Carpathian قرار دارد. زمانی که به فرودگاه قدیمی و به جا مانده از دوران اتحاد جماهیر شوروی رسیدند، کولاک و برف همه جا را فرا گرفته بود. صبح روز بعد به دفتر مرکزی شرکت Prykarpattyaoblenergo، یکی دیگر از شرکت های صدمه دیده رفتند. مدیر اجرایی شرکت به گرمی به استقبال آمریکایی ها آمد و آنها را به سمت ساختمان جدید و مدرنی که در سایه برج های نیروگاه متروک و قدیمی ذغالی قرار داشت هدایت کرد. از آنجا به سمت اتاق گردهمایی مدیران رفتند و دور میزی چوبی در زیر تابلوی رنگ روغن بزرگی از وقایع قرون وسطا جمع شدند.
حمله ای را که در آنجا توضیح دادند، تقریبا با حمله به شرکت Kyivoblenergo یکی بود: تروجان BlackEnergy برای نفوذ، میان افزارهای نابود شده، بدافزار KillDisk و باتری های پشتیبانی که منهدم شده بودند. اما در این حمله هکر ها یک گام دیگر هم برداشته بودند. آنها مرکز تماس تلفنی شرکت را با تماس های جعلی بمباران کردند؛ شاید برای ممانعت از برقرای تماس مشترکین برای مشکل پیش آمده و یا افزودن یک لایه دیگر به شرایط آشفته و ایجاد حس حقارت در قربانیان.
البته یک تفاوت دیگر هم بود. پس از آنکه آمریکایی ها پرسیدند آیا همانند کی یف، یک کپی از نرم افزار کنترل سیستم فرمان باز شدن را به قطع کننده های جریان صادر کرده بود، مهندسین Prykarpattyaoblenergo پاسخ منفی دادند و گفتند قطع کننده ها با روش دیگری باز شده بودند. در این زمان بود که مدیر فنی شرکت، مردی قد بلند با چشمان آبی روشن و چهره ای جدی، وارد شد. به جای تلاش برای توضیح روش هکرها از طریق مترجم، او ترجیح داد فیلمی را که خودش با گوشی آیفون 5s ضبط کرده بود به حاضرین نشان دهد.
یک کلیپ 56 ثانیه ای کامپیوتری را واقع در اتاق کنترل شرکت نشان می داد که نشانگر ماوس روی مانیتور آن در حرکت بود. نشانگر به سمت آیکون یکی از قطع کننده های جریان حرکت می کرد و روی فرمانی برای باز شدن آن کلیک می نمود. دوربین از صفحه نمایش به روی ماوسی حرکت می کرد که هیچ دستی روی آن قرار نداشت. پس از آن دوباره نشانگر متحرک را نشان می داد که به سوی یک قطع کننده می رفت و تلاش می کرد جریان برق را قطع کند؛ در حالی که مهندسین حاضر در اتاق کنترل از همدیگر می پرسیدند چه کسی دارد آن را کنترل می کند.
هکرها فرامین خود را بوسیله یک بدافزار یا توسط کپی نرم افزاری روی یک سیستم دور دست ارسال نمی کردند. به جای آن، مهاجمین نرم افزار helpdesk بخش IT شرکت را هک کرده بودند و به سادگی کنترل کامل ماوس روی سیستم های اپراتور ایستگاه را در اختیار خود درآورده بودند (نرم افزار helpdesk برنامه ای است که توسط بخش IT شرکت برای رفع مشکلات سیستمی کاربران به صورت غیر حضوری و از راه دور استفاده می شود). آنها دسترسی اپراتورها را قطع کرده و پس از در اختیار گرفتن ماوس، روی تک تک قطع کننده های جریان که هر یک مربوط به منطقه مشخصی بود رفته و آنها را می گشودند.
در ماه آگوست 2016 و پس از نخستین خاموشی کریسمس، یاسینسکی شغل خود را در استارلایت مدیا ترک کرد. به نظر او دفاع از تنها یک شرکت آن هم در برابر حملاتی که گوشه گوشه جامعه اوکراین را هدف قرار داده بودند اقدام موثری نبود. برای پاسخ به هکرها، او به دید جامع تری از اقدامات آنها نیاز داشت و اوکراین نیازمند پاسخگویی یکپارچه تری برای مقابله با سازمان گستاخ و متجاوزی چون Sandworm بود. به گفته او “نور در پراکندگی به سر می برد، در حالی که تاریکی متحد می ماند.” بنابراین یاسینسکی در سمت مدیر بخش تحقیق و بازرسی یک شرکت امنیتی به نام شرکای امنیتی سیستم های اطلاعاتی واقع در کی یف مشغول به کار شد. این شرکت نام بزرگی در صعنت امنیت داده نبود، اما یاسینسکی آن را به سریعترین مرکز پاسخویی عملی به قربانیان اوکراینی تبدیل کرد.
به فاصله کوتاهی پس از تغییر شغل یاسینسکی، کشور زیر موج حملات تازه و گسترده تری قرار گرفت. او لیستی از مجموعه های آسیب دیده را دانه دانه تیک می زند: صندوق بازنشستگی اوکراین، خزانه داری کشور، سازمان بنادر، وزارت های دفاع، زیرساخت و دارایی. هکرها سیستم رزرو آنلاین بلیط شرکت راه آهن اوکراین را مختل کرده و برای روزهای متوالی باعث عدم دسترسی به آن، درست در بهبوهه فصل تعطیلات و مسافرت شده بودند. همانند سال 2015، غالب حملات با اجرای بدافزار KillDisk یا مشابه آن و انهدام سیستم ها کامل می شد. در مورد وزارت دارایی، یک logic bomb (بدافزاری که پس از ورود به سیستم تا مدت معین و از پیش تعیین شده ای غیر فعال و در خفا باقی می ماند) چند ترابایت داده را پاک کرد؛ درست پیش از آنکه وزارتخانه برای بودجه بندی سال بعد خود آماده شود.
16 دسامبر 2016، زمانی که یاسینسکی و خانواده اش نشسته بودند و فیلم اسنودن را تماشا می کردند، حدود چهار ساعتی می شد که مهندس جوانی به نام اولگ زایچنکو (Oleg Zaychenko) در شیفت شبانه دوازده ساعته خود در ایستگاه انتقال برق Ukrenergo واقع در شمال کی یف مشغول خدمت بود. اتاق کنترلی که در آن به سر می برد به جا مانده از دوران شوروی بود و دیوار های آن با کنترل های آنالوگ بژ و قرمز رنگ پوشیده شده بودند. آزا (Aza) گربه ماده ایستگاه آن بیرون مشغول شکار بود و تنها همدم زایچنکو تلویزیونی در گوشه اتاق بود که موزیک ویدیوی پاپ پخش می کرد.
او مشغول پر کردن دستی نموداری کاغذی با مداد بود تا یکشنبه شب بدون رویداد دیگری را ثبت کند، که در همان لحظه و به ناگاه آژیر خطر ایستگاه با صوت بسیار بلند و پیوسته ای به صدا در آمد. در سمت راست خود، زایچنکو دید که دو چراغ نشانگری که به مدارهای سیستم انتقال جریان مربوط می شدند، از قرمز به سبز تغییر وضعیت داده اند؛ رنگی که در زبان جهانی مهندسی برق به معنای خاموشی است.
تکنیسین، تلفن مشکی رنگ سمت چپش را برداشت تا طبق روال روتین درباره این اتفاق به اپراتور Ukrenergo در مقر شرکت اطلاع دهد. هنگامی که مشغول این کار بود، چراغ دیگری به رنگ سبز در آمد. سپس یکی دیگر. آدرنالین درون رگ های زایچنکو به ناگاه افزایش یافت و در حالی که با شتاب و مضطرب وضعیت را برای اپراتور مقر توضیح می داد، چراغ ها یکی یکی تغییر وضعیت می دادند: قرمز به سبز، قرمز به سبز. چراغ هشتمی، بعد دهم، بعد دوازده.
همانطور که اوضاع به سرعت رو به وخامت می رفت، اپراتور به زایچنکو دستور داد که سریع از اتاق کنترل خارج شود و ببیند که آیا تجهیزات آسیب فیزیکی دیده اند یا نه. در همان لحظه، بیستمین و آخرین مدار هم خاموش شد و به همراه آن، چراغ های اتاق کنترل، کامپیوتر و تلویزیون هم خاموش شدند. زایچنکو پالتویی را به روی یونیفورم آبی و زرد خود انداخت و به سمت در دوید.
انتقال برق Ukrenergo مجموعه ای عظیم از تجهیزات الکتریکی است که مساحتی بیش از 12 زمین فوتبال را در بر می گیرد. زمانی که زایچنکو از ساختمان بیرون آمد و وارد هوای شبانه منجمد کننده شد، اتمسفر حاکم بر محیط بیش از هر زمان دیگری غریب و رعب آور بود: سه ترنسفورماتور عظیم الجثه ای که هر کدام ابعاد یک تانکر سوخت را داشته و کنار ساختمان در یک ردیف قرار داشتند، ترانسفورماتورهایی که مسئول یک پنجم ظرفیت برق پایتخت بودند، کاملا ساکت شده بودند. تا آن زمان زایچنکو مشغول بررسی گزینه های لیستی ذهنی از علل احتمالی رویداد بود. همانطور که از کنار ترنسفورماتورهای از کار افتاده می گذشت، فکری برای اولین بار وارد ذهنش شد: هکرها دوباره حمله کرده اند.
این بار حمله از ایستگاه های توزیع برق به سیستم انتقال برق اوکراین نقل مکان کرده بود. به جای تخریب ایستگاه های منطقه ای توزیع برق که بخش کوچکی از شبکه انتقال برق بودند، خرابکاران به سراغ شاهرگ رفته بودند. آن ایستگاه توزیع برق کی یف به تنهایی 200 مگاوات ظرفیت داشت؛ چیزی به مراتب فراتر از مجموع ظرفیت ایستگاه های 50 مگاواتی که در سال 2015 مورد حمله قرار گرفته بودند. خوشبختانه شبکه انتقال برق صرفا یک ساعت غیر فعال ماند – زمانی کمتر از آنچه منتهی به یخ زدن لوله ها و یا وحشت شهروندان گردد – و مهندسین Ukrenergo به صورت دستی تک تک مدارها را بستند و همه چیز را به جریان انداختند.
اما خاموشی موقت و لحظه ای 2016 کمترین بخش نگران کننده از حمله بود. شرکت های امنیتی که از آن زمان تا کنون حمله را آنالیز کرده اند، آن را بسیار تکامل یافته تر از رویداد 2015 یافته اند: قطع جریان شبکه انتقال برق توسط بدافزاری پیچیده و توسعه پذیر انجام شده بود که اکنون با نام ” CrashOverride” شناخته می شود؛ سلاحی که به طور ویژه برای انهدام خودکار شبکه انتقال برق کدنویسی شده است.
درگوس (Dragos)، استارت آپ امنیت سایبری که لی موسس آن بوده، یکی از دو شرکتی است که توانست کد بدافزار را به دقت بررسی و کالبد شکافی کند. درگوس این کد را از جانب شرکت اسلواکیایی ESET به دست آورد. هر دو شرکتی که کدها را کنکاش کردند، دریافتند که بدافزار CrashOverride قادر است به زبان پروتکل های مخفی سیستم های کنترل صحبت کند و بنابراین مستقیما فرامین را به تجهیزات شبکه برق بفرستد. در مقایسه با نشانگر ماوسی که توسط یک دست نامریی هدایت می شد و کپی نرم افزار کنترلی سیستم ها در سال 2015، این نرم افزار جدید می توانست به گونه ای برنامه ریزی شود که خودش به طور کامل تجهیزات شبکه برق را اسکن و شناسایی کرده و پس از نشانه گذاری هدف ها، در زمانی از پیش تعیین شده یکی پس از دیگری مدار ها را بگشاید؛ حتی بدون اینکه ارتباط اینترنتی میان آن و هکرها برقرار باشد. به بیان دیگر و از زمان استاکس نت، این نخستین بدافزار کشف شده ای است که برای اجرای عملیات خرابکاری به طور کاملا مستقل عمل کرده و با هدف آسیب رسانی فیزیکی به زیرساخت ها طراحی شده است. و البته CrashOverride تنها ابزاری یکبار مصرف برای از کار انداختن تجهیزات Ukrenergo نیست. به گفته محققین این یک سلاح به شدت انطباق پذیر است که می تواند برای هر نوع خطوط انتقال و توزیع برقی مورد استفاده مجدد قرار گیرد. درون ساختار ماژولار بدافزار، پروتکل های سیستم کنترل Ukrenergo می تواند به سادگی به نمونه ای مشابهی که در اروپا و یا آمریکا استفاده می شوند جایگزین شود.
مارینا کروتوفیل (Marina Krotofil) محقق امنیت سیستم های کنترل صنعتی در شرکت Honeywell که حمله Ukrenergo را آنالیز کرده است، روش حمله هکر ها را بسیار ساده تر و موثر تر از آنچه در حمله قبلی روی داد می داند. او می گوید: “در سال 2015 آنها مثل یک گروه اوباش و خرابکار خیابانی بودند. در سال 2016 اما آنها مثل نینجاها رفتار کردند.” اما خود هکرها ممکن است همان قبلی ها باشند. بر پایه شواهدی که درگوس هنوز قادر به اعلامشان نیست، محققین این شرکت معماری CrashOverride را کار گروه Sandworm می دانند.
برای لی تمامی اینها نشانه هایی از پیشرفت و توسعه گروه Sandworm هستند. من (نویسنده مقاله) او را در مقر اصلی شرکتش واقع در بالتیمور ملاقات کردم. بیرون پنجره دفتر لی چندین تیر برق کابل هایی را روی خود نگه داشته اند. او به من می گوید این کابل ها جریان برق را 18 مایل به جنوب می برند، به قلب واشنگتن DC.
لی خاطر نشان می کند این برای نخستین بار در تاریخ است که گروهی از هکرها تمایل و توان خود را برای حمله به زیرساخت های حساس یک جامعه نشان داده اند. آنها تکنیک های مورد استفاده خود را طی چند حمله رشد و توسعه داده اند. آنها پیشتر بدافزار BlackEnergyرا وارد شبکه برق ایالات متحده کرده اند. لی می گوید:”افرادی که با شبکه انتقال نیروی ایالات متحده آشنا هستند خوب می دانند که اکنون همین اتفاق می تواند اینجا رخ دهد.”
به عقیده لی، ایالات متحده می تواند برای هکرهای Sandworm و در صورتی که قصد حمله به اینجا را داشته باشند هدف به مراتب راحت تری باشد. شرکت های انرژی آمریکا در برابر حملات سایبری به مراتب مقاوم تر و ایمن ترند، اما آنها همچنین نسبت به نمونه های اوکراینی مدرن تر و خودکار تر هستند. معنای این، بستر دیجیتالی گسترده تر برای حمله است؛ و البته مهندسین اینجا با بازیابی دستی در صورت وقوع خاموشی کمتر آشنایی دارند.
هیچ کسی نمی داند حمله بعدی Sandworm چگونه و یا در کجا رخ می دهد. هدف نفوذ بعدی شاید نه یک ایستگاه انتقال یا توزیع برق، که ممکن است یک نیروگاه باشد؛ و یا ممکن است به گونه ای طرح ریزی شده باشد که صرفا تجهیزات را خاموش نکند، که آنها را نابود سازد. در سال 2007 تیمی از محققین در آزمایشگاه ملی آیداهو، تیمی که مایک آسانت هم عضو آن بود، نشان دادند که چگونه هک کردن تجهیزات الکتریکی تا سر حد نابودی آنها امکانپذیر است. در آزمایشی با عنوان شفق قطبی (Aurora) و صرفا به کمک فرامین دیجیتال، یک ژنراتور دیزل 2.25 مگاواتی به ابعاد یک اتاق نشیمن، در حالی که غرق در دود سفید و مشکی برخاسته از درون خود بود، برای همیشه تخریب شد. ژنراتوری که در این آزمایش نابود شد خیلی متفاوت از ژنراتورهایی که صدها مگاوات برق را به مشتریان آمریکایی می فرستد نبود و چنین چیزی شدنی است که فردی تجهیزات تولید برق و یا ترنسفورماتورهای عظیمی که حکم شالوده را داشته و جایگزینی آنها دشوار است، برای همیشه از کار بیاندازد.
در حقیقت و در آنالیزی که شرکت ESET روی CrashOverride انجام داد، معلوم شد که شاید این بدافزار همین حالا هم دارای ساختار لازم برای ایجاد چنین تخریب هایی باشد. محققین ESET عنوان کردند CrashOverride حاوی کدی است که برای هدف قرار دادن قطعه ای خاص از شرکت زیمنس نوشته شده است. این قطعه به طور گسترده در تجهیزات ایستگاه های برق به کار می رود و وظیفه آن قطع جریان در صورت تغییر ولتاژ یا شدت جریان شدید بوده تا به این ترتیب مانع آسیب رسیدن به ترنسفورماتورها و دیگر تجهیزات الکتریکی شود. اگر CrashOverride هم اکنون قادر به فلج سازی چنین سیستم حفاظتی ای باشد، پس می تواند به خطوط انتقال برق آسیب دائمی بزند.
یک رویداد خرابکاری همراه با آسیب رسانی فیزیکی ممکن است حتی بدترین کاری که از هکرها ساخته است نباشد. در جامعه امنیت سایبری آمریکا معمولا از چیزی با عنوان “تهدیدهای مقیم پیشرفته” صحبت به میان می آید و منظور از آن مهاجمان بسیار زبده و ماهری است که قصدشان از نفوذ به سیستم ها صرفا انجام یک عملیات خرابکارانه نیست. آنها در خفا و به آرامی به تمامی بخش های سیستم نفوذ می کنند و در آنجا می مانند. لی در کابوس های خود زیرساخت های آمریکا را می بیند که توسط چنین تهدیدی هک شده اند: شبکه حمل و نقل، خطوط لوله، یا شبکه انتقال برق، همگی بارها و بارها توسط چنین مهاجمینی از کار می افتند. لی می گوید: “اگر آنها این کار را در چند نقطه مختلف انجام دهند، ممکن است تا یک ماه تمامی یک منطقه قادر به تامین منابع مورد نیاز خود نباشد. فکر می کنی وقتی شهرهای کلیدی و مهم نیمی از آمریکا برای یک ماه صرفا جریان برق نداشته باشند، چه چیزی باقی می ماند که شدیدا تغییر نکند؟”
با این حال، اندیشیدن درباره اینکه عاملی چون روسیه بتواند در مورد شبکه آمریکا چنین اقدامی بکند یک چیز است و اندیشیدن درباره چرایی و علت آن یک چیز دیگر. یک حمله به خطوط برق آمریکا با قطعیت بالایی اقدام متقابل ایالات متحده را به همراه خواهد داشت. برخی تحلیل گران امنیت سایبری عقیده دارند هدف روسیه به سادگی سینه سپر کردن در برابر استراتژی نبرد سایبری آمریکا است: با فرو بردن کی یف در خاموشی – و با نشان دادن توانایی نفوذ به شبکه برق آمریکا – مسکو این پیام اخطار را به ایالات متحده می فرستد که از تهدیداتی چون استاکس نت علیه او و متحدانش استفاده نکند. از این منظر، تمامی اینها بازی قدرت است.
مارکوس ساکس (Marcus Sachs) مدیر امنیتی “شرکت پایداری شبکه برق آمریکای شمالی” یا NERC می گوید که شرکت های برق آمریکایی درس خود را از واقعه اوکراین یاد گرفته اند. پس از حمله سال 2015، NERC به سراغ شرکت های مرتبط با انرژی رفت و آنها را ملزم به ارتقای سطح امنیت سایبری شان کرد و اینکه سیستم های حساس خود را به طور کامل از هرگونه ارتباطی با دنیای خارج دور نگه دارند. ساکس می گوید: “گفتن اینکه آسیب پذیر نیستیم کار دشواری است. هر چیزی که به چیز دیگری متصل باشد در معرض آسیب قرار دارد. حتی تصور اینکه شبکه برق میلی ثانیه ای از فروپاشی به دور است غیر مسئولانه است.”
اما برای آنها که حدود سه سال است عملکرد گروه Sandworm را زیر نظر دارند، اعلام خطر درباره احتمال حمله به شبکه توزیع برق ایالات متحده یک احتمال غیر واقعی نیست. برای جان هالتکویست (John Hultquist)، فردی که در راس گروه محققینی از شرکت FireEye بود که برای نخستین بار متوجه فعالیت هایSandworm شدند، این احتمال کاملا جدی و واقعی است. هالتکویست می گوید: “ما مهاجمینی را دیده ایم که قادرند چراغ ها را خاموش کنند و به سیستم های ایالات متحده هم علاقه دارند.” سه هفته پس از حمله 2016 به کی یف، او یک پیشگویی را در صفحه توییتر خود نوشت و آن را در پروفایلش قرار داد: “زمانی که تیم Sandworm سرانجام زیرساخت های حساس غرب را میخکوب کند و افراد طوری واکنش نشان دهند که گویا به شدت از این رویداد متعجب شده اند، قصم می خورم که هیچ اقدامی نکنم.”
شرکای امنیتی سیستم های اطلاعاتی، شرکتی که یاسینسکی در آن مشغول به کار است، در حومه شهر کی یف و در ناحیه صنعتی آن واقع شده و دورادورش را زمین های بازی گل آلود و ساختمان های بلند و مخروبه ای فرا گرفته اند که بخشی از سوغات دوران اتحاد جماهیر شوروی هستند. داخل ساختمان شرکت و درون اتاقی نسبتا تاریک، یاسینسکی پشت میز گردی قرار داشت که روی آن را نقشه هایی دو متری از اتصالات و اجزای شبکه پوشانده بود. هر نقشه نمایانگر یک جدولی زمانی بود که به یکی از حملات Sandworm مربوط می شد. تا به این لحظه و از دو سال پیش که شرکت استارلایت را ترک کرد، گروه هکرها تمام توجه و تمرکز کاری او را جذب خود کرده اند.
یاسینسکی می گوید که تلاش کرده در مواجهه با مهاجمینی که کشورش را مختل کرده اند، نگاهی به دور از تعصب داشته باشد. اما زمانی که خاموشی چهار ماه پیش تا خانه اش گسترش یافت، برایش به این می ماند که چیزی را از او دزدیده باشند. او به من گفت: “این یک جور تجاوز بود؛ لحظه ای که در می یابی فضای خصوصی ات توهمی بیش نیست.”
یاسینسکی می گوید راهی وجود ندارد که بتوان دقیقا فهمید چه تعداد شرکت و نهاد اوکراینی مورد حمله سایبری واقع شده و هر عددی صرفا یک تخمین است. برای هر موردی که از آن خبر داریم، مورد دیگری است که حمله و نفوذ را گزارش نکرده و همینطور هدف های دیگری که هنوز به نفوذ هکرها به سیستم های خود پی نبرده اند.
زمانی که با یاسینسکی در دفتر ISSP ملاقات می کنم، در واقع موج تازه ای از حملات دیجیتالی آغاز شده اند. پشت سر یاسینسکی، دو مرد جوان پشت مانیتورهای خود به شدت درگیر آنالیز بدافزاری هستند که روز گذشته آن را از درون مجموعه ای از ایمیل های فیشینگ (phishing ) بیرون آورده اند. یاسینسکی توضیح می دهد که برنامه حملات در دل فصول سال توزیع شده اند: در طول ماه های ابتدایی سال، هکرها به آرامی وارد سیستم ها می شوند و با نفوذ در بخش های مختلف آن، بستر لازم را فراهم می کنند. با رسیدن به انتهای سال، آنها کدهای مخرب را به اجرا می گذارند. یاسینسکی می داند در همین لحظه که مشغول بررسی حمله سال گذشته به تجهیزات انتقال برق است، بذرها برای دسامبر 2017 پاشیده شده اند. با تمام اینها به تصور او تمامی آنچه در سه سال اخیر گذشته می تواند تنها مجموعه ای از آزمایش های عملی باشد. یاسینسکی تمایلات هکرها از شروع حملات تا به امروز را در یک واژه روسی جمع می کند: polygon. یک زمین تمرین. حتی در سخت ترین حملاتشان، یاسینسکی می دید که نفوذگران می توانستند بسیار فراتر بروند. آنها می توانستند علاوه بر داده های ذخیره شده در وزارت دارایی، فایل های پشتیبان را هم نابود کنند. آنها می توانستند به تجهیزات ایستگاه انتقال برق Ukrenergo آسیب های جدی تر و بیشتری بزنند و خطوط انتقال را به طور کامل از کار بیاندازند؛ موردی که آسانت و لی هم به آن اشاره کردند. یاسینسکی می گوید: “آنها هنوز دارند با ما بازی می کنند.” در هر بار، هکرها پیش از ایجاد نهایت تخریب ممکن عقب نشینی می کنند، گویا آن را برای عملیات های بعدی نگه داشته باشند.
بسیاری از تحلیلگران امنیت سایبری در جهان به همین نتیجه رسیده اند. برای آموزش دادن عملی هکرها برای آماده شدن به منظور نبرد سایبری، چه جایی بهتر از مکانی که در سیطره شما باشد و در آنجا توان اقدام متقابل یا پیگرد قانونی وجود نداشته نباشد؟ گیرز (Geers) سفیر ناتو می گوید: “اوکراین، فرانسه و یا آلمان نیست. بسیاری از آمریکایی ها حتی نمی دانند کجای نقشه به دنبال آن بگردند. در نتیجه می توانید آنجا تمرین کنید.”
مقاله جالبی بود
در آینده بازم بزارید