متن حاضر ترجمه ای است از مقاله ای با عنوان HOW AN ENTIRE NATION BECAME RUSSIA’S TEST LAB FOR CYBERWAR نوشته اندی گرینبرگ که در ژوئن 2017 در نشریه WIRED منتشر شده است.
یک صبح یکشنبه در ماه اکتبر 2015، کمی بیش از یک سال پیش از آنکه یاسینسکی از پنجره آشپزخانه خود به افق تیره رنگ آسمان خیره شود، درست کنار همان پنجره مشغول صرف چای و کورن فلکس صبحانه اش بود. گوشی موبایل با نمایش شماره محل کارش شروع به زنگ زدن کرد. آن زمان او به عنوان مدیر امنیت اطلاعات در شرکت استارلایت مدیا، بزرگترین شبکه رسانه ای اوکراین، مشغول به کار بود. شب گذشته دو سرور استارلایت بی هیچ دلیل واضحی از شبکه خارج شده بودند. مدیر بخش IT پشت گوشی به او اطمینان داد که سرورها هم اکنون به کمک داده های پشتیبان به شرایط نرمال خود بازگشته اند. اما یاسینسکی حس خوبی نداشت. هر دو سرور هم زمان از دسترس خارج شده بودند. به گفته او: “اینکه یک سرور از دسترس خارج شود ممکن و پذیرفتنی است. اما دو سرور آن هم همزمان؟ این شک برانگیز است.”
با پذیرش یک آخر هفته از دست رفته، آپارتمان خود را ترک کرد و مسیر 40 دقیقه ای مترو تا دفتر محل کارش در استارلایت را در پیش گرفت. وقتی به آنجا رسید، به کمک مدیر بخش IT فایل image گرفته شده از یکی از سرورهای آسیب دیده را بررسی کردند. تک تک بیت های رکورد بوت اصلی (MBR)؛ همان بخشی از هارد دیسک که به کامپیوتر می گوید کجا را به دنبال سیستم عامل بگردد؛ با دقت بالایی با صفر بازنویسی شده بودند. هر دو سرور سیستم های اصلی بودند و توسط آنها می شد به صدها کامپیوتر دیگر واقع در شبکه شرکت دسترسی داشت. برای همین چنین اتفاقی مطلقا نشانه خوبی نبود.
یاسینسکی به فاصله زمانی کوتاهی دریافت که حمله بسیار بدتر از آنی بوده که به نظر می رسد: دو سرور آسیب دیده روی لپتاپ سیزده کارمند استارلایت اقدام به نصب بدافزار کرده بودند. این بدافزار دقیقا از همان تکنیک برای پاکسازی رکورد بوت اصلی استفاده کرده و سیستم کارمندان را در حالی که مشغول تهیه اخبار صبحگاهی روز پیش از انتخابات سراسری بودند، از کار انداخته بود.
با این حال یاسینسکی متوجه شد که شانس تاحدی همراهش بوده است. جداول ثبت شده از فعالیت سرورهای آسیب دیده نشان می داد که آنها در واقع برای نابود سازی 200 کامپیوتر دیگر برنامه ریزی شده بودند. کمی بعدتر، یاسینسکی از همکار خود که در شرکت رقیب استارلایت به نام TRK مشغول به کار بود شنید که بخت و اقبال با آنها کمتر همراهی کرده است: بیش از صد کامپیوتر آن شرکت در حمله یکسانی از کار افتاد.
یاسینسکی موفق شد یک کپی از برنامه مخرب را از شبکه شرکت استخراج کند و در خانه به کنکاش در خطوط کد آن بپردازد. آنچه که در آنجا دید او را شکه کرد. بدافزار توانسته بود تمامی آنتی ویروس ها رافریب دهد و حتی در مواردی با معرفی خود به عنوان آنتی ویروس ویندوز (Windows Defender) از لایه های دفاعی آنها عبور کند. پس از آنکه اعضای خانواده به خواب فرو رفتند، یاسینسکی کدهای بدافزار را روی کاغذ چاپ کرد و پس از چیدن کاغذ ها روی میز ناهارخوری و کف آشپزخانه، مشغول حذف خطوطی از کد شد که به استتار و پنهان سازی آن مربوط می شد و بخش های اجرایی را جدا کرد تا به این ترتیب بتواند به ساختار حقیقی آن دست یابد. بیست سالی می شد که یاسینسکی در زمینه امنیت اطلاعات فعالیت می کرد و در این مدت مدیریت شبکه های عظیمی را در اختیار داشت و با هکرهای برجسته بسیاری دست و پنجه نرم کرده بود؛ اما هرگز کدهای چنین سلاح دیجیتال دقیق و کارآمدی را آنالیز نکرده بود. در زیر تمامی لایه های پنهان سازی و گیج کننده (که باعث می شد کشف ماهیت واقعی بدافزار دشوار شود)، بدافزاری قرار داشت که به KillDisk شناخته می شد. KillDisk بالغ بر یک دهه بود که به عنوان ابزاری برای نابود سازی داده ها در میان هکرها دست به دست می گشت. برای فهمیدن اینکه چگونه راه چنین چیزی به سیستم های شرکت باز شده، یاسینسکی و دو همکار دیگر به طور خستگی ناپذیری جداول ثبت وقایع فعالیت شبکه استارلایت را زیر و رو کردند و شب ها و آخر هفته های متوالی به جستجو در آنها پرداختند.
پس از آنکه رد نفوذگران را به کمک چند حساب هک شده یوتیوب شرکت و همچنین یک حساب کاربری با سطح دسترسی مدیر سیستم ها گرفتند (حسابی که حتی در زمان نبود مدیر هم فعال بود)، این حقیقت دردناک بر ملا شد که هکر ها در واقع بیش از شش ماهی می شد که در شبکه شرکت حضور داشتند. در نهایت یاسینسکی موفق شد نقطه آغازین و ابزاری که هکرها توسط آن موفق به ورود به شبکه شده بودند را بیابد: یک تروجان چند منظوره به نام BlackEnergy (تروجان گونه ای از بدافزارهاست که خود را به عنوان یک برنامه یا محتوای دیجیتال سودمند و بی خطر جا می زند و از این طریق به سیستم ها راه می یابد). اندکی بعد یاسینسکی از دیگر همکاران خود که در سایر شرکت های خصوصی و دولتی مشغول به کار بودند گزارش هایی را دریافت کرد که نشان می داد همگی آنها تقریبا به همان شکل مورد حمله قرار گرفته و هک شده بودند. یکی از این حملات، بزرگترین شرکت خطوط آهن اوکراین Ukrzaliznytsia را هدف قرار داده بود. سایر شرکت ها از یاسینسکی خواستند که نامشان فاش نشود. در تمامی موارد هکرها از تروجان BlackEnergy به عنوان ابزار نفوذ و شناسایی ساختار شبکه و پس از آن از KillDisk برای از کار انداختن سیستم ها استفاده کرده بودند. اینکه انگیزه آنها چه بود یک راز باقی ماند، اما اثر تخریب آنها همه جا دیده می شد. به گفته یاسینسکی: “با هر قدم رو به جلو، بیشتر معلوم می شد که تایتانیک ما کوه یخ خود را یافته است. هر چه عمیق تر نگاه می کردیم، کوه یخ را بزرگتر می دیدیم.”
حتی آن زمان هم یاسینسکی متوجه ابعاد واقعی و گستردگی تهدید پیش رو نبود. برای مثال او حتی به ذهنش خطور نمی کرد در همان زمان تروجان BlackEnergy و بدافزار KillDisk به سیستم های حداقل سه شرکت انرژی بزرگ اوکراین راه یافته و در انتظار فرا رسیدن دسامبر 2015 خفته باشند.
دیدگاهتان را بنویسید