چگونه هکرها تمامی یک کشور را به آزمایشگاه جنگ سایبری تبدیل کردند – بخش پنجم

متن حاضر ترجمه ای است از مقاله ای با عنوان HOW AN ENTIRE NATION BECAME RUSSIA’S TEST LAB FOR CYBERWAR نوشته اندی گرینبرگ که در ژوئن 2017 در نشریه WIRED منتشر شده است.

در ماه آگوست 2016 و پس از نخستین خاموشی کریسمس، یاسینسکی شغل خود را در استارلایت مدیا ترک کرد. به نظر او دفاع از تنها یک شرکت آن هم در برابر حملاتی که گوشه گوشه جامعه اوکراین را هدف قرار داده بودند اقدام موثری نبود. برای پاسخ به هکرها، او به دید جامع تری از اقدامات آنها نیاز داشت و اوکراین نیازمند پاسخگویی یکپارچه تری برای مقابله با سازمان گستاخ و متجاوزی چون Sandworm  بود. به گفته او “نور در پراکندگی به سر می برد، در حالی که تاریکی متحد می ماند.” بنابراین یاسینسکی در سمت مدیر بخش تحقیق و بازرسی یک شرکت امنیتی به نام شرکای امنیتی سیستم های اطلاعاتی واقع در کی یف مشغول به کار شد. این شرکت نام بزرگی در صعنت امنیت داده نبود، اما یاسینسکی آن را به سریعترین مرکز پاسخویی عملی به قربانیان اوکراینی تبدیل کرد.

به فاصله کوتاهی پس از تغییر شغل یاسینسکی، کشور زیر موج حملات تازه و گسترده تری قرار گرفت. او لیستی از مجموعه های آسیب دیده را دانه دانه تیک می زند: صندوق بازنشستگی اوکراین، خزانه داری کشور، سازمان بنادر، وزارت های دفاع، زیرساخت و دارایی. هکرها سیستم رزرو آنلاین بلیط شرکت راه آهن اوکراین را مختل کرده و برای روزهای متوالی باعث عدم دسترسی به آن، درست در بهبوهه فصل تعطیلات و مسافرت شده بودند. همانند سال 2015، غالب حملات با اجرای بدافزار KillDisk یا مشابه آن و انهدام سیستم ها کامل می شد. در مورد وزارت دارایی، یک logic bomb (بدافزاری که پس از ورود به سیستم تا مدت معین و از پیش تعیین شده ای غیر فعال و در خفا باقی می ماند) چند ترابایت داده را پاک کرد؛ درست پیش از آنکه وزارتخانه برای بودجه بندی سال بعد خود آماده شود.  

16 دسامبر 2016، زمانی که یاسینسکی و خانواده اش نشسته بودند و فیلم اسنودن را تماشا می کردند، حدود چهار ساعتی می شد که مهندس جوانی به نام اولگ زایچنکو (Oleg Zaychenko) در شیفت شبانه دوازده ساعته خود در ایستگاه انتقال برق Ukrenergo واقع در شمال کی یف مشغول خدمت بود. اتاق کنترلی که در آن به سر می برد به جا مانده از دوران شوروی بود و دیوار های آن با کنترل های آنالوگ بژ و قرمز رنگ پوشیده شده بودند. آزا (Aza) گربه ماده ایستگاه آن بیرون مشغول شکار بود و تنها همدم زایچنکو تلویزیونی در گوشه اتاق بود که موزیک ویدیوی پاپ پخش می کرد.

او مشغول پر کردن دستی نموداری کاغذی با مداد بود تا یکشنبه شب بدون رویداد دیگری را ثبت کند، که در همان لحظه و به ناگاه آژیر خطر ایستگاه با صوت بسیار بلند و پیوسته ای به صدا در آمد. در سمت راست خود، زایچنکو دید که دو چراغ نشانگری که به مدارهای سیستم انتقال جریان مربوط می شدند، از قرمز به سبز تغییر وضعیت داده اند؛ رنگی که در زبان جهانی مهندسی برق به معنای خاموشی است.

تکنیسین، تلفن مشکی رنگ سمت چپش را برداشت تا طبق روال روتین درباره این اتفاق به اپراتور Ukrenergo در مقر شرکت اطلاع دهد. هنگامی که مشغول این کار بود، چراغ دیگری به رنگ سبز در آمد. سپس یکی دیگر. آدرنالین درون رگ های زایچنکو به ناگاه افزایش یافت و در حالی که با شتاب و مضطرب وضعیت را برای اپراتور مقر توضیح می داد، چراغ ها یکی یکی تغییر وضعیت می دادند: قرمز به سبز، قرمز به سبز. چراغ هشتمی، بعد دهم، بعد دوازده.

همانطور که اوضاع به سرعت رو به وخامت می رفت، اپراتور به زایچنکو دستور داد که سریع از اتاق کنترل خارج شود و ببیند که آیا تجهیزات آسیب فیزیکی دیده اند یا نه. در همان لحظه، بیستمین و آخرین مدار هم خاموش شد و به همراه آن، چراغ های اتاق کنترل، کامپیوتر و تلویزیون هم خاموش شدند. زایچنکو پالتویی را به روی یونیفورم آبی و زرد خود انداخت و به سمت در دوید.

انتقال برق Ukrenergo مجموعه ای عظیم از تجهیزات الکتریکی است که مساحتی بیش از 12 زمین فوتبال را در بر می گیرد. زمانی که زایچنکو از ساختمان بیرون آمد و وارد هوای شبانه منجمد کننده شد، اتمسفر حاکم بر محیط بیش از هر زمان دیگری غریب و رعب آور بود: سه ترنسفورماتور عظیم الجثه ای که هر کدام ابعاد یک تانکر سوخت را داشته و کنار ساختمان در یک ردیف قرار داشتند، ترانسفورماتورهایی که مسئول یک پنجم ظرفیت برق پایتخت بودند، کاملا ساکت شده بودند. تا آن زمان زایچنکو مشغول بررسی گزینه های لیستی ذهنی از علل احتمالی رویداد بود. همانطور که از کنار ترنسفورماتورهای از کار افتاده می گذشت، فکری برای اولین بار وارد ذهنش شد: هکرها دوباره حمله کرده اند.

این بار حمله از ایستگاه های توزیع برق به سیستم انتقال برق اوکراین نقل مکان کرده بود. به جای تخریب ایستگاه های منطقه ای توزیع برق که بخش کوچکی از شبکه انتقال برق بودند، خرابکاران به سراغ شاهرگ رفته بودند. آن ایستگاه توزیع برق کی یف به تنهایی 200 مگاوات ظرفیت داشت؛ چیزی به مراتب فراتر از مجموع ظرفیت ایستگاه های 50 مگاواتی که در سال 2015 مورد حمله قرار گرفته بودند. خوشبختانه شبکه انتقال برق صرفا یک ساعت غیر فعال ماند – زمانی کمتر از آنچه منتهی به یخ زدن لوله ها و یا وحشت شهروندان گردد – و مهندسین Ukrenergo به صورت دستی تک تک مدارها را بستند و همه چیز را به جریان انداختند.

اما خاموشی موقت و لحظه ای 2016 کمترین بخش نگران کننده از حمله بود. شرکت های امنیتی که از آن زمان تا کنون حمله را آنالیز کرده اند، آن را بسیار تکامل یافته تر از رویداد 2015 یافته اند: قطع جریان شبکه انتقال برق توسط بدافزاری پیچیده و توسعه پذیر انجام شده بود که اکنون با نام ” CrashOverride” شناخته می شود؛ سلاحی که به طور ویژه برای انهدام خودکار شبکه انتقال برق کدنویسی شده است.

درگوس (Dragos)، استارت آپ امنیت سایبری که لی موسس آن بوده، یکی از دو شرکتی است که توانست کد بدافزار را به دقت بررسی و کالبد شکافی کند. درگوس این کد را از جانب شرکت اسلواکیایی ESET به دست آورد. هر دو شرکتی که کدها را کنکاش کردند، دریافتند که بدافزار CrashOverride قادر است به زبان پروتکل های مخفی سیستم های کنترل صحبت کند و بنابراین مستقیما فرامین را به تجهیزات شبکه برق بفرستد. در مقایسه با نشانگر ماوسی که توسط یک دست نامریی هدایت می شد و کپی نرم افزار کنترلی سیستم ها در سال 2015، این نرم افزار جدید می توانست به گونه ای برنامه ریزی شود که خودش به طور کامل تجهیزات شبکه برق را اسکن و شناسایی کرده و پس از نشانه گذاری هدف ها، در زمانی از پیش تعیین شده یکی پس از دیگری مدار ها را بگشاید؛ حتی بدون اینکه ارتباط اینترنتی میان آن و هکرها برقرار باشد. به بیان دیگر و از زمان استاکس نت، این نخستین بدافزار کشف شده ای است که برای اجرای عملیات خرابکاری به طور کاملا مستقل عمل کرده و با هدف آسیب رسانی فیزیکی به زیرساخت ها طراحی شده است. و البته CrashOverride تنها ابزاری یکبار مصرف برای از کار انداختن تجهیزات Ukrenergo نیست. به گفته محققین این یک سلاح به شدت انطباق پذیر است که می تواند برای هر نوع خطوط انتقال و توزیع برقی مورد استفاده مجدد قرار گیرد. درون ساختار ماژولار بدافزار، پروتکل های سیستم کنترل Ukrenergo می تواند به سادگی به نمونه ای مشابهی که در اروپا و یا آمریکا استفاده می شوند جایگزین شود.

مارینا کروتوفیل (Marina Krotofil) محقق امنیت سیستم های کنترل صنعتی در شرکت Honeywell  که حمله Ukrenergo  را آنالیز کرده است، روش حمله هکر ها را بسیار ساده تر و موثر تر از آنچه در حمله قبلی روی داد می داند. او می گوید: “در سال 2015 آنها مثل یک گروه اوباش و خرابکار خیابانی بودند. در سال 2016 اما آنها مثل نینجاها رفتار کردند.” اما خود هکرها ممکن است همان قبلی ها باشند. بر پایه شواهدی که درگوس هنوز قادر به اعلامشان نیست، محققین این شرکت معماری CrashOverride را کار گروه Sandworm می دانند.

برای لی تمامی اینها نشانه هایی از پیشرفت و توسعه گروه Sandworm هستند. من (نویسنده مقاله) او را در مقر اصلی شرکتش واقع در بالتیمور ملاقات کردم. بیرون پنجره دفتر لی چندین تیر برق کابل هایی را روی خود نگه داشته اند. او به من می گوید این کابل ها جریان برق را 18 مایل به جنوب می برند، به قلب واشنگتن DC.

لی خاطر نشان می کند این برای نخستین بار در تاریخ است که گروهی از هکرها تمایل و توان خود را برای حمله به زیرساخت های حساس یک جامعه نشان داده اند. آنها تکنیک های مورد استفاده خود را طی چند حمله رشد و توسعه داده اند. آنها پیشتر بدافزار  BlackEnergyرا وارد شبکه برق ایالات متحده کرده اند. لی می گوید:”افرادی که با شبکه انتقال نیروی ایالات متحده آشنا هستند خوب می دانند که اکنون همین اتفاق می تواند اینجا رخ دهد.”

به عقیده لی، ایالات متحده می تواند برای هکرهای Sandworm و در صورتی که قصد حمله به اینجا را داشته باشند هدف به مراتب راحت تری باشد. شرکت های انرژی آمریکا در برابر حملات سایبری به مراتب مقاوم تر و ایمن ترند، اما آنها همچنین نسبت به نمونه های اوکراینی مدرن تر و خودکار تر هستند. معنای این، بستر دیجیتالی گسترده تر برای حمله است؛ و البته مهندسین اینجا با بازیابی دستی در صورت وقوع خاموشی کمتر آشنایی دارند.