Seyyid
Seyyid
خواندن ۱۵ دقیقه·۲ سال پیش

عصر جدید هکتیویسم

رخنه‌کنشگری یا هَکتیویسم (Hacktivism) به استفاده از رایانه و شبکه‌های رایانه‌ای در جهت اعتراض و مقاصد سیاسی گفته میشه. این واژه در سال ۱۹۹۶ برای اولین بار توسط یکی از اعضای Cult of the Dead Cow (cDc)، به نام Omega ابداع شد.

مقدمه

تا سال گذشته، هکتیویسم عمدتاً با گروه‌هایی مانند Anonymous که گروه‌های غیرمتمرکز و بدون ساختار متشکل از افراد مختلف با برنامه‌های متنوع بود ، ارتباط داشت. Anonymous کمپین های متعددی رو علیه طیف وسیعی از اهداف بر اساس تمایلات و خواسته های اعضای خودش راه اندازی کرده. هیچ وابستگی یا ارتباط ایدئولوژیکی واقعی بین اعضای گروه وجود نداشته و ظاهراً هیچ برنامه بلندمدتی هم بینشون نبوده. هر کس، صرف نظر از وابستگی سیاسی، میتونست وارد گروه بشه.

در سال گذشته همه چیز تغییر کرد. از پیامدهای متعدد درگیری ها در اروپای شرقی و خاورمیانه، برخی از گروه های هکتیویسم فعالیت های خودشون رو در شکل و تمرکز جدیدی افزایش دادن. هکتیویسم دیگر فقط مربوط به گروه های اجتماعی با برنامه های مختلف نیست. هکتیویسم رشد کرده ، سازماندهی شده، ساختارمندتر و پیچیده تر شده. اگرچه این تغییر در مناطق جغرافیایی خاص مرتبط با درگیری آغاز شد، اما اکنون به غرب و حتی مناطق مختلف گسترش یافته . شرکت ها و دولت های بزرگ در اروپا و ایالات متحده به شدت مورد هدف این نوع نوظهور هکتیویسم قرار می گیرند. در ماه‌های اخیر، ایالات متحده، آلمان، لیتوانی، ایتالیا، استونی، نروژ، فنلاند، لهستان و ژاپن حملات شدیدی رو از گروه‌های وابسته به دولت متحمل شدند که در برخی موارد تأثیر قابل‌توجهی داشته . حملات اخیر نه تنها دولت های این کشورها، بلکه شرکت های بزرگی مانند Lockheed Martin، یک پیمانکار دفاعی بین المللی رو هم هدف قرار دادند. همچنین، آخرین حملات گسترده علیه دولت آلبانی توسط یک گروه هکتیویست وابسته به دولت انجام شده.

همه اینها به گروه‌های هکتیویسم جدید اجازه می‌دهد تا برای منافع دولتی بسیج شوند و به اهداف استراتژیک و گسترده‌تر با سطوح موفقیت بالاتر - و تأثیر عمومی بسیار گسترده‌تر - از همیشه دست یابند. گروه‌های هکتیویست دیگه شامل چند نفر تصادفی نیستند که حملات DDoS کوچک یا دیفیس رو روی وب‌سایت‌های سطح پایین انجام بدن. اینها سازمانهای هماهنگی هستند که با روابط عمومی گسترده، DDOS سازماندهی شده و حملات مخرب رو علیه اهداف خودشون در مقیاس بزرگ راه اندازی می کنند. بنابراین شرکت ها و سازمان های دولتی باید خطرات این حملات رو جدی بگیرن.

هکتیویسم های قدیمی:

نمونه هایی از حملات هکتیویست قدیمی شامل کمپین هایی مانند Operation KKK علیه حامیان و اعضای Ku Klux Klan (گروههای نژادپرست تو آمریکا) ، کمپین علیه سازمان ملل در تلافی عدم اعطای کرسی به تایوان، عملیات AntiSec که هدف آن سرقت و انتشار اسناد طبقه بندی شده دولتی بود و عملیات Opwhales برای حمایت از حفاظت از نهنگ و موارد دیگر. حتی در برخی موارد، کمپین های متناقضی هم در یک سال توسط Anonymous اجرا شد، مانند کمپین های OpTrump و OpHillaryClinton.

مدل هکتیویسم 2022 - بسیج به دستور کار دولت

تغییر در هکتیویسم بی سر و صدا از 2 سال پیش در خاورمیانه آغاز شد، با چندین گروه هکریست مانند Hackers of Savior، Black Shadow و Moses Staff که منحصراً بر حمله به اسرائیل تمرکز داشتند. اکثر اونا وابستگی خودشون رو به اهداف ضد اسرائیلی دولت ایران پنهان نکردند. به موازات این گروهها، چندین گروه دیگه در خاورمیانه، که برجسته ترین اونا گنجشک درنده بود، تنها به اهداف طرفدار ایران تمرکز داشتن. تنها دستور کار مشترک اونا مخالفت با دولت ایران هستش.

دستور کار ژئوپلیتیکی که هکتیویسم را بسیج می کنه به خاورمیانه محدود نمیشه، بلکه بخش مهمی از جنگ روسیه و اوکراین هم هستش. در اوایل سال 2022، گروه Belarusian Cyber Partisans که در سال 2020 برای مخالفت با دولت بلاروس تشکیل شد، شروع به حملات سایبری مخرب به روسیه کرد.

گروه IT Army اوکراین به طور علنی توسط دولت اوکراین برای حمله به روسیه بسیج شد. هکتیویسم جدید همچنین گروه هایی را دید که از ژئوپلیتیک روسیه حمایت می کردند، با گروه هایی مانند Killnet، Xaknet، From Russia with Love (FRwL)، NoName057(16) و غیره.

اگرچه هکتیویسم جدید در مناطق جغرافیایی خاص و محدود آغاز شد، گروه‌های بسیج شده توسط روسیه به زودی تمرکز خود را صرفاً روی اوکراین، بلکه بر روی هر کسی که با دستور کار روسیه مخالف بود، معطوف کرد، یعنی اروپا، ایالات متحده و حتی آسیا. این شامل حملات قابل توجهی به دولت ها و شرکت های بزرگ در ایالات متحده، لیتوانی، ایتالیا، استونی، نروژ، فنلاند، لهستان، ژاپن و غیره بود.

این گروه‌ها همچنین برنامه‌هایی رو برای حمایت از جنگ اطلاعاتی و منافع روسیه اعلام کردن، همانطور که در بیانیه Noname057(16) می‌بینیم.

این گروه طرفدار روسیه یک دستور کار مشخص داره و به طور مرتب اوکراین رو هدف قرار میده و در حال گشترش اهدافش هست. در طول چند ماه گذشته، Noname057(16) بسیاری از کشورهای اتحادیه اروپا روکه به طور علنی از اوکراین حمایت می کردند، مانند لهستان، لیتوانی، لتونی، اسلواکی و فنلاند هدف قرار داد. NoName057(16) همچنین در ماه اوت پس از ابراز علاقه فنلاند برای پیوستن به ناتو به وب سایت پارلمان فنلاند حمله کرد.

گروه From Russia with Love (FRwL) گروه دیگه ای که به همون شیوه عملیاتی پایبنده اما کمتر مورد توجه عموم قرار گرفته. این گروه بر انتشار اطلاعات خصوصی در کانال تلگرام خود تمرکز داره و مدعیه که چندین حمله به «دشمنان روسیه» انجام داده . اونا ادعا می کنند که با دسترسی به کانال های تلگرامی مرتبط با سرویس امنیتی اوکراین، اطلاعات حساسی در مورد استونی و لیتوانی به دست آوردن. FRwL به موج حملاتی که به Lockheed Martin و پیمانکاران اون که HIMARS رو تولید می کنند، پیوست ، که بخشی از کمک های آمریکا به اوکراین بود. FRwL همچنین ادعا کرد که مدارهای Gorilla Circuits، سازنده برد مدار چاپی ایالات متحده، که یکی از تامین کنندگان Lockheed Martin هست، رو نقض کرده .

در طرف دیگر درگیری، چندین گروه هکتیویست بسیج شده نیز وجود دارند که در کنار اوکراین هستند. برخی، مانند IT Army اوکراین، به طور رسمی توسط دولت اوکراین اداره می شود. IT Army اوکراین چند روز پس از آغاز تهاجم روسیه تأسیس شد و داوطلبان ماهر رو از سراسر جهان هماهنگ کرد تا تحت دستور اوکراین فعالیت کنند. بر اساس گزارش CSS Zurich، این گروه شامل چندین داوطلب بین المللیه که برای هماهنگ کردن حملات DDoS علیه اهداف روسی کار می‌کنند، و همچنین یک تیم دیگه که در سطوح عمیق‌تر کار می‌کنند، شاید متشکل از کارشناسان دفاعی و اطلاعاتی اوکراینی که می‌توانند عملیات سایبری پیچیده‌تری را انجام بدن.

یکی از معروفترین گروه‌هایی که به IT Army اوکراین پیوست TeamOneFist بود، گروه طرفدار اوکراین که در ماه اوت شهر Khanty-Mansiysk در روسیه را هدف قرار داد و به نیروگاه گاز طبیعی اونجا آسیب رسوند و همچنین باعث خاموشی در فرودگاه شد.

در طول چند ماه گذشته، ما همچنین شاهد گسترش آشکار هکتیویسم بسیج شده توسط دولت ایران بودیم که اروپا و ناتو را هدف قرار می داد. در 15 ژوئیه 2022، آلبانی متحمل یک حمله سایبری جدی شد که به طور موقت بسیاری از خدمات دیجیتال و وب سایت های دولتی آلبانی را مختل کرد. گروهی که مسئولیت این حمله رو بر عهده گرفت، یک گروه هکریستی به نام Homeland Justice است که وابسته به وزارت اطلاعات معرفی شد. در این مورد، Homeland Justice به وضوح در خدمت دولت ایران علیه مجاهدین خلق (منافقین) ،بود. (البته ایران این حمله رو رد کرده)

مطالعه موردی : گروه Killnet

یکی از بازیگران اصلی در اکوسیستم هکتیویست Killnet که در اواخر فوریه 2022 و در آغاز جنگ روسیه و اوکراین به طور عمومی راه اندازی شد. این گروه فعالیت تهاجمی خودش در ماه مارس آغاز کرد و به اهدافی در اوکراین حمله کرد. با این حال، در ماه آوریل، این گروه به طور کامل تمرکز خودش برای حمایت از منافع ژئوپلیتیک روسیه در سراسر جهان تغییر داد. بین اواخر فوریه و سپتامبر، این گروه ادعا کرد که بیش از 550 حمله رو انجام داده . تنها 45 مورد از آنها علیه اوکراین بود که کمتر از 10 درصد از تعداد کل حملاته.

بسیاری از این حملات علیه اهدافی مانند وب سایت های دولتی ، شرکت های مالی بزرگ، فرودگاه ها و غیره بودند. در حالی که در برخی موارد درک تأثیر واقعی حمله سخته، در بسیاری از موارد حملات به وضوح موفقیت آمیز بودند. اونا باعث از کار افتادن وب سایت های اصلی شدند که بسیاریشون خدمات عمومی ضروری رو ارائه میدادن. در اینجا چندین نمونه از حملات اجرا شده توسط Killnet آورده شده :

  • در ماه مارس، این گروه یک حمله DDoS رو به فرودگاه بین المللی Bradley در Connecticut (ایالات متحده) انجام داد. مقامات ایالات متحده این حمله رو تایید کردن.
  • در ماه آوریل، وب‌سایت‌های متعلق به دولت رومانی، مانند وزارت دفاع، پلیس مرزی، شرکت ملی حمل‌ونقل ریلی و یک بانک تجاری، برای چندین ساعت غیرقابل دسترس بودند. این حملات در پاسخ به اظهارات رهبر رومانیایی حزب سوسیال دموکرات، مارسل چیولاکو، که پیشنهاد ارائه سلاح به اوکراین را داده بود، صورت گرفت.
  • در ماه مه، حملات DDOS بزرگ علیه دو کشور بزرگ اتحادیه اروپا، آلمان و ایتالیا اجرا شد. چندین هدف آلمانی، از جمله وب سایت های دولت و سیاستمداران آلمان، از جمله سایت وابسته به حزب صدراعظم اولاف شولتز، وزارت دفاع آلمان، پارلمان آلمان، پلیس فدرال و چندین مقام پلیس ایالتی تحت تأثیر قرار گرفتند. همه اینها پاسخی به تلاش های دولت شولز برای تامین تجهیزات نظامی به اوکراین بود. پارلمان ، ارتش و موسسه ملی بهداشت ایتالیا هم مورد حمله قرار گرفتن.
  • در ژوئن، دو موج بسیار مهم از حملات علیه لیتوانی و نروژ در واکنش به تحولات ژئوپلیتیک شدید بین این کشورها و روسیه اجرا شد. پس از تصمیم دولت لیتوانی مبنی بر توقف ترانزیت کالاهای روسی به Kaliningrad ، موجی از حملات بزرگ ، خدمات عمومی و بخش خصوصی لیتوانی را تحت تأثیر قرار داد. در جریان این حمله، یوناس اسکاردینسکاس، رئیس امنیت سایبری در مرکز ملی امنیت سایبری لیتوانی (NCSC)، هشدار داد که اختلالات ممکن است برای چند روز ادامه داشته باشه و بخش‌های حمل‌ونقل، انرژی و مالی بیشترین بار حملات را متحمل میشن. در برخی مواقع، اکثر وب‌سایت‌های لیتوانیایی از آدرس‌های IP خارج از کشور قابل دسترسی نبودند، به احتمال زیاد به عنوان یک اقدام پیشگیرانه برای کاهش حمله. در همان ماه، چندین سازمان بزرگ نروژی آفلاین شدند. گمان می رود این حمله در نتیجه اختلاف بر سر ترانزیت از طریق خاک نروژ به یک شهرک معدن زغال سنگ قطب شمال تحت کنترل روسیه انجام شده است.
  • در ماه ژوئیه، Killnet تلاش های خود را روی لهستان متمرکز کرد و باعث شد چندین وب سایت دولتی در دسترس نباشند. بیشتر حملات علیه پورتال های دولتی، مالیاتی و وب سایت های پلیس انجام شد.
  • آگوست ماه بسیار شلوغی برای Killnet بود. با حمله به لتونی آغاز شد. پس از اعلام روسیه به عنوان "دولت حامی تروریسم"، وب سایت پارلمان لتونی مورد حمله DDoS بزرگ قرار گرفت. در اواخر این ماه، استونی با گسترده‌ترین حملات سایبری خود از سال 2007 به عنوان پاسخی به حذف بناهای تاریخی شوروی روبرو شد. اثربخشی آن حملات مشخص نبود، زیرا به نظر می رسد استونی به خوبی برای چنین سناریوهایی آماده شده بود. در ماه آگوست، Killnet شروع به تمرکز بر روی ایالات متحده کرد. سازنده غول پیکر آمریکایی Lockheed Martin در پاسخ به ارائه سیستم های نظامی به ارتش اوکراین به شدت مورد هدف Killnet قرار گرفت. به موازات آن، Killnet همچنین سیستم نظارت و ردیابی الکترونیک سلامت ایالات متحده و سنای ایالات متحده را که در حال بحث در مورد ارسال کمک های اضافی به اوکراین بود، هدف قرار داد.
  • در سپتامبر، این گروه برای اولین بار آسیا را هدف قرار داد و به دلیل حمایت ژاپن از اوکراین، تلاش های خود را روی ژاپن متمرکز کرد. با تشدید درگیری روسیه و ژاپن بر سر جزایر کوریل، Killnet با موفقیت به چندین وب سایت بزرگ ژاپنی از جمله دولت الکترونیک، وب سایت های حمل و نقل عمومی توکیو و اوزاکا، سیستم پرداخت JCB و Mixi دومین رسانه اجتماعی بزرگ ژاپن ،حمله کرد.

رهبری، استخدام و ابزار

ساختار سازمانی

گروه‌های هکتیویست که در سال گذشته به وجود آمدند، دارای عملکرد ساختار یافته مشخصی هستند که به اونا اجازه میده نه تنها به حملات هدفمند دست یابند، بلکه افراد ماهرتری رو هم جذب کنند. این افراد معمولاً توسط یک ایدئولوژی روشن وابسته به دولت برانگیخته میشن و اهداف اونا در یک مانیفست و/یا مجموعه قوانینی گنجانده میشه که باید از اونا پیروی کنند. به عنوان مثال، Killnet بیش از 89000 مشترک در کانال تلگرام خود داره و در یک ساختار نظامی مانند با یک سلسله مراتب از بالا به پایین سازماندهی شده . Killnet متشکل از چندین گروه تخصصی برای انجام حملاته که دستورات اصلی رو اجرا میکنن. در حال حاضر حدود دوازده زیر گروه وجود دارد که اصلی ترین آنها Legion است. همه این گروه ها توسط یک هکر ناشناس به نام KillMilk هدایت میشه که در ماه ژوئیه عنوان کرد که بصورت انفرادی میخواد فعالیت کنه ، اما همچنان در فعالیت های گروهی درگیره .Legion و گروهها (معروف به Jacky و Mirai و Impulse و Sakurajima و Rayd و Zarya و Vera و Phoenix و Kajluk و Sparta و DDOSGUNG) به عنوان نیروهای ویژه Killnet و Legion به عنوان نیروی اطلاعات سایبری اونا شناخته میشه.

گروههای کوچک متعددی در اطراف بزرگترین گروه و رهبر سابق اون، KillMilk سازماندهی شدن، که دستورات حمله را به «فرمانده» هر گروه می‌فرسته، که منجر به ایجاد زیرساخت های مستقل و بهبود بقای کل سازمان میشه. این امر با ادامه عضوگیری و افزایش تعداد گروهها مؤثره. صفحه تلگرام اونا حاوی قوانین، بحث در مورد اهداف، و دستورالعمل های پیوستن/ایجاد گروه های اضافی توسط اعضایی است که به دنبال استقلال یا "ترفیع" هستند.

تکامل Killnet اونارو در موقعیتی قرار داده که گروه های دیگه میخوان با اونا همکاری کنند یا رسما به نیروهاشون بپیوندند.

استخدام

یکی دیگر از پدیده های جالب و جدید مربوط به روش های استخدام گروه هاست. برخلاف Anonymous، که به استقبال از همه افتخار می کنه، بدون نیاز به مهارت یا دستور کار خاص، هکتیویست های عصر جدید فقط اعضایی رو می پذیرند که حداقل شرایط خاصی رو داشته باشند.

بسیاری از گروه‌ها، مانند Killnet و گروههای اون، اغلب تبلغات عضویت گیری رو در کانالهای تلگرامی انجام میدن. برخی از گروه‌ها یک فرآیند گزینشی دارند تا فقط هکرهای ماهر یا متخصصان در یه زمینه خاص انتخاب کنند تا خطر اشتباهاتی که می‌تونه کل عملیات رو فاش کنه، کاهش بده.

با این حال، اخیراً مشاهده کردیم که KillNet دستورالعمل‌های حملات DDoS رو بصورت عمومی منتقل می‌کنه، شاید این به دلیل کمبود نیروی انسانی برای انجام تمام اقدامات مورد نظر خودشون باشه.

در موارد متعدد، ما همچنین شاهد بودیم که KillNet برای افرادی که در اوکراین وندالیسم در دنیای واقعی و نه مجازی انجام بدن، جوایزی ارائه میده.(تخریب‌گرایی یا خرابکاری یا وَندالیسم ( Vandalism) به معنای تخریب کنترل نشدهٔ اشیاء و آثار فرهنگی باارزش یا اموال عمومیه که یه ناهنجاری اجتماعی به حساب میاد و دلایل متعددی برای اون عنوان می‌کنند.)

روند استخدام برای بسیاری از گروه های وابسته به دولت روسیه مشابه . به عنوان مثال، XakNet (که خود را «تیم میهن پرستان روسی» نیز می نامند) یه گروه روسی زبان که از مارس 2022 فعال بوده . XakNet تهدید کرده که حملات سایبری علیه روسیه رو تلافی میکنه و چندین نهاد در داخل اوکراین را هدف قرار داده و محتوای ایمیل یک مقام دولتی اوکراین را فاش کرد. XakNet اعلام کرد که اونا هکرها، نفوذگران یا متخصصان OSINT بدون تجربه و مهارت استخدام نمی کنند.

گروه‌های دیگر، مانند NoName057(16) طرفدار روسیه، ممکنه آموزش را از طریق روش‌های مختلف مانند پلتفرم‌های آموزش الکترونیکی، دوره‌ها یا مستندات ارائه بدن.

ابزارها

گروه‌های هکتیویست سعی می‌کنند از ابزارهای پیشرفته‌تری در حملات خود استفاده کنند، زیرا هر چه حملات آسیب بیشتری وارد کنند، گروه معروفیت بیشتری میگیره. ما در سطح جهانی شاهد تاکتیک‌های پیشرفته‌ای بودیم، اما با ماهیت فوری و تکراری کمپین‌های هکتیویسم، بیشتر فعالیت‌ها حول حملات DDoS از طریق استفاده از بات‌نت‌های بزرگ متمرکز شده‌اند.

طبق گفته Avast، گروه NoName057(16) از یک RAT به نام Bobik که از سال 2020 همراه با Redline استفاده میکنن. گزارش‌های اخیر بیان می‌کنند که دستگاه‌های آلوده به Bobik بخشی از یک بات‌نت هستند که حملات DDoS رو از طرف NoName057 (16) انجام میدن.

در برخی موارد، می بینیم که این گروه از ابزارهای مخرب بسیار پیچیده تری استفاده می کند. برای مثال، TeamOneFist با فعالیت‌های مخرب علیه سیستم‌های اسکادا روسی مرتبطه و Belarusian Cyber Partisans، همانند قبل از شروع درگیری، سیستم‌های رایانه‌ای راه‌آهن بلاروس رو نقض کردند. در ماه آگوست، From Russia with Love (FRwL)، ادعا کرد که باج‌افزار Locker مانند خودش به نام «Somnia» توسعه داده.

نتیجه

درگیری‌ها در اروپای شرقی و خاورمیانه در چند سال اخیر بر زندگی بسیاری از افراد تأثیر گذاشته و در حوزه‌های وسیعی در سراسر جهان تشدید شده . یکی از مهم ترین تشدیدها را می توان در اکوسیستم های فضای مجازی مشاهده کرد. در طول دهه گذشته، هکتیویسم بیشتر یک کلمه پر سر و صدا بود که خطرات قابل توجهی برای سازمان های جهانی ایجاد نمی کرد. هکتیویسم با سازماندهی، ساختارمندتر و پیچیده تر شدن، عصر رنسانس خودش آغاز کرده . در حال حاضر نگران‌کننده‌تر اینه که بسیاری از گروه‌های هکتیویست برنامه‌ای کاملاً روشن و وابسته به دولت دارند و در خدمت منافع خاص دولت‌های خاص هستند. حتی اگر همه اینها در مناطق درگیری خاص آغاز شد، ما در حال حاضر شاهد گسترش آن در غرب و فراتر از آن هستیم. ما همچنین از اپراتورهای هکتیویست انتظار داریم تا حملات مخرب در سطح دولتها رو انجام بده. یکی دیگر از نگرانی‌های فزاینده این واقعیته که دولت‌های بیشتری از موفقیت گروه‌های هکتیویست جدید بسیج شده توسط دولت الهام می‌گیرند، که ممکنه به معنای این باشه که این پدیده به یک فعالیت طولانی مدت تبدیل بشه.


منبع

ویدیوی دنیای توسعه دهندگان زیرودی ، مشاهده در : آپارات - یوتیوب - تلگرام

دریافت نشریه تخصصی امنیت سایبری ONHEX : شماره اول | شماره دوم

ما را در تلگرام دنبال کنید

یه قهوه من مهمون کن

علاقمند به باگ بانتی ، توسعه اکسپلویت و ابزارهای امنیتی و دنیای آبی
شاید از این پست‌ها خوشتان بیاید