مجتبی یکتا
مجتبی یکتا
خواندن ۱۳ دقیقه·۵ سال پیش

جنگ سایبری و فریبکاری در دنیای دیجیتال

نقش فضای مجازی در مدیریت ارتباطات و زیرساخت‌های حیاتی کشورها هر روز بیشتر و تعیین‌کننده‌تر می‌شود. این در حالی است که حکومت‌ها و نهادهای نظامی-امنیتی نیز در تلاش برای ایفای نقش خود و اعمال قدرت در فضای مجازی هستند. بسیاری از کشورهای صنعتی برای مواجهه با تهدیدات و حملات سایبری، خود را آماده کرده‌اند چرا که این حملات می‌تواند به زیرساخت‌های دولتی و نظامی آسیب برساند. امروزه دیگر فضای مجازی  درست مثل زمین، دریا و آسمان به عنوان یک محدوده جدید برای گسترش دامنه جنگ در نظر گرفته می‌شود. در نتیجه باید ببینیم جنگ در این دامنه جدید چگونه است و مبارزان در جنگ سایبری (Cyber Warfare) چگونه عمل می‌کنند.

با اینکه چند سالی است که از اصطلاح «جنگ سایبری» استفاده می‌شود اما هنوز تعریف دقیقی که مورد قبول اکثر پژوهشگران باشد ارائه نشده است. برخی پژوهشگران برای پوشش جنبه‌های مختلف جنگ‌های سایبری تعریف کلی و گسترده‌ای ارائه داده‌اند که به نظر بیش از اندازه وسیع است و بالقوه می‌تواند خارج از محدوده این مفهوم قرار بگیرد. به عنوان مثال پارکس و دوگن جنگ سایبری را اینگونه تعریف کرده‌اند: «جنگ سایبری ترکیبی از حمله و دفاع شبکه کامپیوتری و عملیات فنی ویژه است». [1]

برخی دیگر از پژوهشگران تعریف اختصاصی ارائه داده‌اند که مفیدتر است اما برخی ویژگی‌های جنگ سایبری را در نظر نگرفته‌اند. به عنوان مثال تعریف تادئو اینگونه است: «جنگ سایبری، جنگی است مبتنی بر استفاده خاص یک دولت از فناوری اطلاعات و ارتباطات تا استراتژیِ نظامی آفندی یا پدافندی را در آن با هدف ایجاد اختلال آنی یا به دست گرفتن کنترل منابع دشمن، تصویب و اجرا کند، به طوری که این فرایند کاملا در محیط اطلاعاتی اتفاق بیافتد، ولی اهداف و عاملان می‌توانند در دامنه‌های فیزیکی یا غیرفیزیکی متغیر باشد و میزان خسارت و خشونت وارد آمده با توجه به شرایط، ممکن است غیرقابل پیش‌بینی باشد.» [2]

کلمه «آنی» در این تعریف محل اشکال است چراکه تاثیرات یک جنگ سایبری می‌تواند مدتها بعد از حمله خود را نشان دهد. اما تادئو در این تعریف به نکته مهمی اشاره می‌کند؛ کنترل و پیش‌بینی محدوده خسارت وارد شده در جنگ‌های سایبری بسیار دشوار است. در بسیاری از نمونه‌های جنگ سایبری با اینکه هدف اولیه ضربه زدن به حکومت بوده اما در عمل بیمارستان‌ها بانک‌ها و نهادهای مردمی خسارت دیده و حتی مردم عادی جان خود را از دست داده‌اند. در برخی موارد به نظر می‌رسد باتوجه به اینکه مبارزه در فضای مجازی برای حمله‌کنندگان غیر ملموس است، آنان سعی می‌کنند حداکثر خسارت ممکن را وارد کنند و در این نوع از جنگ‌ها آسیب رساندن به مردم عادی مانند جنگ‌های کلاسیک به چشم نمی‌آید و حمله‌کننده تصوری از طرف مقابل ندارد در نتیجه می‌تواند آنان را مانند زامبی‌هایی تصور کند که فقط باید از بین بروند.

همزمان با توسعه ارتباطات و پیشرفت تکنولوژی، حوادث و نمونه‌هایی که در عمل جزو جنگ‌های سایبری دسته‌بندی می‌شوند دائما در حال افزایش است. به عنوان اولین نمونه مهم جنگ سایبری می‌توان به سال پرحادثه 2007 و تنش میان روسیه و کشور استونی اشاره کرد. ماجرا از این قرار بود که دولت استونی در آوریل 2007 مجسمه یک سرباز روسی را که یادگار حضور روسیه در جنگ دوم جهانی بود از باغ یادبودی واقع در قبرستان ملی استونی حذف و به جای دیگری منتقل کرد. این مجسمه که با نام «سرباز برنزی شهر تالین» شناخته می‌شد یادگار زمانی بود که استونی به عنوان یکی از جمهوری‌های اتحاد جماهیر شوروی به حساب می‌آمد و نه یک کشور مستقل، اما حالا که استونی به عنوان یک کشور، استقلال خود را به دست آورده است دولت استونی به این نتیجه رسید که مناسب‌تر این است که مجسمه در جای دیگری باشد. شهروندان روسی مقیم استونی و در سایر نقاط جهان از این عمل خشمگین شدند به طوری که در هر دو کشور روسیه و استونی موجی از اعتراضات خیابانی و خشونت به راه افتاد. بیش از 1300 نفر در طول این اعتراضات دستگیر شدند، بیشتر آنها روسی‌الاصل بودند و در استونی زندگی می‌کردند.

تنش به سرعت در فضای مجازی گسترش یافت، هکرها از هر دو طرف، از روش‌های مختلف سعی کردند تا سیستم‌های آنلاین طرف مقابل را هک کنند و کمپین‌هایی برای ارسال هرزنامه، تبلیغات و ارسال کامنت‌های اسپم به راه انداختند. همچنین هکرهای روسی انجمن‌ها و وب‌سایت‌هایی برای تجمیع و سامان‌دهی حملات DDoS راه‌اندازی کردند — در این نوع حملات تعداد زیادی کامپیوترِ زامبی به طور مداوم به سمت سرویس یا وب‌سایت هدف، درخواست ارسال می‌کنند به طوری که منابع و پهنای باند آن سرویس دیگر امکان پاسخ‌گویی ندارد و از دسترس خارج می‌شود. بسیاری از کسانی که از کامپیوترهای خود برای شرکت در این حملات استفاده کردند افراد عادی بودند که از روی عشق و احترام به کشورشان روسیه در این حملات شرکت کردند آنها حتی اطلاعات بسیار اندکی از نحوه هک کردن سرویس‌های هدف در استونی داشتند. در پی این حملات اجزای حیاتی شبکه اطلاعاتی بانکی و دولتی استونی قطع شده و همچنین خسارات اقتصادی قابل توجهی به شهروندان و صنایع کشور وارد آمد. وب‌سایت مجلس قانون‌گذاری و تقریبا تمام وب‌سایت‌های وزارت‌خانه‌های استونی تحت تاثیر این حملات قرار گرفتند. سه خبرگزاری از شش خبرگزاری و دو تا از بزرگترین بانک‌های کشور با اختلال مواجه شدند. در حقیقت در این حمله DDoS بانک‌ها برای چندین ساعت از حالت آنلاین خارج شده و میلیون‌ها دلار پول در این میان گم شد.

دولت استونی، روسیه را متهم کرد که از این حملات حمایت و مهاجمان را تشویق کرده است. با اینکه تاکنون مدارک محکمه پسندی از دخالت دولت روسیه در این حملات به دست نیامده اما شاهدان بر این باورند که در آینده درگیری دولت‌ملت‌ها در فضای مجازی با الگوی حملات سایبری روسیه صورت خواهد گرفت یعنی شکل جنگ‌های سایبری در آینده به صورت رویارویی مستقیم دولت‌ها نخواهد بود و کوشش خواهد شد که منبع اصلی حملات تا حد ممکن پنهان بماند.

بررسی عملکرد و استراتژی کشور استونی  پس از وقوع این حملات نیز جالب توجه است. در نگاه اول، انتظار داریم کشوری کوچک که مورد چنین هجومی واقع می‌شود، حالتی تدافعی و انفعالی مقابل فناوری داشته باشد و تا جای ممکن دست به اعمال محدودیت بزند. آیا این کشور دسترسی به اینترنت را محدود کرد؟ آیا خود را برای ساختن اینترنت ملی آماده کرد؟ خیر! طبق نظرسنجی‌ها استونی در سال 2007 آزادترین اینترنت جهان را داشت، این کشور در سال 2018 همچنان رتبه اول در آزادی اینترنت و گردش آزاد اطلاعات را دارد. استونی به جای اعمال محدودیت بر اینترنت با اتخاذ تمهیداتی سطح امنیت و نفوذناپذیری آن را بالا برد به طوریکه بر اساس رتبه‌بندی «اتحادیه بین‌المللی مخابرات در امنیت سایبری»، کشور استونی رتبه پنجم در جهان و رتبه اول را در اروپا کسب کرده است.

استراتژی امنیت سایبری استونی بر مبنای یک همکاری خصوصی و عمومی بنا شده است. این کشور یک ساختار یکتا به نام «اتحادیه پدافند سایبری ملی» ایجاد کرده که در آن بیش از 150 متخصص مشارکت دارند و در تمرینات دفاعی با هدف بهبود انعطاف‌پذیری و واکنش مناسب شبکه‌های ارتباطی و سایر زیرساخت‌های حیاتی، انواع سناریوهای تهدیدآمیز و حملات سایبری را شبیه‌سازی می‌کنند.

استونی در حال حاضر نسبت به سایر کشورهای جهان کمترین فاصله را با یک «جامعه دیجیتالی» واقعی دارد و البته تا این حد وابستگی به داده‌های دیجیتالی و تکنولوژی‌های ارتباطی چالش‌های خاص خود را دارد. استونی باید بتواند از داده‌های دیجیتالی شهروندان خود در برابر حملات سایبری و حتی حملات نظامی محافظت کند. به همین دلیل استونی به زودی قرار است اولین «سفارت داده»  جهان را افتتاح کند. این سفارت که دارای مجوزها و اختیارات یک سفارت واقعی است قرار است در لوگزامبورگ تاسیس شده و تمام داده‌های عمومی و سیستم‌های اطلاعاتی را درون فضای ابری ذخیره کند. بدین ترتیب در صورت بروز حملات سایبری و نظامی و یا بحران‌های سیاسی عملکرد دولت استونی دچار اختلال نخواهد شد.

حالا دوباره به تعریف جنگ سایبری برگردیم، نکته‌ای که اغلب در تعریف جنگ سایبری نادیده گرفته می‌شود ماهیت نیروی حمله کننده است که تنها محدود به دولت‌ملت‌ها نمی‌شود بلکه نیروهایی غیر از دولت‌ملت‌ها نیز می‌توانند در این جنگ‌ها یک طرف درگیری باشند. برای نمونه می‌توان به گروه حامی بشار اسد با نام «ارتش الکترونیکی سوریه» یا S.E.A. اشاره کرد. اعضای اولیه تشکیل دهنده این گروه که در سال 2011 بنا نهاده شد پیش از این در «جامعه کامپیوتری سوریه» فعالیت می‌کردند. این جامعه که توسط بشار اسد و برادرش تاسیس شده مسئولیت ثبت دامنه‌های محلی سوریه را برعهده دارد. در آغاز فعالیت این گروه بر حملات DDoS و Defacement صفحات — به جهت تغییر شکل ظاهری وب سایت‌ها متمرکز بود. وب سایت‌های قربانی را غالبا رسانه‌های خبری نظیر واشنگتن‌پست، بی بی سی، سی بی اس،  نیویورک تایمز و... تشکیل می‌دادند. اما در اوایل سال 2013 به نظر رسید این گروه از نفوذ مستقیم دولت سوریه خارج شده است، رهبری گروه تغییر کرد، اعضای جدید در این گروه شروع به فعالیت کردند و گروه رفتارهایی را در جهت استقلال از دولت رسمی سوریه بروز داد. اعضای جدید این گروه توسط دو هکر به نام‌های «Th3 Pr0» و «The Shadow» هدایت می‌شوند، فعالیت آنها حالا بیشتر شبیه به گروه‌های ناشناس است تا واحد نظامی پشتیبانی شده از طرف دولت و این تغییر هویت با بررسی یکی از حملات گروه با اعضای جدید معنی‌دارتر می‌شود.

حساب توییتر خبرگزاری آسوشیتدپرس در آوریل 2013 هک شد و ارتش الکترونیک سوریه این متن را توییت کرد: «فوری: وقوع دو انفجار در کاخ سفید و باراک اوباما زخمی شده است». بازار آمریکا به سرعت تحت تاثیر این خبر قرار گرفت و تنها در طول 3 دقیقه‌ای که این توییت در حساب خبرگزاری وجود داشت بورس اوراق بهادار نیویورک 136 میلیارد دلار از سهام خود را از دست داد. می‌توان گفت احتمالا این بزرگترین خسارت اقتصادی است که کشوری مستقیما از یک ارتباط الکترونیکی فریبکارانه با بازیگرانی غیر از دولت‌ملت‌ها متحمل شده است. در پی این حمله اگر نهادهای اطلاعاتی و سایبری ثابت می‌کردند رژیم اسد ارتباط تنگاتنگی با گروه S.E.A. دارد، آمریکا مجبور می‌شد آشکارا به این حمله واکنش نشان دهد چراکه این حمله تبعات زیانبار و خسارات مالی فراوان در جهان واقعی در پی داشته است. به این ترتیب دولت اسد بدون اینکه خود را درگیر کند و با ایجاد ابهام، فریبکاری و عملیات روانی فضای هایل و حایلی میان خود و قوانین و ناظران بین‌المللی ایجاد کرد و توانست منافع خود را در این فضای خاکستری دنبال کند. درست مانند روسیه که که حملات سایبری به استونی را هیچگاه به عهده نگرفت.

به نظر می‌رسد اینگونه حملات فریبکارانه به منظور تاثیرگذاری منفی روی ثبات اقتصادی دولت‌ملت‌ها هر روز در حال افزایش است و احتمالا در آینده نیز بیشتر خواهد شد. حتی امروز شاهدیم که رییس‌جمهور آمریکا نیز از این فن بهره می‌برد و با توییت‌های خود علیه ایران، بازار بورس و نرخ ارز را دستخوش تلاطم و بی‌ثباتی می‌کند. توییتر و شبکه‌های اجتماعی روز به روز قدرتمندتر می‌شوند نه فقط به این دلیل که مردم جهان را به هم وصل و انواع جدیدی از مشارکت را تولید کرده‌اند، بلکه به خاطر اینکه آنها فضاهای ارتباطی انسانی را با فضاهای محاسباتی خودکار مرتبط کرده‌اند. بازارهای مالی جهان هر روز بیش از پیش از سیستم‌های هوش مصنوعی و خودکار برای تحلیل و پیش‌بینی بازار استفاده می‌کنند. این سیستم‌های هوشمند می‌توانند در توییتر و شبکه‌های اجتماعی پیمایش کنند و ترندها را شناسایی و اخبار را تحلیل کنند. به عنوان مثال شرکتی به نام نرِتیو ساینس (Narrative Science) با نرم‌افزارهای خود به نام کوییل (Quill) و لِگزیو (Lexio) در لحظه گزارش‌هایی برای ارزیابی و پیش‌بینی درآمد شرکت‌ها برای وب سایت فوربز (Forbes) تهیه می‌کند و همزمان،  خلاصه گزارش رویدادهای ورزشی را برای وب‌سایت‌های سرگرمی و ورزشی تولید می‌نماید. این نسل از نرم‌افزارها که قابلیت خواندن و تحلیل متن را دارند در آینده نقش بیشتری را در اتصال شبکه‌های اجتماعی به بازارهای مالی بازی خواهند کرد و در نتیجه یک تلاطم در شبکه‌های اجتماعی می‌تواند به سرعت موجی مخرب در بازارهای مالی ایجاد کند.

مورد استاکس نت

تقریبا همه در ایران حداقل یکبار نام ویروس استاکس‌نت را شنیده‌ایم اما استاکس‌نت تنها یک ویروس یا کرم رایانه‌ای جدید نیست بلکه با این ویروس بدافزارها وارد دوران جدیدی از تاریخ خود شدند. این ویروس معنای بدافزار و اهداف آن را تغییر داد. اگر تا قبل از آن ویروس‌های کامپیوتری مزاحم مردم می‌شدند یا اطلاعات شخصی یا کارت اعتباری را می‌دزدیدند اما با استاکس‌نت امکان تخریب ساختمان‌ها و ماشین‌های الکتریکی و حتی کشتار مردم ممکن شده است. این بدافزار کامپیوتری اولین بار برای حمله به تاسیسات غنی‌سازی اورانیوم در نطنز مورد استفاده قرار گرفت. قدرت استثنایی این بدافزار در توانایی آن برای مخفی ماندن و نحوه عملکرد آن است به طوری که با فریبکاری به گونه‌ای در تجهیزات اتمی اختلال ایجاد می‌کرد که آن اختلالات کاملا تصادفی به نظر برسد.

استاکس‌نت با ورود و اجرا شدن در کامپیوتر قربانی نه تنها خود را در شبکه محلی توزیع و در سایر کامپیوترها نصب می‌کرد بلکه از طریق اولین کامپیوتری که به اینترنت وصل می‌شد اطلاعات جمع‌آوری شده را ارسال و نسخه بروزرسانی خود را دریافت می‌کرد. این بدافزار اختصاصا برای دسترسی به سیستم‌های اسکادا (SCADA) و پی ال سی‌های درون سانتریفیوژها طراحی شده بود — اسکادا سامانه‌ای است که سرپرستی و گردآوری داده را در سامانه‌های کنترل و اندازه‌گیری در مقیاس بزرگ انجام می‌دهد و پی ال سی رایانه کنترل‌گر تک منظوره‌ای است که به دلیل ویژگی‌های خاصش بیشتر برای کنترل فرایندهای مکانیکی یا صنعتی مانند خطوط تولید استفاده می‌شود. بعد از نفوذ بدافزار، حمله‌کنندگان قادر بودند از راه دور دستورات مورد نظر خود را در پی ال سی‌ها اجرا کنند و در همان زمان رفتار خود را در سیستم پایشِ اسکادا مخفی کنند و به این ترتیب با ایجاد اختلال مانع غنی‌سازی اورانیوم و ایجاد اغتشاش بین سیستم‌‌های اپراتور اسکادا و کنترلگر پی ال سی شوند.

احتمالا در آغاز بدافزار استاکس نت از طریق مهندسی اجتماعی و فریبکاری، روی حافظه فلش یکی از کارمندان تاسیسات نطنز ذخیره شده است. پس از آن، ویروس از حفره‌های امنیتی زیر بر بستر سیستم‌عامل‌های ویندوز برای ورود، اجرا و توزیع در شبکه استفاده کرده است:

مدت زمانی که این ویروس در تاسیسات اتمی ایران فعال بوده مشخص نیست اما برآورد می‌شود بین 1000 تا 5000 سانتریفیوژ تحت تاثیر این ویروس قرار گرفته‌اند و برنامه غنی‌سازی اورانیوم را ماه‌ها و یا سال‌ها عقب انداخته است. بنابر شواهد موجود، مشخص شده است که استاکس‌نت در آمریکا و در زمان ریاست‌جمهوری جورج بوش (پسر) توسعه داده در زمان اوباما پیاده‌سازی و اجرایی شده است. طبق عادت، آمریکا که معمولا اینگونه حملات سایبری را به گردن اسرائیل می‌اندازد. آمریکا در این مورد هم از همین تاکتیک استفاده کرده است به طوریکه حتی درون کد استاکس نت سرنخ‌هایی گذاشته‌اند تا متخصصین هنگام آنالیز کد و انجام مهندسی معکوس روی بدافزار آن را کار اسرائیل بدانند. مثلا در یکی اولین توابع اجرایی استاکس نت بعد از اینکه تنظیمات چک می‌شود برنامه یک مقدار را با نام «NTVDM TRACE» درون رجیستری ویندوز به آدرس "SOFTWARE\Microsoft\Windows\CurrentVersion\MS-DOS Emulation" چک می‌کند که آیا با «19790509» برابر است یا خیر؟! این عدد به وضوح به تاریخ 9 می 1979 اشاره دارد. در این تاریخ حبیب القانیان رییس انجمن کلیمیان تهران، سرمایه‌دار بزرگ ایرانی و صاحب اولیه ساختمان پلاسکو به دست صادق خلخالی اعدام شده است.

در مورد ساخت چنین نرم‌افزارهای مخربی آنچه عجیب به نظر می‌رسد این است که ماهیت و کد بدافزار بعد از یکبار استفاده شناسایی شده و ظرف مدت کوتاهی در بین هکرها و برنامه‌نویسان دست به دست می‌چرخد و قطعا منجر به ساخت انواع بدافزار با طرز کار مشابه با استاکس‌نت خواهد شد و در نتیجه و به احتمال بسیار زیاد خود آمریکا نیز در معرض خطر حمله اینگونه بدافزارهای خطرناک قرار خواهد گرفت. اگر در جنگ‌های کلاسیک، فناوری ساخت سلاح‌ها و ماشین‌آلات جنگی تا مدت‌ها در تملک کشور سازنده باقی می‌ماند، در جنگ‌های سایبری ابزارهای حملات سایبری را می‌توان به راحتی کپی کرده و بر علیه طرف مقابل استفاده نمود.

ناحیه خاکستری

یکی از ویژگی‌های اصلی در جنگ‌های سایبری، کاربرد فریبکاری و عملیات روانی است و حوزه‌ای که در آینده جنگ‌های سایبری در آن جریان خواهد داشت ناحیه‌ای است که پژوهشگران به آن ناحیه خاکستری می‌گویند. ناحیه خاکستری به عنوان ناحیه‌ای بین صلح و جنگ تعریف می‌شود و تاکنون هنوز این ناحیه به خوبی فهمیده نشده است. در این ناحیه همزمان دولت‌ملت‌ها و نیروهایی غیر از دولت‌ملت‌ها فعال هستند و درگیری‌‌ها در این ناحیه به گونه‌ای است که دشمن واقعی و انگیزه‌های نیروی مهاجم مشخص نیست در نتیجه پاسخ دادن به این حملات نیز دشوار خواهد بود. همچنین به احتمال زیاد بازیگران و گروه‌هایی غیر از دولت‌ملت‌ها نقش بیشتری در جنگ‌های سایبری آینده بازی خواهند کرد. عدم تعهد حقوقی و پاسخگو نبودن این بازیگران در سطوح امنیت ملی و فراملی مانند دادگاه بین‌المللی و شورای امنیت سازمان ملل، مزیتی است که دولت‌ملت‌ها را برای حمایت و استفاده از آنان ترغیب می‌کند. اما باید توجه داشت که همین گروه‌ها با انباشت منابع و قدرتی که بدست می‌آورند ممکن است خود را از دولت‌ملتی که آنها را حمایت می‌کرده است جدا کنند و حتی به طور بالقوه امکان آن را دارند که برای دولتی که پیشتر پشتیبان‌شان بوده است، چالش‌هایی ایجاد کنند.

مجتبی یکتا

منتشر شده در ماهنامه پیشران - شماره 21

دی ماه 1397


پی‌نوشت

[1] R. Parks, D. Duggan, Principles of cyberwarfare, Security Privacy, IEEE 9 (5) (2011) 30–35. doi:10.1109/MSP.2011.138

[2] M. Taddeo, An analysis for a just cyber warfare, in: Cyber Conict (CY-CON), 2012 4th International Conference on, 2012, pp. 1-10.


جنگ سایبریفریبکاری
می‌نویسم برای آدم‌ها و ماشین‌ها - توییتر: twitter.com/mojtaba2a
شاید از این پست‌ها خوشتان بیاید