هکرهای مذاکرات چه کسانی بودند؟

فارس: هفته گذشته بود انتشار گزارشی از سوی یک موسسه روسی خبرساز شد؛ حمله سایبری به هتل‌های میزبان مذاکرات هسته‌ای. تمامی شواهد آنطور که لابراتوار معتبر کاسپرسکای اعلام کرد، به یک واقعیت اشاره دارد، آن هم اینکه اسرائیلی‌ها تلاش کرده‌اند تا از مسیری به جز دوستان آمریکایی و غربی خود به فحوای مذاکرات دست یابند. کاسپرسکای در گزارش خود که مقدمه‌ای شد برای آغاز تحقیقات در سوئیس و اتریش، بدون نام بردن از هتل‌ها و اماکن هدف، اعلام کرد که چندین کشور غربی میزبان مذاکرات هسته‌ای هدف حمله بدافزاری به نام «دوکو 2» بوده‌اند. در همین راستا و با هدف کسب اطلاعات بیشتر از این حمله سایبری، خبرگزاری فارس گفت‌وگویی اختصاصی داشت با «کاستین رایو» (Costin Raiu) مدیر تحقیقات جهانی کاسپرسکای، که می‌گوید احتمال حملات سایبری مشابه در آینده نیز وجود دارد. آقای رایو با اشاره به پیچیدگی‌های این بدافزار، می‌گوید با این حال مهاجمین همواره ردپا و امضایی از خود بر جای می‌گذارند. به گفته وی هکرها در روزهای شنبه، که روز مقدس یهودیان و روز تعطیل اسرائیلی‌هاست، حملاتشان را متوقف می‌کردند. علاوه بر این حملات از جایی در خاورمیانه انجام شده است، جایی با 2 تا 3 ساعت اختلاف زمانی با ساعت جهانی. وی هرچند به دلیل در جریان بودن تحقیقات در مورد این پرونده از افشای تاریخ وقوع این حملات خودداری کرد، اما گفت کاسپرسکای اولین بار در روزهای آغازین بهار امسال متوجه حملات شده‌اند. به گفته وی، در حال حاضر اغلب قربانیان این حملات شناسایی شده و به آن‌ها در این رابطه اطلاع‌رسانی شده است.

به گفته مدیر تیم تحقیقات لابراتوار کاسپرسکای، هرچند این ویروس را تیمی مجزا از تیم سازنده ویروس مخرب «استاکس‌نت» تولید کرده، اما این احتمال وجود دارد که این دو تیم زمانی همکار یکدیگر بوده باشند. وی با این حال گفت اطمینان دارد که این تیم، همان تیمی است که بدافزار معروف «فلیم» (Flame/شعله) را ساختند.

بدافزار شعله در سال 2012 و به صورت مشترک توسط اسرائیل و آمریکا تولید شد و هدف آن جمع‌آوری اطلاعات از برنامه هسته‌ای ایران بود. ( جزئیات بیشتر )

تروجان «گاس» (Gauss) هم از دیگر مواردی است که آقای رایو می‌گوید همان سازندگان دوکو آن را ساخته‌اند؛ بدافزاری که در سال 2012 رایانه‌های بسیاری را در خاورمیانه از جمله لبنان و کرانه باختری آلوده کرد و مأموریتش جاسوسی بود.

در ادامه متن کامل این مصاحبه، که بخش‌های پایانی آن مربوط به اصول فنی مربوط به نحوه پیشگیری از حملات مشابه است، آمده است:

فارس: لطفا ابتدا کمی در مورد حمله و بدافزاری که در آن به کار رفته برای ما توضیح دهید. این بدافزار چه کاری می‌تواند انجام دهد؟

رایو: دوکو بدافزاری پیچیده است که اولین بار در سال 2011 توسط کاسپرکسای شناسایی شده و مورد تحقیق قرار گرفت. هدف اصلی از آن نفوذ به سیستم و تسهیل سرقت اطلاعات شخصی است.

حمله‌ای که اخیرا کاسپرسکای شناسایی کرد شامل برخی ویژگی‌های منحصر به فرد و دیده‌نشده بود و که تقریبا هیچ ردی از خود بر جای نگذاشته است. در این حمله از نقطه ضعف‌های مربوط به ویژگی «روز صفر» (Zero day) استفاده شده و بدافزار پس از بالا بردن سطح دسترسی به راهبر (ادمین) دامین، از طریق فایل‌های MSI (اینستالر نرم‌افزار مایکروسافت) که به طور معمول برای نصب نرم‌افزار روی رایانه‌های ویندوز از راه دور توسط ادمین مورد استفاده قرار می‌گیرند، در شبکه پخش می‌شود. این حمله سایبری، هیچ‌ فایلی از خود بر جای نمی‌گذارد و هیچ تنظیماتی را تغییر نمی‌دهد و همین امر موجب شده تا شناسایی آن بسیار بسیار دشوار باشد. تجربه و تفکر گروه «دوکو 2» یک نسل فراتر از آنچیزی است که تاکنون در دنیای تهدیدات پیشرفته سایبری مشاهده شده است.

آخرین بررسی‌ها بر روی نمونه‌های مربوط به دوکو 2 نشان می‌دهد که در آن‌ها از گواهی‌نامه‌های دیجیتالی قانونی (معتبر) فاکس‌کان، از بزرگترین تولید‌کنندگان قراردادهای الکترونیکی که مشتریانی چون بلک بری، اپل، سونی و غیره دارد، استفاده شده است. استفاده از این گواهی‌نامه‌های دیجیتالی می‌تواند به مهاجمین اجازه دهد تا نرم‌افزارهای مخرب را وارد دستگاه‌های قربانیان کنند، بدون آنکه موانع امنیتی از این امر جلوگیری کنند، چراکه آن‌ها را نرم‌افزارهایی سالم و بدون ایراد و معتبر تشخیص می‌دهند.

فارس: شما چطور متوجه شدید هتل‌های میزبان مذاکرات هسته‌ای مورد حمله قرار گرفته‌اند؟ آیا می‌توانید نام هتل‌ها، شهرها یا کشورها را بگوئید؟

رایو: کاسپرسکای سابقه زیادی در شناسایی و تحقیق در مورد پیشرفته‌ترین حملات سایبری دارد. کاسپرسکای ابتدا متوجه شد که به برخی سامانه‌های داخلی‌اش نفوذ سایبری شده است. پس از آن بود که شرکت تحقیقات گسترده‌ای را در این رابطه آغاز کرد. همین تحقیقات بود که به شناسایی بدافزار پیچیده جدید و برخی از قربانیان آن منجر شد.

قربانیان این بدافزار، در کشورهای غربی و همین‌طور کشورهای خاورمیانه و آسیا بوده‌اند. ما البته به دلیل آنکه تحقیقات در این رابطه در جریان است، مشخصا کشور و محل قربانیان را فاش نمی‌کنیم.

فارس: لطفا در مورد زمانبندی این حملات و همین‌طور زمانی که آن‌ها شناسایی شدند توضیح دهید. آیا کشورهای هدف در همان ابتدا در جریان این حملات قرار گرفتند؟

رایو: اوایل بهار بود که ما متوجه حمله شدیم. نمی‌توانیم تاریخ وقوع آن‌ها را افشا کنیم چراکه این اطلاعات ممکن است به تحقیقات جاری در مورد این رخداد لطمه بزند. در حال حاضر ما داریم با چندین سرویس انتظامی و تیم‌های مربوطه در کشورهایی که قربانیان در آنجا بوده‌اند و همچنین سازمان‌های بین‌المللی مربوط به امنیت سایبری، کار می‌کنیم. اغلب قربانیان پیش از این شناسایی شده و به آن‌ها اطلاع داده‌ایم.

فارس: گفته می‌شود که این بدافزار به آژانس‌های اطلاعاتی و مشخصا سرویس جاسوسی اسرائیل، موساد مرتبط است. آیا مدرک یا شاهدی برای اثبات این احتمال وجود دارد؟

رایو: مانند همیشه، نسبت دادن حملات سایبری اینترنتی (مشخص کردن منشا حملات)، کار دشواری است. در مورد «دوکو»، مهاجمین برای آنکه شناسایی نشوند از پراکسی‌های متعدد و نقاط پرش گوناگون استفاده کرده‌اند تا ارتباطاتشان را بپوشانند. همین امر موجب شده تا ردیابی حملات مسئله‌ای بسیار دشوار باشد.

با این حال، ما کاملا اطمینان داریم که «دوکو 2»، نسخه به روز شده بدافزار مشهور «دوکو» است که در سال 2011 فعال شد و ساخته گروهی است که در سال 2012 پشت پرده رفتند.

ضمن اینکه، مهاجمین همواره ردپایی هم بر جای می‌گذارند. در تحقیقاتی که ما در سال 2011 داشتیم، بر اساس اطلاعاتی که به دست آوردیم، متوجه شدیم که فعالیت‌های مهاجمین در روزهای جمعه کاهش یافته و در روزهای شنبه نیز فعالیتی انجام نمی‌دهند و به نظر می‌رسید که هفته کاری آن‌ها از یکشنبه آغاز می‌شد. به علاوه آن‌ها در روز اول ژانویه (آغاز سال نو میلادی) هم اطلاعات تولید کردند، که نشان می‌داد احتمالا این روز برای آن‌ها روز کاری است. بررسی اطلاعات زمانی باینری همچنین نشان داد که آن‌ها در نقطه‌ای با منطقه زمانی بین 2 تا 3 ساعت جلوتر از گرینویچ (GMT+2 تا GMT+3) هستند. نهایتا حملات آن‌ها عموما روزهای چهارشنبه رخ می‌داد، به همین دلیل هم بود که ما از آن‌ها با عنوان «دار و دسته چهارشنبه» نام بردیم. اغلب موارد زمانی فوق، برای «دوکو 2» هم صدق می‌کند.

فارس: آیا شباهتی میان دوکو 2 و استاکس‌نت وجود دارد؟

رایو: در حالی که به نظر می‌رسد استاکس‌نت حاصل کار چند گروه بوده، اما دوکو پروژه‌ای برای جاسوسی است که احتمالا توسط همان گروهی ساخته شده که ویروس‌هایی چون «فلیم»، «گاس» و «مینی فلیم» را تولید کرده‌اند.

یکی از گروه‌هایی که در ساخت استاکس‌نت نقش داشت، احتمالا گروه موسوم به «ایکوئیشن» بوده است. این گروه «ایکوئشن دراگ»، «دابل فانتسی»، «فنی» و «گری فیش» و ویروس‌های دیگری را تولید کرده است.

هرچند این دو گروه ممکن است در گذشته با هم همکاری کرده باشند، اما به نظر می‌رسد که اکنون جدا هستند، چراکه به عنوان نمونه، یکی از قربانیان دوکو 2، همزمان توسط ایکوئیشن هم مورد حمله قرار گرفته، که این نشان می‌دهد این‌ها دو گروه جداگانه هستند که برای بدست آوردن اطلاعات از قربانیانشان، با هم رقابت می‌کنند.

فارس: آیا راهی هست که بتوان دریافت چه اطلاعاتی به سرقت رفته است؟

رایو: در مورد حمله به لابراتوار کاسپرسکای، مهاجمین به دنبال دارایی‌های معنوی و فناوری‌های مربوطه برای شناسایی و تحلیل تهدیدات سایبری بوده‌اند. داده‌های به سرقت رفته از شرکت به هیچ روی در محصولات تولیدی شرکت نقش بحرانی نداشته است. اینکه چه اطلاعاتی از دیگر قربانیان به سرقت رفته، از سوی مراجع قانونی در حال بررسی است.

فارس: آیا ادامه مذاکرات در هتل‌ها و مکان‌هایی که هدف حمله قرار گرفته‌اند، از لحاظ امنیتی مقدور است؟

رایو: باید اقدامات احتیاطی در آن هتل‌ها و دیگر مکان‌ها انجام شود، چراکه ممکن است هتل‌های دیگر هم وقتی شناسایی شدند، مورد حمله قرار بگیرند.

فارس: آیا حمله محدود به کامپیوتها بوده یا گوشی‌های همراه مذاکره‌کنندها هم ممکن است هدف بوده باشند؟

رایو: این تهدید دستگاه‌هایی که سیستم عامل ویندوز شرکت مایکروسافت (32 بیت و 64 بیت) را را نصب کرده‌اند مورد هدف قرار داده است. هنوز هیچ مورد حمله به گوشی همراه یا دستگاهی مبنتی بر سیتم عامل مک یا یونیکس، مشاهده نکرده‌ایم.

فارس: چه شاخص‌هایی برای حفاظت مذاکرات حساس از اینگونه حملات، میبایست در نظر گرفته شود؟

رایو: ما چهار شاخص ساده ولی بسیار موثر زیر را پیشنهاد می‌کنیم:

اطمینان حاصل کنید که محصولات کاسپراسکای روی تمام کامپیوترهای محل شامل سرویس‌دهنده‌ها، پراکسی‌ها و هر نوع کامپیوتر دیگر نصب شده باشد.

با بکاربردن بروزآوری ویندوز مایکروسافت، سیستم عامل ویندوز را با آخرین نسخه آن بروز کرده‌اید. همچنی« اطمینان حاصل کنید که بسته بروزآوری هر سه‌شنبه از 9 ژوئن 2015 مایکروسافت را نصب کرده‌اید.

تمام کامپیوترها را به یکباره ریبوت کنید برای اینکار می‌توانید قطع برق را شبیه‌سازی کنید. ریبوت کردن همه سیستم‌ها در یک لحظه واحد از آن جهت مهم است که بدافزار نتواند در یکی از سیستمها جان به در ببرد و بعدا خود را در سایر سیستم‌ها بازنشر کند.

همه گذرواژه‌ها را تغییر دهید.

استراتژی‌های عمومی زیر می‌تواند به کاهش حملات دوکو 2 کمک کند:

بروزآوری و ریبوت کردن همه دستگاه‌ها در شبکه به صورت دوره‌ای (کنترل‌کننده‌های دامین را نیز شامل شود). ریبوت کردن به خارج شدن بدافزار فعال از حافظه سیستمها منجر می‌شود.

اطمینان حاصل کنید که تمام سرویس‌دهنده‌ها ویندوز 64 بیتی را اجرا می‌کنند. این امر مهاجمین را وامی‌دارد تا از درایورهای امضا شده را برای مکانیزم پایداری بکار بندند.

بصورت دوره‌ای (هر یک تا دو ماه) همه گذرواژه‌ها را تغییر دهید و از کلمات عبور پیچیده و قوی بهره ببرید که بیش از 20 کاراکتر باشند و روش قدیمی هش‌های اِل-اِم ویندوز را از کار بیاندازید.

ما برای کاربران پیشرفته‌تر، قوانین و ابزاری آماده کرده‌ایم که می‌تواند آسیب را در بلاک‌های برگرفته از حافظه و لیست وقایع ثبت شده سیستم شناسایی کند.