پرچم دروغین در دنیای سایبری؛ مروری کوتاه بر فریبکاری هکرهای روس


فریب و نیرنگ همواره بخشی از کتابچه راهنمای هکرها بوده است. هکرهای عادی معمولاً ردپای خود را پنهان می کنند تا شناسایی نشوند، اما هکرهای زبده هویت خود را تغییر می دهند و خودشان را به عنوان گروهی دیگر با ملیت متفاوت جا می زنند. منظورمان از هکرهای زبده، هکرهای روس هستند که همیشه یک گام جلوتر از جامعه زیرزمینی پیش می روند و با عملیات پرچم دروغین مرزها را جابجا می کنند.

دیپ فیک

چندی پیش خبری منتشر شد مبنی بر اینکه هکرهای روس با سوء استفاده از زیرساخت های سایبری گروه های ایرانی دست به عملیات جاسوسی و خرابکاری در کشورهای دیگر می زنند. آژانس امنیت ملی آمریکا (NSA) و ستاد ارتباطات دولت انگلستان (GCHQ) مدعی شده اند یکی از معروف ترین گروه های هکری روس به نام تورلا یا واترباگ، سالهاست که به شکل جدیدی جاسوسی می کند: این گروه به سرورهای گروه هکری ایرانی موسوم به OilRig نفوذ کرده و از طریق آنها، حملات سایبری دولت روسیه را ترتیب می دهد.

هکرهای روس به نقاب قانع نیستند و هویت دیگران را جعل می کنند

اطلاعات به دست آمده از شرکت امنیتی سیمانتک به ابعاد گسترده حملات تورلا اشاره می کند. تیم هکر روسی در ۳۵ کشور به جاسوسی پرداخته و در تمامی موارد، انگشت اتهام را به سمت هکرهای ایرانی معطوف کرده است. البته مقامات کشورمان و به خصوص آذری جهرمی، وزیر ارتباطات، این ادعا را رد کرده اند و ما هم به صحت و سقم این ادعا کاری نداریم. داستان اصلی این است که فعالیت های اخیر گروه تورلا و هکرهای روس، برگ جدیدی را در دفتر امنیت سایبری گشوده است. هکرها دائماً رنگ عوض می کنند و روش های تازه ای برای مخفی کردن خود به کار می گیرند. می توان گفت پیش از این با گروه های نقاب دار روبرو بودیم اما گروه های جدید، هویت دیگران را مثل لباس به تن می کنند.

در ادامه روش های فریبکاری و عملیات پرچم دروغین هکرهای روس را مرور می کنیم که طی چند سال اخیر کشف شده اند.

جعل هویت گروه های کنشگر اجتماعی (هکتیویست ها)

از اوایل سال ۲۰۱۴ میلادی، هکرهای روس تصمیم گرفتند موج جدیدی از سردرگمی را ایجاد کنند. ماه مه ۲۰۱۴ گروهی به نام «سایبر برکوت» (Cyber Berkut) کمیسیون مرکزی انتخابات اوکراین را هک کرد. Berkut در زبان اوکراینی به معنای عقاب است و گروه مسلحی به همین نام، از رژیم طرفدار روسیه در اعتراضات اوکراین حمایت کرده و بیش از ۱۰۰ معترض را کشته بودند. هکرهای سایبر برکوت پیامی سیاسی را تحت لوای گروه های کنشگر سیاسی-اجتماعی در این سایت منتشر کرده و دولت اوکراین را به فساد متهم نمودند. آنها سپس تصویر جعلی از نتایج انتخابات را روی این سایت آپلود کرده و توانستند کاندیدای گروه راست افراطی یعنی «دمیترو یاروش» را پیش بیاندازند.

اگرچه کمیسیون انتخابات اوکراین توانست این تصویر جعلی را قبل از اعلام نتایج واقعی انتخابات از سرورهایش حذف کند، اما رسانه های روس بر اساس همین تصویر به خبرسازی پرداختند. همه شواهد از همکاری پشت پرده هکرها، شبکه های تلویزیونی روسیه و کرملین حکایت داشت و بعداً مشخص شد این گروه، در واقع شاخه ای از گروه هکری وابسته به ارتش روسیه به نام APT28 ملقب به Fancy Bear است.

هکرهای دولتی روسیه در قالب هکتیویست های رومانیایی به نهادهای آمریکایی حمله کردند

طی سال های بعد، دولت روسیه بارها از پوشش گروه های کنشگر اجتماعی و سیاسی برای رسیدن به اهداف خود استفاده کرد. گروهی به نام «خلیفه سایبری» در سال ۲۰۱۵ ایستگاه تلویزیونی TV5Monde فرانسه را هک کرده و پس از انتشار محتوای تروریستی، کامپیوترهای این شبکه را از بین برد. ابتدا گمان بر این بود که داعش توانسته به شبکه نفوذ کند، اما آژانس اطلاعاتی فرانسه به سرعت ارتباط بین این حمله و دولت روسیه را فاش ساخت. در سال ۲۰۱۶ نیز شرکت امنیتی CrowdStrike توانست دست داشتن روسیه در حمله به کمیته ملی دموکرات آمریکا و کمپین انتخاباتی هیلاری کلینتون را برملا کند. هکرهای روس در لباس گروه هکتیویست رومانیایی به نام Guccifer 2.0 مسئول این حملات و سپس افشای اسناد از طرق وب سایت DCLeaks بودند.

حملات باج افزاری تقلبی

اواخر سال ۲۰۱۶ بود که هکرهای روس، استراتژی خودشان را تغییر دادند. دسامبر ۲۰۱۶ کارشناسان مؤسسه امنیت سایبری ESET گروه هکری وابسته به دولت روسیه به نام Telebots (ملقب به Voodoo Bear یا Sandworm) را مسئول حملات تخریبی به شبکه های اوکراین معرفی کردند. در برخی موارد، عبارت «ما اف سوسایتی هستیم، به ما بپیوندید» روی کامپیوترهای قربانی به نمایش در می آمد، پیامی که به گروه هکری آشوب طلب سریال پرطرفدار «مستر روبات» اشاره داشت. در همین زمان، هکرهای دیگری با حملات باج افزاری درخواست پرداخت باج از طریق بیتکوین را داشتند.

«جیمز لوئیس» مدیر برنامه فناوری های راهبردی مرکز تحقیقات بین المللی و استراتژیک می گوید: «وقتی ترفندهای قدیمی آنها رو می شود، روش های جدیدی را آزمایش می کنند».

بدافزار NotPetya مخرب ترین حمله سایبری تاریخ را شکل داد

بهار ۲۰۱۷ هکرهای دولتی روسیه برای پوشش حملات خرابکارانه خود به طور کامل به باج افزارها متوسل شدند و مخرب ترین بدافزارها را روانه اهداف اوکراینی کردند: بدافزارهایی به نام XData و NotPetya و Bad Rabbit. بدافزار NotPetya هیچ راهی برای بازیابی و رمزگشایی فایل های قفل شده باقی نمی گذاشت، حتی اگر قربانی باج ۳۰۰ دلاری را می پرداخت. سرعت انتشار این بدافزار به حدی بود که تمام زیرساخت های اوکراین را از کار انداخت و مخرب ترین و پر هزینه ترین حمله سایبری تاریخ نام گرفت. آژانس های اطلاعاتی و کارشناسان سایبری استرالیا، کانادا، نیوزیلند، انگلستان و آمریکا پس از هشت ماه تلاش، توانستند ردپای هکرهای دولتی روس را در این حملات پیدا کنند.

ابزارهای عاریه

اوایل سال ۲۰۱۸ نوآوری روسیه در عملیات فریب به اوج رسید. در این زمان هکرهای دولتی روسیه به تلافی محرومیت ورزشکاران روسیه به خاطر دوپینگ، زیرساخت آی تی المپیک زمستانی پیونگ چانگ را هک کردند، اما بررسی بدافزار مورد استفاده موسوم به «المپیک دسترویر» نتایج عجیبی را در پی داشت. محققین در این بدافزار، ردپای کدهای مخرب مورد استفاده توسط هکرهای دولتی روس، کره شمالی و حتی چین را پیدا کردند. این حمله را به نبرد روانی در حوزه سایبری با مهندسی معکوس تشبیه کرده اند.

روس ها برای فریبکاری در حملات خود از بدافزارهای کره شمالی و چین هم استفاده می کنند

حل معمای «المپیک دسترویر» چند هفته ای طول کشید تا نهایتاً تحلیلگران FireEye و کسپرسکی توانستند ارتباط بین اسناد فیشینگ مورد استفاده برای تزریق این بدافزار و مجموعه فایل های آلوده حملات قبلی را کشف کنند. بسیاری از اهداف قبلی، قربانیان شناخته شده هکرهای روس و به خصوص نهادهای دولتی و فعالان اوکراینی بودند. مؤسسه FireEye دامنه مورد استفاده برای کنترل این اسناد آلوده را نیز بررسی کرد و متوجه شد که همین دامنه برای حمله به شورای انتخابات دو ایالت آمریکا در سال ۲۰۱۶ به کار گرفته شده است.

اگرچه مؤسسه FireEye به یافته های خود مطمئن بود، ولی کشفیات جدید در مورد گروه تورلا نشان داد حتی این نتایج نیز می توانند گمراه کننده باشند. نفوذ هکرهای روس به زیرساخت های هکری کشورهای دیگر می تواند به راحتی محققان امنیتی را سردرگم کند تا حملات را به دیگر کشورها (از جمله ایران، چین یا کره شمالی) نسبت دهند. به گفته لوئیس، روس ها در لیگ دیگری بازی می کنند.

هدف نهایی روس ها از این حملات دروغین کاملاً واضح است؛ آنها در درجه اول باعث ایجاد سردرگمی و گمراهی می شوند تا به راحتی در دام نیفتند. سپس با پوشیدن لباس گروه های هکری دیگر کشورها، نگاه ها را متوجه آنها می کنند و در نهایت این باور را به وجود می آورند که به آمریکا یا دیگر سازمان های اطلاعاتی نمی شود اعتماد کرد؛ همه دروغ می گویند.

تا به امروز، پنهانکاری هکرهای روس به طریقی فاش شده و هنوز کشور دیگری به خاطر عملیات خرابکارانه روس ها متهم نشده، اما باید منتظر باشیم و ببینیم در آینده چه رخ می دهد؛ شاید همین حالا بزرگ ترین عملیات پرچم دروغین در حال اجرا باشد.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *