سمیه مهدوی پیام
هرچند تهدیدات سایبری ایران، در بین دیگر مهاجمان معروف به «CRINK»، شامل چین، روسیه و کرهشمالی، اغلب در آخرین جایگاه قرار میگیرد اما خطرات ناشی از تهدیدات این کشور، به سرعت در حال افزایش است و از خرابکاری ساده سایتها به سمت حملات علیه زیرساختهای ملی حیاتی (CNI) و اخیرا مداخله مهم در انتخابات آمریکا، تکامل یافته است.
به گزارش ITPro، در ماه اوت، مقامات اطلاعاتی ایالات متحده تایید کردند ایران پشت حمله به کارزار انتخاباتی دونالد ترامپ بوده است. افبیآی، دفتر مدیر اطلاعات ملی و آژانس امنیت سایبری و زیرساخت (CISA)، در بیانیه مشترک اعلام کردند که ایرانیها از مهندسی اجتماعی برای نفوذ به افرادی با «دسترسی مستقیم به کارزارهای انتخاباتی هر دو حزب سیاسی» استفاده کردهاند.
بنابراین جای تعجب نیست که در ماه سپتامبر، نیویورک تایمز، ایران را به عنوان «تهدید اصلی اطلاعات نادرست» در ایالات متحده معرفی و این کشور را به دلیل «موج هکها و وبسایتهای جعلی» که هدف آنها بدنام کردن دموکراسی آمریکا و «احتمالا تغییر نتیجه انتخابات» است، سرزنش کرد. با توجه به این موارد، آیا مشخص نیست تهدیدات ایران و همراهانش چقدر بزرگ است و چگونه بر کسبوکارها تاثیر میگذارد؟
- مروری کوتاه بر تهدیدات سایبری ایران
با توجه به رویدادهایی مانند حمله به کارزار انتخاباتی ترامپ، این، اولین بار نیست که ایران به حملات سایبری بزرگ متهم میشود. یکی از اولین فعالیتهای سایبری تهاجمی ایران، در زمان نتیجه انتخابات ریاستجمهوری این کشور در ژوئن ۲۰۰۹ بود که با اتهام تقلب، مواجه و به اعتراضات منجر شد.
(توضیح عصر ارتباط: انتساب حملات سایبری به ایران مساله جدیدی نیست و سالهاست که به کرات از سوی رسانهها و شرکتهای آمریکایی و غربی دنبال میشود. این در حالیست که ایران وقوع این حملات را تکذیب کرده و مشخصا درباره ادعای حمله به کمپینهای ترامپ و هریس خواستار ارایه مستندات در این زمینه شد که اطلاعات بیشتری در این خصوص منتشر نشده است.)
قبل از آن در سال ۲۰۱۰، ایران، خودش قربانی تهاجمی مشهور به حمایت دولتها از آن حمله شد. به نظر میرسد این هجوم سایبری توسط ایالات متحده و اسرائیل انجام شده باشد و کرم استاکسنت، سیستمهای مبتنی بر SCADA که زیرساختهای ملی حیاتی را تحت پوشش داشت، هدف حمله خود قرار داد. این هجوم سایبری که سانتریفیوژهای یک کارخانه هستهای ایران را تحتتاثیر قرار داد، برنامه هستهای این کشور را برای سالها به تاخیر انداخت.
همچنین در سال ۲۰۱۲، سرویسهای اطلاعاتی آمریکا، ایران را با بدافزاری به نام کرم «شامون» که زیرساختهای ملی حیاتی (CNI) را هدف قرار میداد، مرتبط دانستند. از سوی دیگر، حمله به آرامکو، شرکت ملی نفت عربستان سعودی، نقطه عطف مهم در تلاشهای جنگ سایبری در منطقه بود. فیلیپ اینگرام، سرهنگ سابق اطلاعات نظامی بریتانیا، شامون را به عنوان «یک پاککننده مخرب که خسارات قابلتوجهی وارد کرد» توصیف میکند.
- تهدید سایبری ایران: اهمیت رو به رشد
از آن زمان، ایران به عنوان «یک بازیگر مهم سایبری» ظاهر شده است. در این زمینه، اینگرام به ITPro میگوید که ایران «هنوز در سطح بالای روسیه و چین نیست» اما «یک بازیگر قوی و سطح دوم خوب» محسوب میشود. نهادهای نظامی ایران در خط مقدم تلاشهای جنگ سایبری ایران قرار دارند و از تاکتیکهای پیشرفته مانند باجافزارها، بدافزارها و بکدور (دربهای پشتی) برای هدف قرار دادن زیرساختهای حیاتی و دادههای حساس استفاده میکنند. اینگرام میافزاید: «تمرکز اصلی ایران بر خاورمیانه، از جمله اسرائیل و عربستان سعودی، و نیز منافع آمریکا و بریتانیاست.»
تورنتون-ترامپ، ایران را به عنوان «چاقوی ارتش سوئیس در قابلیتهای سایبری» توصیف و خاطرنشان میکند که این کشور احتمالا به دلیل آموزش و حمایت از سوی روسیه و چین. سریعتر از آنها پیشرفت کرده است.
در فوریه ۲۰۲۴، مایکروسافت مدعی شد، هکرهای وابسته به ایران را شناسایی کرد که از هوش مصنوعی مولد برای کمک به مهندسی اجتماعی، رفع اشکال نرمافزار و نحوه اجتناب از شناسایی در شبکههای نفوذکرده در آن استفاده میکردند. مایکروسافت نمونههایی از فعالیتهای سایبری ایران که با کمک هوش مصنوعی انجام شده، ارائه و بر لزوم افشای تلاشهای اولیه قبل از بهبود استراتژیهای حمله تاکید کرد.
تورنتون-ترامپ هشدار میدهد: «ایرانیها به طور مداوم در حال توسعه و بهبود تواناییهای سایبری هستند و اکنون، به نظر من، در سطحی برابر با روسیه و چین قرار دارند.»
- گروههای تهدید برجسته ایرانی
جوانا ماکاكانجا، تحلیلگر تحریریه CTI در شرکت Cyjaxنیز مدعی است تقریبا تمام گروههای تهدید برجسته ایرانی از سوی دولت حمایت میشوند. او به عنوان نمونه به گروه Imperial Kitten اشاره میکند که در سال ۲۰۱۷ شکل گرفت. برخی از اولین فعالیتهای گزارششده توسط این گروه نشان میدهد کهنه سربازان آمریکایی که به دنبال شغل بودند از طریق وبسایتهای مخرب هدف قرار داده میشدند. وی میگوید: «انگیزه اصلی این گروه، جمعآوری اطلاعات به منظور جاسوسی سایبری است.»
علاوه بر این، گروه APT33 نیز هرچند حداقل از سال ۲۰۱۳ فعال بوده اما در سال ۲۰۱۷ به دلیل حملات گسترده به بخشهای هوافضا و انرژی آمریکا و عربستان سعودی مشهور شد. انگیزه حملات این گروه، جمعآوری اطلاعات است. به ادعای ماکاكانجا، «این گروه، اطلاعات مالکیت معنوی و اطلاعات شناسایی شخصی را سرقت میکند تا اهداف دولت ایران را پیش ببرد.»
همچنین موجودیت گروه APT42، گروه تهدیدی که گفته میشود مورد حمایت دولت ایران است، به سال ۲۰۱۵ برمیگردد. کِن دانهم، مدیر تهدید سایبری در واحد تحقیقاتی تهدیدات Qualys میگوید: «تخصص گروهAPT42 ، فیشینگ هدفمند با حملات اجتماعی پیچیده است که به منظور نفوذ به اهداف خاص برای نظارت، طراحی شده است.» به گفته دانهم، این گروه، عملیاتهای «گستردهای» انجام میدهد. این عملیات، استفاده از هویتهای جعلی در پلتفرمهای اجتماعی برای تعامل هدفمند و جمعآوری دادهها را شامل میشود.
الکساندار میلنکوسکی، محقق ارشد تهدیدات در SentinelLabsشرکت فعال در حوزه تحقیقات درباره تهدیدات سایبری معتقد است گروههای تهدید مشکوک ایرانی از تاکتیکهای متنوع برای دسترسی اولیه، مانند فیشینگ، مهندسی اجتماعی و بهرهبرداری از آسیبپذیریها استفاده میکنند. به عنوان مثال، گروهAPT42 درگیر «مکاتبات گسترده» با سازمانها یا افرادِ هدف است تا «اعتماد ایجاد کرده و پیش از شروع فعالیتهای مخرب، ارتباط برقرار کند.» میلنکوسکی میگوید: «این گروهها، از روشهای مختلف ارتباطی، از جمله ایمیل و پلتفرمهای پیامرسان فوری مانند واتساپ، استفاده میکنند.»
- آینده تهدیدات سایبری ایران
به گفته آدام دارا، معاون رئیس اطلاعات شرکت ZeroFox، تهدید ناشی از گروههای پشتیبانیشده توسط ایران، واقعی است و کسبوکارها در بخشهای مختلف باید این تهدید را در کنار تهدیدات سایر کشورها مدنظر قرار دهند. هر سازمانی که اطلاعات حساس دارد، بهویژه اگر با فرایند سیاسی مرتبط باشد، هدف مناسبی برای آنها محسوب میشود.
دارا توصیه میکند کسبوکارها اطلاعات تهدیدات سایبری خود را تقویت کرده و از مدیریت وصله (patch) مناسب برای آسیبپذیریها و نیز استراتژیهای پشتیبانگیری (backup) اطمینان یابند. ضمنا منابع اضافی مانند مشاوره CISA درباره تهدیدات دولتی به طور منظم بهروز میشوند و میتوانند برنامههای داخلی را تقویت کنند. دارا اضافه میکند: «از آنجا که این گروهها اغلب به دنبال هدف قرار دادن اطلاعات حساس هستند، کسبوکارها باید اطمینان یابند دادههایشان همیشه به طور منظم از طریق سرورهای امن، خارج از سایت یا ابری، پشتیبانگیری میشود.»
به گفته ماکاكانجا، هدف بسیاری از گروههای تهدید ایرانی، جمعآوری اعتبارنامههای سرقتشده در دارکوب و نفوذ به اکانتهای ایمیل برای جمعآوری دادهها و انجام فعالیتهای مخرب بیشتر است. او معتقد است جلوگیری از تلاشهای دسترسی اولیه، «کلید محافظت سازمانها از فعالیتهای مخرب بیشتر، مانند استقرار بدافزار، از جمله دربهای پشتی و سارقان اطلاعات است.»
طبق ادعای ماکاكانجا، فیشینگ و فیشینگ نیزهای (هدفمند)، اصلیترین مسیرهایی هستند که این گروهها برای دستیابی به اعتبارنامهها و حسابهای ایمیل استفاده میکنند. او توصیه میکند کاربران با آگاهی از تاکتیکهای رایج فیشینگ، این تهدیدات را کاهش دهند.
ماکاکانجا به عنوان بخشی از این اقدامات، پیشنهاد میکند منبع ایمیلهایی که حاوی لینک یا پیوست هستند، تایید کنید و شماره تلفنها و آدرسهای ایمیل رسمی را در وبسایتهای معتبر بررسی نمایید: «پیادهسازی احراز هویت چندعاملی (MFA) و استفاده از گذرواژههای قوی و منحصربهفرد نیز میتواند احتمال به خطر افتادن حساب را کاهش دهد.»