پرونده لاینحل یک حمله هکری از داخل کشور

کفتار سایبری دوباره آغاز به کار کرد؟

اینکه یک باند تبهکار به شکل شبانه‌روزی در کوچه و خیابان شهر بچرخد، مردم را تهدید به اخاذی کند و به مال و اموال آنها آسیب برساند و به راحتی از دست قانون و پلیس فرار کند، اتفاق خوشایندی نیست. این وضعیت وقتی بدتر می‌شود که این باند تبهکار مرتبا دست به اعمال مجرمانه بزند و باز هم کاری از دست کسی بر نیاید.

در مورد فضای مجازی نیز وضع به همین منوال است و اگر قرار باشد مجرمان آزادانه و به‌طور مرتب دست به جرایم موفقی بزنند، اوضاع چندان خوب نیست. در این گونه موارد اما تا زمان پیدا شدن احتمالی مجرم یا مجرمان معمولا دو راهکار وجود دارد.

نخست اینکه کسب‌وکار یا سایتی که مورد حمله سایبری قرار گرفته برای جلوگیری از ضربه به اعتبارش، اخبار این حملات را درز ندهد و گاه حتی به پلیس هم گزارش داده ‌نشود و مشکلات فنی را علت از کار افتادن سایت اعلام کند نه مشکلات امنیتی و حملات سایبری را.

دوم اینکه دستگاه‌ها و نهادهای مسوول برخورد با مجرمان سایبری و تامین امنیت مجازی کشور، از اطلاع‌رسانی تا حصول نتیجه و یافتن سرنخ‌های مطمئن جلوگیری کنند.

اسفند ماه سال 97 از ظهور یک جریان مشکوک هکری در فضای سایبری کشور خبر دادیم که رسانه‌ها نام آن را «کفتار سایبری» گذاشته بودند. منشا حملات مذکور ظاهرا داخلی بود. ماجرای کفتار سایبری وقتی پررنگ‌تر شد که او به سایت روزنامه فناوران اطلاعات نیز بابت انتشار خبر این حملات حمله کرد. از آن پس موضوع بیشتر رسانه‌ای شد و چند رسانه دیگر از جمله هفته‌نامه عصر ارتباط نیز گزارش‌هایی در خصوص مهاجمان منتشر کردند تا دایره حملات و اقداماتش محدود شود و دستگاه‌های مسوول اقدامات سریع‌تری برای مهار آنها به عمل آورند.

نکته‌ای که اما اعمال مجرمانه کفتار سایبری را مشکوک می‌کرد این بود که او در جریان گفت‌وگو با برخی قربانیان خود مسایلی را مطرح می‌کرد که این گمانه را ایجاد کرده بود که این حملات سفارشی و با هدف هدایت برخی کسب‌وکارها به سمت یک سری از سرورهای خاص صورت می‌پذیرد.

در واقع این‌طور به نظر می‌رسید که ظاهرا او به برخی حمله می‌کند و برخی سرورها نیز نوعی مصونیت یا هماهنگی با او دارند!

در نهایت اما کسی حریف کفتار سایبری نشد و او به دام نیفتاد. هفته قبل اما مجددا و به شکل کاملا محدود اخباری از حملات هکری به کسب‌وکارهای داخلی مطرح شد که شباهت زیادی به مدل رفتاری کفتار سایبری داشت و همان مسایل قبلی در اواخر سال 97 را زنده کرد. سوال اینجاست که آیا کفتار سایبری دوباره کسب‌و‌کار خود را از سر گرفته است؟ آیا همچنان امکان شناسایی و از کار انداختن او فراهم نیست؟

ابتدا مروری مختصر داریم به ماجرای کفتار سایبری در سال قبل و سپس خبری که هفته قبل منتشر شد مبنی بر حملات DDoS به سامانه ارزی کشور.

«قدرت‌نمایی مشکوک» کفتار سایبری در ایران

اواخر اسفند ماه سال گذشته مانور و قدرت‌نمایی کفتار سایبری در ایران مساله‌ساز شده و باعث نمایش ضعف‌ها، ابهامات و بلاتکلیفی‌های مهمی در امنیت فضای سایبری کشور شد.

نوع حمله کفتار سایبری نه جدید بود، نه پیچیده. حملات DDoS یا Distributed Denial of Service، یکی از رایج‌ترین و قدیمی‌ترین نوع از حملات هکری در دنیا محسوب می‌شود. در این نوع حمله، حجم زیادی تقاضای کاذب به سمت سرور هدف یا قربانی صادر می‌شود که در نهایت باعث کندی و حتی از کار افتادن سرور می‌شود.

اگرچه به گفته مسوولان سازمان فناوری اطلاعات و شرکت ارتباطات زیرساخت، این حملات از 60 تا 90 درصد شناسایی و مهار می‌شود اما باوجود گذشت بيش از شش ماه از اين حملات همچنان كفتار سايبري شناسايي نشده و به نظر می‌رسد حالا او دوباره بازگشته و در حال رقم زدن اقدامات جديدي است.

در هنگام بروز حملات اوليه كفتار سايبري در سال گذشته بسياري از تحليلگران اين حملات را بخش کوچکی از آثار ماه‌ها بمباران و تشویق ایرانی‌ها به نصب انواع فیلترشکن‌ها و انبوهی از اپلیکیشن‌های نامعتبر دانستند كه البته اين مشكلات همچنان هم پابرجا هستند.

در اين ميان برخي نيز فرضیه دیگري در خصوص تحرکات مشکوک کفتار سایبری در ایران داشتند و معتقد بودند که هدف اصلي اين حملات تشويق قربانیان به مهاجرت به سروري خاص برای مصون ماندن از تداوم حملات یا بی‌اثر گذاشتن آنها، بوده است.

انگيزه و اهداف حملات ديداس در هاله‌اي از ابهام

اگرچه کفتار سایبری(عامل حمله در اسفند97) ظاهرا از کسب‌وکارهای مورد حمله، تقاضای بیت‌کوین داشته که قاعدتا موفق به اخاذی نشده بود. اما سوال اینجا بود که چرا عامل حمله سراغ موضوعات جذاب‌تری نرفته است. برای مثال، چرا به سایت‌های عرضه اینترنتی گوشت حمله نکرده یا به سایت‌های دو شرکت خودروساز یعنی ایران‌خودرو یا سایپا که در حال پیش‌فروش اینترنتی هستند نرفته است؟

به هر حال توقف کار سایت‌های محدود عرضه گوشت که در آن ایام کارکرد آنها مهم بود یا سایت‌های پرکاربرد و مورد نیاز مردم می‌توانست چالش‌های مهم‌تری را ایجاد کند؛ اتفاقی که البته تا کنون رخ نداده و برای کفتار سایبری جذابیتی نداشته است. ظاهرا او دنبال ضربه زدن یا تخریب نبوده و صرفا دنبال اخاذی، باج‌گیری یا هدایت غیرمستقیم کسب‌وکارهای اینترنتی به سمت خاصی بوده است.

در آن مقطع و در هنگام بروز حملات اوليه كفتار سايبري تماس با مرکز ماهر و پلیس فتا، به واکنش سریع و خاصی منجر نشده و مرکز ماهر ظاهرا اعلام کرده بود که «اقداماتی را در دست انجام» دارند و پلیس فتا هم اعلام کرده بود که با در اختیار داشتن شکواییه و جزيیات مکتوب حمله، مراجعه شود تا اقدامات لازم به عمل آید.

در هنگام بروز اولين حمله كفتار سايبري سجاد بنابی، عضو هیات‌ مدیره شرکت زیرساخت در پاسخ به پرسشي درباره اینکه آیا سرویس‌ DDoS Protection روی اینترنت ایران فعال است، توضیح داده بود: بله بر اساس قانون روی Gateway اینترنت بین‌الملل این سرویس وجود دارد. علاوه بر این، لینک‌هایی وجود دارد که از حفاظت بهتری برخوردارند و در هنگام حمله اخیر نیز با جابه‌جایی لینک‌ها، جلوی حملات DDoS از خارج از کشور را گرفتیم.

وی با بیان اینکه در حملات اسفند ماه 97 حمله از خارج از کشور صورت گرفته و بقیه منشا داخلی دارد، مدعي شده بود: زیرساخت آمادگی دارد که روی شبکه ملی اطلاعات نیز سرویس DDoS Protection  را راه‌اندازی کند.(اما) این موضوع در داخل کشور عملا یک کسب‌وکار است و برخی‌FCPها هم همین الان اینترنت Protected با تعرفه گران‌تر از اینترنت معمولی ارایه می‌دهند.(لذا) زیرساخت برای اینکه با بخش خصوصی رقابت نکند، وارد حوزه Protection داخلی نشده است.

وي گفته بود: اگر حاکمیت تشخیص دهد بخش خصوصی توان فعالیت در حوزه DDoS Protection را ندارد، شرکت زیرساخت آمادگی سرمایه‌گذاری در این حوزه را دارد. ولی تا امروز حاکمیت چنین نظری نداشته و ما هم تا امروز ابا داشتیم این پیشنهاد را بدهیم؛ زیرا DDoS Protection تجارت سودآوری است.

به هر حال از آن زمان تا کنون خبری از سرنوشت هیچ‌کدام از مواردی که ذکر شد نیست.

حمله هکرها به سامانه ارزی کشور

پس از بلاتکلیفی یا بی‌سرانجامی اقدامات لازم در خصوص حملات اسفند 97، عاقبت مشكل چند ماه بعد باري ديگر سربرآورد. شنبه ششم مهر ماه 98 در خبری از سوی شبکه خبر اشاره شد كه سامانه ارزی کشور مورد حمله DDoS قرار گرفته است.

در ابتدا گزارش حمله دیداس از سوی روابط عمومی یکی از سامانه‌های ارزی شروع شد و پس از آن در مدت کوتاهی باقی سامانه‌های مربوط به حوزه ارز نیز درگیر حمله زامبی‌ها شدند.

مسوول امنیت یکی از پایگاه‌هایی که مورد حمله قرار گرفته بود گفته: ابتدا در تماسی با مسوولان سایت، درخواست پول کردند و اعلام کردند اگر پولی که مدنظر آنهاست پرداخت نکند کاری می‌کنند که سایت از دسترس خارج شود. هرچند مکانیزم‌هایی برای مقابله با این حمله در نظر گرفته شده بود اما فشار و شدت حمله به شدتی زیاد بود که باز هم سایت داون شد. گفته می‌شود حدود 15 هزار بات فقط در یک روز شناسایی شده است.

اين بار هم همچون مورد اسفند 97، حملات فقط مخصوص یک پایگاه نبوده و سایت‌های زیادی مورد حمله قرار گرفتند و گفته مي‌شود حجم حملات اتفاق افتاده 20 برابر استانداردهای جهانی بوده است. تحقیقات به عمل آمده همچنين نشان می‌دهد اکثر این حملات ظاهرا از سوی کشورهایی مانند روسیه، اکراین و قزاقستان صورت گرفته است.

جالب آنكه اين بار نيز اقدام و توصيه‌هاي مطرح شده براي مواجهه با حملات ديداس همچون گذشته محدود بوده و خبري از برخورد قاطع مسوولان نيست و صرفا به سایت‌های حوزه ارز دیجیتال و سامانه‌های ارزی دیگر توصيه شد از سرویس‌های کلود بیس استفاده کنند.

یعنی همان توصیه‌های قبلی که راهکار موقت محسوب می‌شود و معمولا هم آدرس یکی از ارایه‌دهندگان خدمات ابری به کسانی که مورد حمله واقع شده‌اند داده می‌شود.