
گنجشک خشمگین و پرنده با بانکها چه کرد؟
جنگ ایران و اسرائیل که حالا به مرحله آتشبس رسیده، فقط نظامی نبود و فقط در آسمان و زمین صورت نگرفت. حملات سایبری سهم مهمی در این درگیری داشت و شاهد این مدعا نیز قطع و محدودیت گسترده اینترنت که به گفته مسئولان به دلیل مقابله با این حملات بود.
به گزارش روز نو حمله گروه هکری «گنجشک درنده» به نهادهای مالی از جمله بانک سپه و نوبیتکس، از جمله این حملات سایبری بوده که به طور کلی، الگوی عمل آن، وارد آوردن ضربات اقتصادی-فنی همراه با پیامهای روانی-تبلیغاتی بوده است؛ مهاجمان تلاش کردهاند همزمان با ایجاد اختلال، پیام خود را بهصورت عمومی و آشکار منتقل کنند (چه با درج شماره ۶۴۴۱۱ روی نمایشگرها، چه با پخش تصاویر در تلویزیون یا استفاده از شعارهای هشدارآمیز).
محمد جرجندی، کارشناس جرایم سایبری ساکن در آمریکاست. به گفته خودش، کارش را با هکری شروع کرده و به حوزه امنیت سایبری و پروتکلهای ایمن برای بانکداری الکترونیک گرایش پیدا کرده است. او در رزومه خود قید کرده که در مدت زمان حضور در ایران در بانکها و موسسات مالی فعالیت کرده است. جرجندی گزارش مفصلی با عنوان «نبرد در سایهها: تحلیل جامع حملات سایبری علیه جمهوری اسلامی» در وبسایت «وب آموز» - وبسایت شخصی جرجندی– منتشر کرده و در آن تاریخچه پیچیده حملات سایبری علیه ایران را شرح داده است.
بر اساس این مقاله حملاتی که در ابتدا صرفا بر فعالیت هستهای ایران متمرکز بود، حالا زیرساختهای غیر نظامی و عملا زندگی روزمره مردم را هدف گرفته و احتمالا در پی ایجاد و افزایش یک ترس آشکار در جامعه است.
سه فاز اصلی جنگ سایبری علیه ایران کدام است؟
جرجندی در بخش «سیر تاریخی جنگ سایبری علیه ایران» به سه فاز اشاره میکند:
فاز اول بین سالهای ۲۰۰۶ تا ۲۰۱۲ و حمله به زیرساختهای هستهای؛ مثال بارز آن عملیات موسوم به «بازیهای المپیک» به رهبری آمریکا و اسرائیل است. هدف این عملیات، نفوذ و تخریب مخفیانه در تأسیسات غنیسازی اورانیوم ایران (بهویژه سایت نطنز) بود تا برنامه هستهای را کند یا متوقف کند. در این حمله از بدافزار Stuxnet استفاده شد و بهموازات اقدامات تخریبی، بازیگران سایبری در این دوره بدافزارهای جاسوسی پیشرفتهای، چون فلیم (Flame) و دوکو (Duqu) را نیز به کار گرفتند.
فاز دوم بین سالهای ۲۰۱۳ تا ۲۰۲۰ و گسترش نفوذ عمیق و جاسوسی علیه ایران است. در این دوره گروه موسوم به Equation Group – که بهگفته پژوهشگران امنیتی متعلق به واحد عملیات نفوذ NSA آمریکا است – با بهرهگیری از بدافزارها و اکسپلویتهای بسیار پیشرفته، به اعماق شبکههای هدف در کشورهای مختلف از جمله ایران نفوذ کرد.
در همین دوره از بدافزارهایی با قابلیت نفوذ به هارددیسکها به صورت غیرقابل پاکسازی استفاده شد و اهداف متنوعی از جمله نهادهای نظامی، ارتباطی (مخابراتی)، دولتی، شرکتهای انرژی و مالی را تحت تأثیر قرار دادند. جزییات یکی از این حملات با عنوان نیترو زئوس (Nitro Zeus) در سال ۲۰۱۶ منتشر شد. این طرح – که در صورت شکست مذاکرات هستهای آماده اجرا بود – پیشبینی انجام حملات سایبری گسترده به زیرساختهای حیاتی ایران (از جمله شبکه برق، شبکههای ارتباطی و سامانههای پدافند هوایی) را افشا میکرد.
فاز سوم از سال ۲۰۲۱ تاکنون است و مشخصه آن حملات تخریبی آشکار و وارد آوردن صدمات فیزیکی و روانی مستقیم است. در این دوره حملات گروه موسوم به «گنجشک درنده» آغاز شده است. نخستین نمونه بزرگ در این فاز، حمله سایبری تیرماه ۱۴۰۰ به شبکه ریلی ایران بود که باعث اخلال در خدمات قطارها در سراسر کشور شد. مهر ۱۴۰۰ (اکتبر ۲۰۲۱)، حمله بزرگ دیگری رخ داد که اینبار سامانه کارتهای سوخترسانی پمپبنزینهای ایران را هدف قرار داد. در این دوره علاوه بر شبکه ریلی و سامانه سوخت، صنایع فولاد، بانکها و صرافیهای رمزارز نیز مورد حملات سایبری قرار گرفت.
گروه گنجشک درنده؛ بازیگر کلیدی و مخرب وابسته به اسرائیل
جرجندی در ادامه این مقاله درباره گروه گنجشک درنده توضیح داده و نوشت: «گنجشک درنده نام گروه سایبری مرموزی است که از سال ۲۰۲۱ با انجام حملات جنجالی علیه زیرساختهای ایران ظهور کرد. هویت واقعی اعضای این گروه روشن نیست؛ آنها هیچگاه بهصراحت وابستگی خود را اعلام نکردهاند. با این حال، تحلیل زمانی و فنی حملاتشان (از جمله همزمانی برخی حملات با عملیاتهای نظامی اسرائیل) و همچنین شواهد غیررسمی در رسانههای اسرائیلی، نشان میدهد که این گروه احتمالاً مرتبط با واحدهای سایبری ارتش اسرائیل – بهویژه یگان ۸۲۰۰ – است؛ برای نمونه، پس از حمله به کارخانه فولاد خوزستان در ۲۰۲۲، خبرنگاران نظامی اسرائیل بهطور ضمنی فاش کردند که یگان ۸۲۰۰ در پشت آن حمله بوده است. رسانههای اسرائیلی معمولاً از گروه هکری گنجشک درنده بهعنوان گروه «متصل به اسرائیل» نام میبرند، هرچند تلآویو رسماً وابستگی این گروه را نپذیرفته است.
جرجندی میگوید سایر گروههای هکری با عناوین Indra، عدالت علی و MeteorExpress همگی نامهای مستعار همین گروه هکری «گنجشک درنده» هستند که با هدف دشوار کردن ردیابی فعالیتهای این گروه به کار برده شدهاند.
نمونه حملات کلیدی گنجشک درنده در ایران
جرجندی میگویند در کنار اینها، موارد دیگری نظیر هک خبرگزاری فارس (منتسب به عدالت علی)، انتشار اطلاعات وزارت راه و شهرسازی، هک سامانههای دوربین مدار بسته و… نیز به گنجشک درنده نسبت داده شده است.
اهداف کلیدی
اهداف کلید گنجشکهای درنده طی این سالها تخریب زیرساختهای اقتصادی، ضربه روانی به اعتماد عمومی و نمایش قدرت بازدارنده سایبری بوده است.
تحلیل فنی حملات و ابزارهای بدافزاری گنجشک درنده
حملات سایبری انجامشده علیه ایران – بهویژه در فازهای اخیر – متکی بر بدافزارهای پیچیده و ابزارهای سفارشی بودهاند که برای اهداف خاص طراحی شدهاند. جرجندی مهمترین این بدافزارها و قابلیتهایشان را شرح داده است.
Meteor (وایپر) – بدافزار تخریبی که در حمله به شبکه ریلی (۱۴۰۰) بهکار رفت. Meteor یک Wiper است که با حذف کامل فایلهای سیستم و Snapshotهای پشتیبان، عملاً رایانههای هدف را غیرقابلبوت میکند. پس از پایان عملیات این بدافزار، صفحه نمایش سیستمهای آلوده پیامی را نشان میداد که کاربران را به تماس با شماره دفتر رهبری ارجاع میداد – حرکتی تمسخرآمیز از سوی مهاجمان. Meteor بهلحاظ فنی ترکیبی از کدهای متنباز، ابزارهای قدیمی و ماژولهای اختصاصی است و دارای خطاهای اشکالزدایی و نشانههایی است که برخی پژوهشگران را به این گمان رساند که این ابزار بهسرعت و توسط تیمهای مختلف مونتاژ شده است.
Stardust و Comet – این دو، اسامی نسخههای دیگر بدافزار وایپر مورد استفاده توسط گروه (احتمالاً همان Meteor با ویرایشهای متفاوت) هستند. طبق تحلیل شرکت چکپوینت، مهاجمان در فاصله سالهای ۲۰۱۹–۲۰۲۱ حداقل سه نسخه از Wiper خود را توسعه دادهاند: Meteor، Stardust و Comet. تفاوتهایی میان آنها وجود دارد؛ در حمله به سامانه سوخت ۱۴۰۰، شواهد حاکی است که از نسخههای تکاملیافته همین بدافزار برای پاکسازی لاگهای ویندوز، غیرفعالسازی برخی سرویسها و اختلال در بوت سیستمها استفاده شده است.
Chaplin – نام مستعاری است که برای ابزار اختصاصی مهاجمان در حمله به صنایع فولاد (خوزستان و …) بهکار برده شد. Chaplin در واقع یک کیت مخرب برای نفوذ به سامانههای کنترل صنعتی است که اجازه میدهد مهاجم مستقیماً تجهیزاتی نظیر کورههای ذوب، ولوها و روباتهای کارخانه را کنترل یا تخریب کند.
گزارش رویترز تأیید کرده که حمله سال ۲۰۲۲ به کارخانه فولاد که آتشسوزی بههمراه داشت، حاصل چنین نفوذ عمیقی بوده که «خسارت دنیای واقعی» بر جا گذاشته است. این سطح از توانایی (ایجاد انفجار صنعتی) نشان میدهد ابزارهایی مانند Chaplin احتمالاً با پشتیبانی منابع دولتی توسعه یافتهاند و برای سالها آزموده شدهاند. خود گروه گنجشک درنده نیز در بیانیه آن حمله، ویدئویی از لحظه انفجار منتشر کرد تا پیام جدی بودن توانشان را مخابره کند.
علاوه بر موارد فوق، گزارشها به ابزارهای دیگری نظیر MeteorExpress (مجموعه ابزار کامل حمله قطار شامل اسکریپتها و بدافزارها)، بدافزارهای پاککننده ردپا (مثل حذفکننده لاگ رویداد و تغییر پیلود بوت در حمله پمپبنزین) و استفاده از آدرسهای ویژه بلاکچین (Vanity) در حمله Nobitex اشاره دارند.
تکنیکهای عملیات پیشرفته
عملیاتهای سایبری صورتگرفته علیه ایران، خصوصاً در سالهای اخیر، حائز پیچیدگیهای فنی و تاکتیکی قابل توجهی بودهاند. جرجندی مهمترین ویژگیهای این عملیاتها را برشمرده و میگوید، هکرها در حملات سایبری اخیر.
قادر به تشخیص و دورزدن پدافند امنیتی از جمله فرار از آنتیویروسها بودهاند.
قادر به نفوذ عمیق و حرکت درونی در شبکه بودهاند.
زمانبندی و هماهنگی با رویدادهای ژئوپلیتیک داشتند؛ برای نمونه، حمله پمپبنزینها در سال ۱۴۰۰ درست مصادف با سالگرد اعتراضات آبان ۹۸ (افزایش قیمت بنزین) رخ داد. یا موج حملات خرداد ۱۴۰۴ دقیقاً پس از آن صورت گرفت که گزارش شد اسرائیل تأسیسات هستهای فردو و نطنز را هدف حمله نظامی قرار داده و ایران تهدید به انتقام کرده بود.
به دنبال جنگ روانی و اعلان عمومی بودند.
آیا قطع اینترنت راه حل مقابله با حملات سایبری است؟
جرجندی در گزارش خود میگوید روشن کردن «اینترنت ملی» به دلایل امنیتی و قطع اینترنت بین المللی «تا حدی قابل درک است».
او توضیح داده که بسیاری از بدافزارها برای ارسال فرامین یا نشت داده به ارتباط بیرونی نیاز دارند. با این حال او تاکید کرده خاموشی اینترنت یک سلاح دولبه است.
او گفته حملات گنجشک درنده به دلیل قطع اینترنت، پس از Nobitex ادامه نداشت؛ با این حال اگرچه با این کار موقتاً جلوی تشدید حملات سایبری گرفته شد، اما از سوی دیگر خودزنی دیجیتال نیز صورت گرفت؛ شبکه بانکی داخلی، دستگاههای خودپرداز و انجام تراکنشهای مالی روزمره مختل و بسیاری کسبوکارهای آنلاین دچار زیان شدند. همچنین در میانه حملات موشکی اسرائیل، مردم عادی توان دریافت اخبار و برقراری تماس با خارج برای کمک و اطلاع از وضعیت عزیزانشان را نداشتند.
این تجربه تلخ نشان داد که «زیرساخت نرم» اینترنت خود یک جبهه جنگ است و حاکمیتها ممکن است برای بقا، حتی دست به قطع آن بزنند. در نهایت با میانجیگری بینالمللی و اعلام آتشبس موقت، اینترنت پس از حدود دو هفته به حالت عادی بازگشت، اما خاطره آن در اذهان مردم بهعنوان دورهای از تاریکی دیجیتال باقی ماند.