گروه هکری ساطور
یک قدرت سایبری جدید در دنیا ظهور کرده است؛ قدرتی که پیشاپیش به حیاتیترین زیرساختهای دنیا نفوذ کرده.
شرکت آمریکایی امنیت سایبری سایلنس در گزارشی مفصل تحت عنوان «عملیات ساطور» ادعا کرده که در این گزارش حملات سایبری هماهنگ هکرهای ایرانی علیه زیرساختهای حیاتی در سطح دنیا را افشا میکند. این مؤسسه در توضیح گزارش خود اینطور ادعا کرده که گزارش موسوم به «عملیات ساطور» در رابطه با تلاشهای هماهنگ و مصمم گروهی روشنگری میکند که تلاش دارد به امنیت حداقل ۵۰ شرکت فعال در ۱۵ صنعت مختلف در ۱۶ کشور خدشه وارد کند. گزارش ما تاکتیکها، تکنیکها، و شیوههای مورد استفاده در آنچه هنوز یک پیکار در حال انجام تلقی میشود را افشا میسازد.
■ پیشرفتهای هکرهای ایرانی در هدف قرار دادن زیرساختهای حیاتی دنیا■
بیش از ۵۰ شرکت، تأسیسات، و سازمان فعال در ۱۵ صنعت مختلف در سرتاسر دنیا در جریان این عملیات سایبری دوساله مورد نفوذ قرار گرفتهاند. این گزارش پیشرفتهای هکرهای ایرانی در زمینه هدف قرار دادن زیرساختهای حیاتی در سطح دنیا را افشا میکند.
سایلنس که اولین شرکت امنیت سایبری پیشرفته در زمینه کشف و جلوگیری از تهدیدات به شمار میرود گزارش مشروحی درباره حملات هماهنگ هکرهای مرتبط با ایران علیه بیش از ۵۰ شرکت فعال در ۱۶ کشور دنیا منتشر کرد. سازمانهای قربانی حملات در صنایع مهم و حیاتی فعالیت میکردند و بیشترین حملات علیه شرکتهای هواپیمایی، فرودگاهها، شرکتهای انرژی، نفت، گاز، مخابرات، سازمانهای دولتی و دانشگاهها صورت گرفتهاند.
■ علت نامگذاری عملیات ساطور■
گزارش فوق ـ که به خاطر آنکه واژه «ساطور» (Cleaver) چندین بار در نرمافزار سفارشی مورد استفاده در حملات بکار رفته «عملیات ساطور» نام گرفته است ـ حملاتی را در بر میگیرد که به مدت بیش از دو سال توسط پیمانکاران فردی و گروهی هک که در قالب یک شرکت ساختمانی واقع در تهران فعالیت میکند انجام گرفتهاند. گروه مربوطه با استفاده از ابزارهای سفارشی و ابزارهای موجود در بازار که از شیوههای تزریق به پایگاه داده (SQL Injection)، اسپیر فیشینگ (spear phishing)، و واتر هولینگ (water holing) بهره میگیرند قادر گردید اطلاعات حساس و محرمانه را استخراج کرده و به شبکههای کامپیوتری نفوذ کند، به گونهای که این گروه اکنون بر روی شبکههای قربانی در ۱۶ کشور کنترل دارد. سایلنس قربانیان عمدهای را در کانادا، چین، انگلیس، فرانسه، آلمان، هند، اسرائیل، کویت، مکزیک، پاکستان، قطر، عربستان، کره جنوبی، ترکیه، امارات، و آمریکا شناسایی کرد.
■ هدف از این حملات سایبری چیست؟■
«استوارت مککلور» مدیر ارشد اجرایی سایلنس در این باره اظهار داشت: «ما در جریان بررسی آنچه میپنداشتیم موارد جدا از هم هستند به دامنه و صدمات ناشی از اینگونه عملیات پی بردیم. با توجه به انتخاب زیرساختهای حیاتی به عنوان قربانی و مهارتهای سریعاً در حال رشد تیم ایرانی، ما بر آن شدیم تا این گزارش را منتشر کنیم. ما امیدواریم با در میان گذاشتن اطلاعاتی که درباره عملیات ساطور افشا میکنیم تکنیکها و ابزارهای مورد استفاده گروه هک فوقالذکر را برملا سازیم و بدین ترتیب توجه جهانیان را به سمت حملات علیه زیرساختهای حیاتی و ممانعت از اینگونه حملات معطوف سازیم، حملاتی که میتوانند جان انسانها را به خطر بیندازند.»
مهاجمان مقادیر زیادی اطلاعات از جمله اطلاعات حساس درباره کارمندان و جزئیات زمانبندی کاری؛ عکسهای شناسایی؛ اطلاعات درباره امنیت فرودگاهها و شرکتهای هواپیمایی؛ و پی.دی. اف نمودارهای شبکه، مسکن، تلکام، و برق را به سرقت بردند که این امر نشان میدهد حملات ممکن است از انگیزهای جز انگیزههای مالی یا سرقت مالکیت معنوی برخوردار بوده باشند. اهداف مورد حمله در پنج گروه قرار میگیرند:
- شرکتهای نفت و گاز/انرژی/شیمیایی ـ اهداف کشفشده یک شرکت فعال در زمینه تولید گاز طبیعی، سازمانهای تأمین برق، و همچنین تعدادی از شرکتهای عرضهکننده نفت و گاز را شامل میشدند. تمرکز ویژه گروه هک بر روی این گروه از اهداف بود.
- شرکتهای دولتی/دفاعی ـ اهداف کشفشده یک پیمانکار دفاعی بزرگ و تأسیسات نظامی عمده آمریکا را شامل میشدند. سایلنس تائید میکند که یکی از اهداف مذکور شبکه اینترانت نیروی تفنگداران دریایی سندیگو بوده است. اطلاعات غیرمحرمانه موجود در کامپیوترهای این شبکه هک شدند.
- فرودگاهها/شرکتهای حملونقل ـ اهداف کشفشده فرودگاهها/شرکتهای هواپیمایی عمده، یک تولیدکننده خودرو، و همچنین شبکههای حملونقل را شامل میشدند. نگرانکنندهترین شواهد و مدارک بهدستآمده در این باره نشاندهنده هدف قرار گرفتن و نفوذ به شبکهها و سیستمهای حملونقل نظیر شرکتهای هواپیمایی و فرودگاههای کره جنوبی، عربستان، و پاکستان هستند.
- شرکتهای مخابرات/فناوری ـ اهداف کشفشده شرکتهای مخابرات و فناوری فعال در چندین کشور را شامل میشدند.
- سازمانهای آموزشی/بهداشتی ـ اهداف کشفشده چندین کالج و دانشگاه را شامل میشدند و تأکید این حملات بر روی دانشکدههای پزشکی بود. مقادیر زیادی اطلاعات درباره دانشجویان خارجی استخراج شدهاند که از جمله میتوان عکس گذرنامهها و کارتهای تأمین اجتماعی اشاره کرد.
سایلنس این حملات هماهنگ را زمانی کشف کرد که در راستای انجام تحقیقات درباره نفوذ به سیستمهای امنیتی چند سازمان استخدام گردید. سایلنس در قالب رویکرد اساساً جدید خویش مبنی بر استفاده از ریاضیات و یادگیری ماشینی در مورد امنیت سایبری موفق به کشف بدافزارها و حملاتی شد که به تیم هکر فوقالذکر مربوط میشدند و قبلاً کشف نشده بودند. سایلنس متعهد به افشای مسئولانه اینگونه موارد است و قبل از انتشار این گزارش همه قربانیانی را که در جریان تحقیقات خود شناسایی کرد از این موضوع آگاه ساخته است.
■ درباره مؤسسه سایلنس■
سایلنس اولین شرکتی است که از هوش مصنوعی، علم الگوریتمی، و یادگیری ماشینی در رابطه با امنیت ملی استفاده کرده است و فرآیند حلوفصل فعالانه دشوارترین مشکلات امنیتی دنیا توسط شرکتها، دولتها و کاربران را ارتقا میبخشد. سایلنس با استفاده از یک فرآیند ریاضیاتی پیشرفته به طور دقیق و سریع تهدیدات را از دیگر موارد متمایز میسازد و کارش صرفاً این نیست که مشخص کند چه چیزی در لیستهای سیاه قرار دارد و چه چیزی در این لیستها قرار ندارد. سایلنس ریاضیات و یادگیری ماشینی پیشرفته را با درک منحصربهفرد از ذهنیت هکر ترکیب کرده و بدین ترتیب فناوریها و خدماتی را ارائه میدهد که حقیقتاً قادرند تهدیدات پیشرفته را شناسایی کرده و از وقوع آنها جلوگیری کنند.