پاتک خیره کننده هکرهای ایرانی به حمله سایبری استاکس‌نت

هنوز یک ماه از ابلاغ دستورالعمل جدید باراک اوباما به نهادهای امنیتی این کشور در باره مقررات تک و پاتک‌های سایبری و ایجاد نهادی جدید با عنوان "فرماندهی سایبری" آمریکا که وظیفه تجهیز این کشور برای جنگ سایبری را به عهده گرفت، نگذشته بود که تلاش غرب برای آنچه تحت عنوان پروژه "استاکس نت" تهاجم سایبری به ایران می‌خواند، ظاهرا با واکنشی به مراتب مخرب‌تر مواجه شده است به نحوی که غول‌های اینترنتی مانند گوگل، یاهو و فیس بوک و سامانه‌های اینترنتی سازمان جاسوسی امریکا و انگلیس که به عنوان نماد هژمونی غرب در فضای سایبر شناخته می‌شوند، با یک عملیات نفوذ موفق و البته طولانی مدت روبرو شده‌اند که برآوردهای شرکت‌های امنیت شبکه از این نفوذ، از دست دادن مقادیر بسیار زیاد و قابل توجهی اطلاعات از این شرکت‌های اینترنتی است.

اما ماجرا از آنجا رسانه‌ای شد که کاربران فعال در فضای اینترنت، با هشداری از سوی شرکت گوگل مواجه شدند که در آن با اشاره به وقوع یک مشکل امنیتی جدی برای این شرکت، به کاربران اکیدا توصیه شده بود از آنجا که ممکن است شخص یا اشخاصی در تلاش برای دسترسی به محتویات ایمیل آنها باشند، ضمن تغییر نام و رمز کاربری خود، مرورگر اینترنتی خود را نیز ارتقا دهند.

شرک گوگل در این هشدار که در وبلاگ رسمی خود منتشر کرده بود، با اعتراف به حمله‌ای با نام SSL man-in-the-middle (MITM) attacks بر روی برخی کاربران اینترنتی خود؛ اعلام کرد که شخص یا گروهی از ایران سعی دارند تا بین گوگل و سرویس های امنیتی این شرکت قرار گیرند و با جعل گواهی امنیتی DigiNotar بتوانند صفحه ای قلابی را بسازند و بدین طریق به اطلاعات ایمیل افراد دسترسی پیدا کند. طبق گفته گوگل برای این کار در داخل کشور ایران از یک SSL Certificate جعلی برای جیمیل استفاده شده است.

هم‌زمان با اعتراف غول اینترنتی جهان به آسیب پذیری در مقابل حمله سایبری مؤثر منسوب به ایران، دولت هلند نیز با انتشار بیانیه‌ای این موضوع را تایید کرد. بنا بر اعلامیه دولت هلند، یک هکر که وارد وب سایت شرکت هلندی دیجی‌نوتار شده است، توانسته گواهی های دیجیتالی دهها وب سایت را به سرقت ببرد تا این وب سایت ها را به ظاهر برای کاربران ایمن نمایش دهد. این هکر با دسترسی پیدا کردن به این گواهی های دیجیتالی، سپس هزاران گواهی تقلبی برای وب سایت های گوگل، یاهو، فیس بوک و نیز وب سایت های نهادهایی مانند سیا، ام آی 6 و موساد، تولید کرده است.

این هکر می توانسته است ارتباطات کاربران را از طریق هدایت ترافیک آن‌ها به سوی وب سایت هایی که به ظاهر ایمن به نظر می رسند، زیر نظر بگیرد. به گزارش شرکت کامپیوتری فاکس-آی تی، وابسته به دولت هلند، گواهی های تقلبی بین 4 اوت تا 29 اوت بیش از 300 هزار بار مورد استفاده قرار گرفته است، که منشا تقریبا تمام آنها ایران بوده است.

در عين حال، لوموند روزنامه عصر پاریس در مورد هویت شخص حمله کننده به این مجموعه نوشت: «اگر چه یک جوان ایرانی 21 ساله که معلوم نیست چه کسی است، خود را به‌عنوان یک "هکر" مستقل و وطن پرست، مسئول این عملیات گسترده جاسوسی علیه ایرانیان وانمود کرده است، اما کارشناسان و دستگاه های اطلاعاتی هلند اعتبار چندانی برای این ادعا قائل نیستند و معتقدند که این عملیات از سوی دولت ایران هدایت شده است.»

این روزنامه افزود: «عاملین این جاسوسی هر که هستند، به هر حال موفق شدند که از مراحل و موانعی که بر سر راه این گونه فعل و انفعالات اینترنتی وجود دارد، عبور كنند و وارد حیطه شخصی افراد، یعنی به کلام دیگر وارد آدرس های "ایمیلی" مشتریان شبکه "جی-میل" شوند، و به مکالمات خصوصی آنان گوش فرا دهند، و مکاتبات اینترنتی آنها را قرائت کنند.»

یک دانشجوی 21 ساله ایرانی که خود را "کوکودو هکر" می خواند، می گوید این اقدام را به منظور تنبیه دولت هلند برای شکست در جلوگیری از کشته شدن هشت هزار مسلمان در جنگ بوسنی در سال 1995 انجام داده است.

دولت هلند در واکنش به این رویداد تمام گواهی های این شرکت را لغو کرده و اکنون در صدد یافتن گواهی های دیجیتالی دیگری برای کاربران و شهروندان هلندی است تا بتوانند وارد سایت های پرداخت مالیات شوند.

هفته نامه آلماني اشپيگل نیز در گزارشي كه به قلم « ماتياس كرمپ» منتشر شد، از يك عمليات سنگين و پيچيده سايبري خبر داده و اعلام كرد، حمله كنندگان با آثاري كه عمداً از خود بر جاي گذاشته اند، ايراني هستند.

در اين گزارش آمده است: «هكرهاي ناشناس توانسته اند بيش از 500 گواهينامه ديجيتالي وب براي خود صادر كنند سپس با اين گواهينامه ها، خود را بعنوان موتور سرچ گوگل ، سازمان جاسوسي سيا و يا حتي سامانه مجازي اينترنتي فيس بوك جا بزنند.»

نويسنده در ادمه با اشاره به ماجراي شركت ديجي نوتار، شركت صادركننده هلندي گواهينامه هاي ديجيتالي، ادامه مي دهد: «در ابتدا فرض بر اين بود كه تنها يك گواهينامه مربوط به شركت گوگل جعل شده باشد اما بازرسان سرانجام دريافتند مهاجمان مزبور، بيش از پانصد گواهينامه امنيتي براي خود صادر كرده اند و با معرفي كردن خويش با هويت‌هاي بيگانه، در مراودات اينترنتي ضمن اتصال به شبكه اينترنت، داده هاي كاربران را (بطور پنهاني) در اختيار مي گيرند.»

به نوشته اشپيگل؛ «در اين حمله، مهاجمان اين فرصت را داشتند كه نرم افزارهاي بيشتري را نصب كنند و سرورهاي متعددي را به خدمت گيرند. چند هفته بعد از اين اتفاق يعني دهم ژوئيه، حمله كنندگان، عمليات اصلي خود را انجام دادند. آنها توانستند ظرف مدت ده روز، آزادانه و بي زحمت، حداقل 531 گواهينامه تقلبي صادر كنند. ماتياس كرمپ، خبرنگار هفته نامه آلماني اشپيگل با اعلام اينكه ابرجستجوگرهاي شناخته شده اينترنتي نظير گوگل ، ياهو و آ.او.ال ، سرويس هاي جاسوسي نظير سياي آمريكا، ام.آي.6 انگلستان و موساد اسرائيل، درگاههاي بروز رسان شركت مايكروسافت ، صفحاتي كه توانايي بارگذاري از طريق مرورگر فايرفاكس را دارند، سامانه هاي اجتماعي مجازي نظير فيس بوك و توييتر و سامانه ارتباطي اسكايپ جزء مهمترين پايگاههاي اينترنتي هستند كه در فهرست پايگاههاي آسيب ديده از ناحيه حملات اخير هكرها ثبت شده اند، خاطر نشان كرد: اين فهرست بخوبي از اين واقعيت حكايت دارد كه مهاجم در نظر داشته است قربانيان خود را از تمامي پايگاه هاي (ممكن) رصد كند.»

حمله سایبری اسرائیلی ـ امریکایی به ایران و ضربه سنگینی که پس گرفت!

اما شاید آغاز تقابل جدی سایبری ایران و غرب را که هیچ‌گاه از سوی منابع رسمی ایرانی و غربی تایید نشده است، به ماجرای طراحی و ارسال ویروس استاکس نت مرتبط دانست. ویروسی که منابع غربی آنرا یک پروژه بزرگ و دولتی و ساخته و پرداخته بخشی از موساد عنوان کرده‌اند.

خبرگزاری رویترز در گزارشی که مرداد ماه سال جاری منتشر شد، با اشاره به ماهیت این ویروس رایانه‌ای نوشت، استاکس نت سیستم های صنعتی زیمنس را که در همه جای دنیا برای کنترل روند های صنعتی، از برنامه هسته ای گرفته تا کارخانه های شیمیایی و تاسیسات آبرسانی و داروسازی بکار می رود، هدف گرفته بود.

در همین حال پایگاه اینترنتی روسی دیگیت به نقل از آلکساندرگوستف کارشناس شرکت "لاباراتوریا کاسپرسکووا" در برآورد خود از نحوه طراحی این ویروس، همکاری حداقل 20 هکر در ساخت استاکس نت و هزینه ده‌ها هزار دلاری را تخمین زده بود.

هفته نامه آلمانی اشپیگل نیز در مقاله‌ای به قلم هولگر اشتارک که در تاریخ 21 مرداد 1390 (12 اوت 2011) منتشر شد، با اشاره به پشتوانه اسرائیلی این ویروس رایانه‌ای نوشت: "ویروس رایانه ای استاکس نت که (چند ماه پیش) به تاسیسات اتمی ایران حمله ور شد به عنوان نخستین سلاح دیجیتال، فصل نوینی از جنگ سایبری را در جهان رقم زد. حمله چند ماه پیش سازمان اطلاعات خارجی اسرائیل موسوم به موساد از طریق یک بدافزار رایانه ایِ بشدت پیچیده بنام استاکس نت به برنامه هسته ای ایران اتفاق مهمی است."

این مقاله ادامه داد: "استاکس نت، یک ویروس رایانه ای است که قابلیت نفوذ از رایانه های فوق العاده ایمن را دارد که (اتفاقا) به شبکه اینترنت نیز متصل نیستند. هر چند پیشتر این اعتقاد وجود داشت که نفوذ مجازی، امری غیرممکن است اما حدود یکسال پیش یعنی ژوئن سال 2010 بود که این نفوذ و رسوخ، وارد عرصه سیاست جهانی نیز شد. در آن تاریخ، ویروس استاکت نت، وارد تاسیسات اتمی نطنز ایران شد؛ سایتی که دانشمندان ایرانی در آن مشغول غنی سازی اورانیومند. استاکس نت با ورود و تاثیرگذاری بر دستگاههای سانتریفوژ فعال در نطنز، آنها را از درون ویران و غیرفعال کرد. این حمله نفوذ به قلب برنامه اتمی ایران بود. استاکس نت ، نخستین سلاح سایبری ژئوپلوتیک دنیا است."

سام اَنجِل، رئیس شعبه سایمنتک اسرائیل در این زمینه به اشپیگل می‌گوید: "استاکس نت ، پیچیده ترین حمله ای است که ما تاکنون شاهدش بوده ایم. وی با بیان اینکه این نوع حمله، حمله ای غیرمعمول است، در حال حاضر کشورهایی که تحت تاثیر این حمله قرار گرفته اند، ایران، اندونزی، مالزی و بلاروس هستند."

سرمایه گذاران این بدافزار چنان برنامه ریزی کرده بودند که این ویروس در گام نخست با ارتباط با دو سرور دستور و کنترل، رایانه مرحله هفتم (غنی سازی) را آلوده کند. این برنامه ریزی صنعتی که از سوی گروه شرکتهای مهندسی زیمنس آلمان انجام شده است، وارد هفتمین مرحله فعالیت سانتریفوژهای تاسیسات اتمی نطنز ایران می شد. در درون هر سانتریفوژ، پروانه یا آرمیچری قرار دارد که با سرعت یکهزار بار در ثانیه می چرخد. در واقع استاکس نت با استفاده از یک حفره امنیتی در ویندوز، امکان نفوذ به این سیستم عامل را می یابد.

در مرحله دوم، استاکس نت خود را در بخش سیستم عامل می نشاند. در این مرحله، آلودگی، زمانی متوقف می شود که حجم آن به ارزش 19790509 برسد. به اعتقاد کارشناسان شرکت سایمنتک: این، نوعی کد (برنامه نویسی رایانه ای) است. تاریخی که برای این کد در نظر گرفته شده است، نهم مه سال 1979 است که مصادف با روز اعدام حبیب القانیان، بازرگان یهودی ساکن تهران است.

به نظر می‌رسد با توجه به ابعاد و سرمایه گذاری جدی غرب و اسرائیل بر روی ویروس استاکس نت، حمله موفق سایبری به ابرجستجوگرهای امریکایی، مقابله به مثلی متناسب با این حمله بوده است، مقابله به مثلی که کریستین ساینس مانیتور به نقل از یکی از مدیران شرکت رایانه‌ای کاسپارسکی از آن به عنوان حمله‌ای "مهم" به زیر ساخت رایانه ای دولت هلند و به این ترتیب "جنگ سایبری که در صدر مسائل سیاسی دولت های غربی قرار داده گرفته"، معرفی کرده است