هرآنچه باید درباره ماجرای هک اخیر دولت آمریکا بدانید

در روز دوشنبه اخیر بود که مقامات آمریکایی تایید کردند گستره وسیعی از ایمیل‌های دولتی ایالات متحده، هدف حمله هکی قرار گرفته‌اند که توسط کشور روسیه پیاده‌سازی و اجرا شده است. در گزارش‌ها آمده است که این عملیات شدیدا بزرگ و پیچیده که شبکه‌های دولتی و فدرال را مورد هجوم قرار داد، بزرگ‌ترین حمله سایبری سال‌های اخیر علیه مقامات آمریکایی به حساب می‌آید.

هکرها توانستند با اجبار بیش از ۱۸ هزار کاربر در سازمان‌های دولتی و خصوصی به دانلود یک آپدیت نرم‌افزاری بدخواهانه، وارد شبکه‌های هدف خود شوند. به محض ورود به شبکه‌ها، آن‌ها می‌توانستند به پایش ایمیل‌های داخلی برخی از برجسته‌ترین آژانس‌های کشور آمریکا بپردازند. در این مقاله به مرور هرآن‌چیزی می‌پردازیم که باید راجع به این حمله سایبری بدانید و از این خواهیم گفت که در آینده چه می‌شود.

چه اتفاقی افتاد؟

هک اخیر از مدت‌ها پیش و در واقع از ماه مارس سال جاری میلادی آغاز شد: زمانی که یک کد بدخواهانه راهش را به درون به‌روزرسانی‌های یک نرم‌افزار محبوب به نام Orion باز کرد. Orion توسط کمپانی SolarWinds ساخته شده که کارش پایش شبکه‌های متعلق به کسب‌وکارها و دولت است تا از قطعی آن‌ها جلوگیری کند. این بدافزار باعث می‌شد هکرهای حرفه‌ای پشت ماجرا، دسترسی راه دور به شبکه‌های یک سازمان داشته و اطلاعات مورد نیاز خود را به سرقت ببرند.

اما انجام این کار احتمالا آنقدرها هم دشوار نبوده است. وینوث کومار، محقق امنیتی، طی سال گذشته به خبرگزاری رویترز گفت که به کمپانی SolarWinds هشدار داده که هرکسی با استفاده از رمز عبور Solarwinds123 قادر به دسترسی یافتن به سرور به‌روزرسانی‌های شرکت است.

اما این آسیب‌پذیری برای مدتی از چشم‌ها دور ماند تا اینکه شرکت امنیت سایبری FireEye -که خود نیز از سرویس‌های SolarWinds استفاده می‌کند- متوجه یک رخنه امنیتی در نرم‌افزار شد. FireEye در ابتدا به صورت عمومی تایید نکرد که رخنه پیدا شده، همان رخنه مورد استفاده در هک گسترده SolarWinds است، اما بعد در روز سه‌شنبه، این موضوع را در گفتگو با سایت تکنولوژی Krebs On Security تایید کرد.

فرصت ظاهرا چند ماهه به هکرها اجازه داد که عجله به خرج نداده و به استخراج انبوهی از اطلاعات، از انبوهی از اهداف خود بپردازد. مقامات دولت آمریکا دقیقا اعلام نکرده‌اند که چه آژانس‌هایی تحت تاثیر قرار گرفته‌اند، اما باید در نظر داشت که مرکز کنترل و پیش‌گیری بیماری‌ها، وزارت امور خارجه و وزارت دادگستری آمریکا همگی از نرم‌افزار مورد بحث استفاده می‌کنند.

چارلز کارماکال، یکی از مدیران اجرایی FireEye می‌گوید که کمپانی‌اش می‌داند که «چند دوجین هدف شدیدا ارزشمند» مورد حمله هکرها قرار گرفته‌اند و این شرکت ضمنا مشغول کمک به برخی از سازمان‌هایی بوده که تحت تاثیر قرار گرفته‌اند. او نیز از هیچ سازمان و آژانس مشخصی نام نمی‌برد، اما می‌گوید که در روزهای آتی جزییات بیشتری راجع به شبکه‌هایی که به آن‌ها رخنه شده خواهیم شنید.

چه کسی تحت تاثیر قرار گرفت و شرایط چقدر وخیم است؟

ابعاد این هک می‌تواند جهانی باشد و از آن‌جایی که نرم‌افزار هک شده بسیاری از ابعاد مختلف کسب‌وکارها را در بر می‌گیرد، ممکن است سازمان‌ها را تا مرز نابودی ببرد. SolarWinds که در شهر آستین در ایالت تگزاس مستقر است، سرویس‌های شبکه مانیتورینگ شبکه و دیگر سرویس‌های فنی خود را در اختیار صدها هزار سازمان در سراسر جهان قرار می‌دهد. از جمله این مشتریان می‌توان به اکثر کمپانی‌های لیست Fortune 500 و همینطور آژانس‌های دولتی در آمریکای شمالی، اروپا، آسیا و خاورمیانه اشاره کرد.

محصول تحت تاثیر قرار گرفته این شرکت، یعنی Orion، نیمی از درآمد سالانه SolarWinds را کسب می‌کند و فقط امسال، ۷۵۰ میلیون دلار درآمدزایی کرده است. سیستم پایش مرکزی Orion به دنبال مشکلات بالقوه در شبکه‌های کامپیوتری سازمانی می‌گردد و بنابراین رخنه به آن، منجر می‌شود هکرها تسلط کامل بر این شبکه‌ها داشته باشند.

برندن هافمن، مدیر ارشد امنیت اطلاعات در شرکت کالیفرنیایی Nenenrich می‌گوید: «این نوع از ابزارها، دسترسی عمیق به سیستم‌ها را امکان‌پذیر می‌کنند. این سیستم‌ها اهدافی خود هستند چون عمیقا با عملیات‌های سیستمی و مدیریت درهم‌تنیده‌اند».

SolarWinds می‌گوید که اکنون در حال مشاوره دادن به حدود ۳۳ هزار از مشتریان Orion است که احتمالا تحت تاثیر حمله قرار گرفته‌اند. اما خود کمپانی تخمین می‌زند که تعداد کمتری از مشتریان -یعنی کمتر از ۱۸ هزار- به‌روزرسانی خطرناک این محصول که ابتدای سال جاری میلادی منتشر شد را نصب کرده باشند.

نه SolarWinds و نه مقامات حوزه امنیت سایبری آمریکا به صورت عمومی اعلام نکرده‌اند که هکرها قادر به رخنه به کدام سازمان‌ها بوده‌اند. اما باید در نظر داشت که صرف استفاده یک کمپانی یا یک آژانس از محصول SolarWinds، به این معنا نیست که در برابر هک آسیب‌پذیر بوده است.

FireEye اخیرا به صحبت راجع به جزییات مربوط به توانایی‌های این بدافزار پرداخت و گفت که بدافزار در ابتدا برای دو هفته مقابل چشم‌ها پنهان باقی می‌ماند و به شکلی آهسته و پیوسته، دسترسی گسترده‌تری به زیر و بم Orion می‌یافت. SolarWinds اکنون مشغول همکاری با FireEye، پلیس فدرال آمریکا، فعالان حوزه اطلاعات و دیگر مراجع قانونی است تا ابعاد مختلف رخنه را بررسی کند.

از آن‌جایی که نرم‌افزار Orion به پایش تمام شبکه‌ها می‌پردازد، بخش اعظمی از کارهایی که کمپانی‌ها و سازمان‌ها به صورت آنلاین به انجام می‌رسانند در خطر رخنه بوده است. هکرها احتمالا تاکنون به پایش ایمیل‌ها و دیگر ارتباطات داخلی پرداخته باشند.

چه کسی مسئولیت هک را برعهده داشته؟

SolarWinds می‌گوید که یک کشور خارجی با این بدافزار، به سیستم‌های آمریکایی حمله کرده است. اما نه دولت آمریکا و نه کمپانی‌های هک شده به صورت عمومی اعلام نکرده‌اند که به نظرشان کدام کشور پشت این حملات بوده است. با این همه یکی از مقامات آمریکایی که خواسته نامش فاش نشود به آسوشیتدپرس گفت که انگشت اتهام به سوی هکرهای روسی دراز شده. اما روسیه هم در روز دوشنبه اعلام کرد که «هیچ ارتباطی» با هک اخیر نداشته است.

دمیتری پسکوف، سخنگوی کرملین در پاسخ به سوالات خبرنگاران گفت: «یک‌بار دیگر باید این اتهامات را رد کنم. اگر چندین ماه بوده که آمریکایی‌ها هیچ کاری انجام نداده‌اند، پس احتمالا نباید روسیه را به شکلی بی‌اساس بابت هر چیزی مقصر تلقی کنند».

اما تاکتیک مورد استفاده در این رخنه امنیتی که تحت عنوان متد «زنجیره تامین» شناخته می‌شود، یادآور تکنیکی است که هکرهای ارتش روسیه در سال ۲۰۱۶ برای نفوذ به کمپانی‌های همکار شرکت اکراین از طریق ویروس NotPetya به کار گرفتند. لازم به اشاره است که این حمله سایبری تا همین امروز، رکورددار ایجاد بیشترین آسیب در جهان است.

چرا چنین هک‌هایی اهمیت دارند و در آینده چه می‌شود؟

جاسوسی به خودی خود قانون بین‌المللی را نقض نمی‌کند و دفاع سایبری هم کاری بسیار دشوار است. اما گاهی هم شاهد انتقام‌جویی علیه دولت‌هایی هستیم که مسئولیت پیاده‌سازی چنین هک‌های گسترده‌ای را برعهده داشته‌اند. گاهی دیپلمات‌ها اخراج می‌شوند و گاهی هم تحریم‌ها از راه می‌رسند.

برای مثال در پاسخ به تلاش هکرهای ارتش کرملین برای دخالت در انتخابات ریاست جمهوری سال ۲۰۱۶ آمریکا که با پیروزی دونالد ترامپ به پایان رسید، دولت اوباما برخی از دیپلمات‌های روسی را اخراج کرد.

کریس پینتر، هماهنگ‌کننده قوانین سایبری در وزارت امور خارجه دولت اوباما می‌گوید که امنیت سایبری یکی از اولویت‌های دونالد ترامپ نبوده است و رییس جمهور کنونی آمریکا به شکل خواسته یا ناخواسته، ناتوان از سرزنش کردن روسیه به خاطر فعالیت‌های خصمانه‌اش در فضای سایبری بوده است.

متخصصین اکنون می‌گویند که تمرکز کاخ سفید بر امنیت سایبری، مهم‌تر از همیشه شده است.

مایکروسافت در متنی که اخیرا در همراهی با FireEye و برای یاری رساندن به دولت آمریکا منتشر کرده می‌گوید که «طی دو سال اخیر بیش از ۱۳ هزار اعلان برای مشتریانی فرستاده‌ایم که تحت تاثیر حملات دولت‌های خارجی گرفته‌اند و شاهد افزایش سریع پیچیدگی و توانایی‌های این عملیات‌های سایبری بوده‌ایم».

از طرف دیگر SolarWinds احتمالا به خاطر قصور خود، با انبوهی از پرونده‌های قضایی روبه‌رو شود که توسط مشتریان سازمانی و دولتی تشکیل می‌گردند. این کمپانی همین حالا یک گزارش مفصل برای کمیسییون امنیت و مبادلات آمریکا تهیه کرده که تمام جزییات مربوط به هک را شامل می‌شود. در این گزارش، کمپانی مورد اشاره می‌گوید که مجموع درآمد محصول تحت تاثیر قرار گرفته‌اش حدودا معادل ۳۴۳ میلیون دلار بوده که ۴۵ درصد از درآمد کل شرکت را در بر می‌گیرد. از زمانی که خبر رخنه امنیتی اخیر منتشر شد، ارزش سهام SolarWinds نیز سقوط ۲۵ درصدی را تجربه کرده است.