نگاهی به تاریخچه حملات سایبری تایید و تکذیب شده در ایران

طی روزهای گذشته عجیب‌ترین حمله سایبری به تاسیسات کشور مردم را شوکه و متعجب کرد و حالا چند روزی است که تازه آتش آن خوابیده و هرچند هنوز جزئیات دقیقی از این حمله آشکار نشده است. نهادهای مسئول در ابتدا این حمله سایبری را نپذیرفتند، اما در نهایت اعلام شد که اختلال در سیستم سوخت‌رسانی کشور به طور سراسری نه به دلیل آسیب و کهنگی سیستم سوخت‌رسانی است و نه قرار است نرخ بنزین افزایش پیدا کند. بله روز چهارشنبه 5 آبان یک حمله سایبری در کار بود.

در نهایت دبیر شورای عالی فضای مجازی با بیان این که حمله سایبری به جایگاه‌های سوخت‌رسانی احتمالا از یک کشور خارجی انجام شده، اعلام کرد به هیچ وجه به اطلاعات سهمیه بنزین مردم لطمه‌ای وارد نشده است.

او چند روز بعد از این ماجرا، روز یکشنبه 9 آبان نیز در یک نشست خبری، با بیان اینکه در سال‌های گذشته به خصوص در دو سال اخیر شدت حملات سایبری به کشور زیاد شده است، گفت: «در واقع میزان حملات و پیچیدگی آن به ایران نسبت به بقیه کشورها بی نظیر است و اولین حمله وسیع و پیچیده سایبری که کشور متحمل شد همان استاکس نت بود که ده سال پیش شکل گرفت.»

«ابوالحسن فیروزآبادی» درباره تشدید حملات سایبری به تاسیسات گوناگون کشور گفت: «شبکه ملی اطلاعات هم اگر راه اندازی شود این حملات ادامه دار خواهد بود. چرا که این شبکه جدا از اینترنت نیست و یک شبکه جهانی مرتبط و متصل به دنیاست که در حوزه حکمرانی برای کشور قلمروسازی کرده و توان اعمال حاکمیت را افزایش می‌دهد.»

اما ماجرای حمله‌های سایبری به تاسیسات کشور از کجا آغاز شد؟ در سال‌اخیر با افزایش اهمیت توسعه کشورها در حوزه‌ها گوناگون فناوری جنگ‌ بیشتر بر سر تهدید و تخریب منابعی مرتبط با دانش و فناوری است. از همین رو است که همه کشورها در تلاش‌اند تا قدرت و توانمندی خود را در این حوزه تقویت کنند. نگاهی به آنچه از سال 89 تا آبان 1400 در مسیر این حملات در کشور رخ داد روند مواجهه نهادهای مسئول و چگونگی برخورد با این حملات را شفاف‌تر می‌کند.

بازی‌های المپیک و استاکس‌نت؛ اولین حمله سایبری به تاسیسات کشور

در سال 1389 (ژوئن ۲۰۱۰) تأسیسات هسته‌ای ایران در نطنز توسط یک بدافزار به نام استاکس نت مورد حمله سایبری قرار گرفت.  طبق گزارش‌ها، استاکس‌نت که با مشارکت آمریکا و اسرائیل طراحی شده بود،این ویروس رایانه‌ای طراحی شده بود تا نزدیک به ۶۰٬۰۰۰ رایانه را آلوده کند اما دولت با بیان اینکه این ویروس نتوانسته آسیب چندانی وارد کند، شروع به آزمایش راهکارهای مناسب مبارزه به این حمله‌ها کرد.

ایران به راه حلی برای مقابله با این ویروس دست پیدا کرد که این باعث بهتر شدن وضعیت دفاع سایبری کشور شد. نکته جالب درباره این حملات این است که هیچ کشوری مسئولیت این حمله رابه طور رسمی قبول نکرد. هرچند گمانه‌زنی‌هایی وجود دارد که این حمله را به CIA, NSA و موساد  مرتبط می‌داند.

اما ماجرای حمله سایبری به تاسیسات هسته‌ای به همینجا ختم نشد. «ادوارد اسنودن»، کارمند سابق سازمان اطلاعات مرکزی آمریکا که اسناد قابل توجهی در رابطه با فعالیت‌های اطلاعاتی آمریکا افشا کرده و اخیرا ایرانیان او را به دلیل توییت‌های فارسی به خوبی می‌شناسند، در مصاحبه‌ای با اشپیگل گفته بود این بدافزار با همکاری مشترک آژانس امنیت ملی ایالات متحده آمریکا و اسرائیل ساخته شده ‌است.

ادعای حمله به زیرساخت‌های نفتی و رد ادعا از طرف دولت

در سال ۱۳۹۱ اعلام شد که دو بدافزار به نام‌های Flame و Wiper سیستم‌های نفتی و هسته‌ای ایران هدف قرار داد. در سال ۱۳۹۱ حمله اینترنتی، موجب قطع سرور اصلی وزارت نفت و چهار شرکت اصلی آن شد. وزارت نفت ایران با تایید این موضوع گفته بود قصد این حمله دزدی و تخریب اطلاعات بود.

«علی نیکزاد رهبر»، سخنگوی وقت وزارت نفت هم گفته بود: «ویروس، مادربرد کامپیوتر‌ها را سوزانده و برای پاک کردن اطلاعات اقدام کرده است. با این همه اطلاعات اساسی این وزارتخانه صدمه ندیده است.»این حمله سایبری منجر به آن شد که «غلامرضا جلالی»، رئیس سازمان پدافند غیر عامل، اعلام کند که از ابتدای دهه نود شمسی، حوزه انرژی ایران هدف بیشترین حملات بوده است.

البته ادعای حمله به زیرساخت‌های حوزه نفت و انرژی کشور در سال 98 هم مطرح شد که اینبار مرکز امنیت سایبری ریاست جمهوری کشور، گزارش‌ها درباره «حمله سایبری موفق به تاسیسات نفتی و زیرساخت‌های حیاتی را تکذیب کرد. همچنین سخنگوی وزارت نفت ایران نیز گزارش‌ها درباره حمله سایبری به تاسیسات نفتی را تکذیب و اعلام کرد که فعالیت تاسیسات نفتی ایران طبق روال عادی ادامه دارد.

آیا حمله‌ای سایبری ماهواره پیام را دچار مشکل کرد؟

مهر ماه سال ۹۵ نیز خبرگزاری آسوشیتدپرس گزارش داده بود که تداوم آتش‌سوزی‌ها در پتروشیمی‌های ایران احتمال سوء‌ظن به هک شدن سیستم‌های پتروشیمی و خرابکاری‌های نرم‌افزاری در ایران را افزایش داده است. این روند در حالی بود که ۲۵ دی ماه سال 97 اعلام شد که موشک حامل ماهواره «پیام» به فضا پرتاب شده اما این موشک به سرعت کافی نرسید و ماهواره نیز در نهایت نتوانست در مدار زمین قرار بگیرد.

اعلام این خبر ابتدا منجر به تصور ایجاد نقص فنی در این سیستم بود اما کمی بعد «محمدجواد ظریف»، وزیر وقت امور خارجه در مصاحبه‌ای اعلام کرد: «امکان خرابکاری آمریکا در پرتاب این دو ماهواره کاملاً امکان دارد اما ما هنوز نمی‌دانیم و باید آن را به دقت بررسی کنیم.» خرابکاری که ظریف از آن می‌گفت در حقیقت نوعی حمله سایبری بود. اما این بار هم این حمله سایبری به طور رسمی مورد تایید قرار نگرفت. کشورهایی هم که گمان میرفت در این پروژه نقش داشته‌اند صرفا به اعلام موضع و حتی پاک کردن توییت‌های خود در توییتر پرداختد.

گمانه زنی درباره دست داشتن عربستان در حمله به مرکز آمار

خرداد ماه سال ۱۳۹۵ وبسایت مرکز آمار از دسترس خارج شد. شواهد بیانگر آن بود که یک حمله سایبری دیگر شکل گرفته است. این بار هدف مراکز سوخت‌رسانی کشورنبود. هدف این حمله اطلاعات ثبت شده در مرکز آمار کشور بود.

این حمله از طرف دولت به عربستان نسبت داده شد و این بار هم مثل همه حمله‌های سایبری دیگر در ایران و جهان، عربستان مسئولیت این حمله را به طور رسمی نپذیرفت. چند روز پس از این حمله سایت سازمان ثبت اسناد کشور هم از دسترس خارج شد و یک گروه هکری اعلام کرد بر این سایت مسلط شده است. نتیجه و سرمنشا این حملات هیچ وقت دقیق مشخص نشد.

حمله با نسل جدید استاکس‌نت

در سال ۱۳۹۷ «حمید فتاحی»، ‏‏معاون وقت وزیر ارتباطات و رئیس هیات مدیره شرکت ارتباطات زیرساخت در توییتی از حملات پراکنده به برخی زیرساخت‌های ارتباطی خبر داد و مدعی شد مبدا این حملات اسرائیل بوده است. این موضوع در حالی است که به گفته غلامرضا جلالی رئیس سازمان پدافند غیرعامل، این حملات سایبری با استفاده از نسل جدید ویروس استاکس‌نت به چندین بخش انجام شده بود.

ویروس استاکس‌نت همان ویروسی است که سال 91 نیز به تاسیسات هسته‌ای کشور حمله کرد و منجر به تشدید دیوار دفاعی کشور در برابر حملات سایبری شد. جهرمی، وزیر وقت ارتباطات نیز با تایید این حملات، هدف آن را صدمه زدن به زیرساخت‌های ارتباطی اعلام کرد. او در توییتر خود نوشت ایران این اقدام «خصمانه» را در مجامع بین‌المللی پیگیری خواهد کرد.

حمله سایبری به فرودگاه مشهد

پنجشنبه شب، سوم خردادماه سال 97 سایت فرودگاه بین‌المللی مشهد که دومین فرودگاه پرترافیک ایران محسوب می‌شود هک و تصاویری از اعتراض‌‌ها روی تابلوها و تلویزیون‌های تبلیغاتی فرودگاه پخش شد. این ماجرا اگرچه در روزهای بعد منجر به واکنش‌هایی از طرف فعالان حوزه امنیت فضای سایبری شد، اما مسئولان تاکید کردند که این حمله فقط چند دقیقه طول کشیده و خیلی زود کنترل شده است.

فرمانداری شهر مشهد روز جمعه، چهارم خردادماه سال 1397 تأیید کرد که یک روز قبل وب‌سایت رسمی فرودگاه بین‌المللی این شهر به دست گروهی به نام «تپندگان» هک شده است. این موضوع اما در حالی بود که «محمدرحیم نوروزیان»، فرماندار مشهد، در این باره اعلام کرده بود: «هک سایت فرودگاه دقایقی بیشتر به طول نینجامید و به سرعت برطرف شد. اقدامات لازم نیز در دست انجام است.»

مدیر روابط عمومی فرودگاه مشهد نیز روز بعد از حمله سایبری در مصاحبه با رسانه‌ها خبر هک شدن تابلوهای فرودگاه مشهد را تایید کرد.

بر خلاف حملات سایبری که اغلب روشن نیست پرونده در چه مرحله است، مهرماه سال 97 «سردار سیدکمال هادیان‌فر»، رئیس پلیس فتای وقت از دستگیری هکرهای حمله سایبری به فرودگاه مشهد خبر داد و گفت: «حمله سایبری به شرکت‌های فرودگاهی در مشهد و تبریز با تلاش پلیس فتا پیگیری شد؛ هکرها شناسایی، دستگیر و تحویل مقام قضایی شدند.»

او در همان مصاحبه به رخنه‌های امنیتی، سایت‌ها و مراکز حساس اشاره کرد که خود خبر از شکنندگی و ضعف شرایط امنیت سایبری کشو در آن سال‌ها می‌دهد.

سال 97، سال تکرار حملات سایبری

بعد از حمله سایبری و هک شدن مانیتورهای فرودگاه مشهد، مانیتورهای فرودگاه تبریز هم مورد حمله قرار گرفت. چند ماه از این ماجرا نگذشته بود که یک حمله سایبری دیگر توجه همه را به خود جلب کرد. این بار شبکه‌های اجتماعی یک نهاد دولتی مورد حمله قرار گرفته بود. توییتر، اینستاگرام و در البته ایمیل شهرداری تهران هک شد.

گروه هکری که خود را «تپندگان» می‌نامند و پیش از این فرودگاه مشهد و البته فرودگاه تبریز را مورد حمله سایبری قرار داده بودند، سه‌شنبه 19 تیرماه سال 1397 کنترل اینستاگرام، توییتر و ایمیل رسمی شهرداری تهران را به دست گرفت. این کنترل البته خیلی طولانی مدت نبود و بعد از گذشت ساعاتی، تصاویر و پیام‌های منتشر شده توسط این گروه در حساب رسمی شهرداری تهران حذف شد.

«سینا علی‌محمدی» مسئول روابط عمومی شهرداری تهران نیز در پی این حمله سایبری اعلام کرد:  هکرها نتوانسته‌اند به اطلاعاتی دست پیدا کنند و پست‌های منتشر شده توسط هکرها نیز پاک شده است.» به هر حال این موضوع خود جای سوال دارد. روند امنیتی شبکه‌های اجتماعی و ایمیل شهرداری تهران تا جایی ضعیف بوده که هکرها به آن نفوذ کردند و به هر حال بعد از نفوذ امکان دسترسی به اطلاعات وجود داشته است.

بعد از این حمله سایبری و واکنش روابط عمومی شهرداری تهران به این موضوع، دیجیاتو با «یاشار شاهین زاده» کارشناس امنیت اطلاعات گفتگو کرد و او عدم دسترسی هکرها به اطلاعات شهرداری را به طور کلی رد کرد و با یادآوری این موضوع که نود درصد ارگان‌های دولتی و سازمان‌های بالای ۲۰۰ نفر نیرو دارای یک اکسچنج سرور در ایران هستند، تمامی این اکسنچ‌ها را ضعیف و ناایمن توصیف کرد.

تکرار حمله به تاسیسات هسته‌ای و انتشار ویدیو از زندان اوین

مهرماه سال ۱۳۹۹ حمله سایبری وسیع به دو سازمان‌ دولتی از طرف دولت مورد تایید قرار گرفت. تایید این حملات از طرف دولت در حالی بود که در ماه‌های پیش از آن، گزارش‌های زیادی از بالا گرفتن تهدیدهای سایبری میان ایران و اسرائیل منتشر و در مواردی حملاتی هم به زیرساخت‌های دو طرف گزارش شده بود. دولت این حملات را اغلب به اسرائیل نسبت داده است. این در حالی است که دولت اسرائیل، این حملات را نه تایید می‌کند و نه تکذیب اما رسانه‌های این کشور و برخی از کشورهای دیگر، موساد را پشت برخی از این حملات دانسته‌اند.

تیر ماه امسال (سال 1400) گمانه‌زنی‌هایی هم درباره حمله سایبری به شرکت راه‌آهن کشور مطرح شد. این موضوع اما در حالی بود که شرکت راه‌آهن اختلال یا احتمال حمله سایبری در ایستگاه‌های قطار را تکذیب و با انتشار اطلاعیه‌ای اعلام کرد: «اختلال در حوزه بازرگانی شرکت راه‌آهن به وجود آمده که منشأ آن مشخص نیست.»

اما در نهایت آنچه اتفاق افتاد تایید این حملات سایبری از طرف مرکز مدیریریت راهبردی افتا بود.  کارشناسان مرکز مدیریت راهبردی افتا با تایید حملات سایبری، اعلام کردند عملکرد ضعیف برخی دستگاه‌های دارای زیرساخت‌های حیاتی در اجرای الزامات امنیتی ابلاغ شده و کم توجهی به هشدارهای افتا، آن‌ها را در برابر حملات سایبری، کم‌دفاع  یا سیستم امنیت سایبری آنان را سست می‌کند و دو حمله اخیر نیز از این قاعده مستثنی نبوده است.

تحرکات، تهدیدها و حملات سایبری یک سال اخیر در شرایطی است که آذری جهرمی در تیر ماه امسال نسبت به این موضوع درکانال تلگرامی خود هشدار داده بود. وزیر ارتباطات وقت با بیان این که تحرکات جدیدی توسط مهاجمان سایبری برای طراحی حملات گزارش شده است، هشدار سال ۹۷ در مورد حملات باج‌افزاری را به دستگاه‌های اجرایی یادآوری کرده بود.

آذری جهرمی در کانال تلگرامی خود با اشاره به این موضوع، نوشته بود: «مجددا هشدار اردیبهشت ۹۷ در مورد حملات باج‌افزاری با سو استفاده از درگاه مدیریتی iLo سرورهای HP را یادآوری می‌کنیم. تحرکات جدیدی توسط مهاجمان سایبری برای طراحی حملات سایبری با استفاده از این نقیصه، رصد و گزارش شده است.»

کمتر از یک ماه بعد هم ویدیوهایی از داخل زندان اوین منتشر شد. اگرچه اعلام شد که با پخش کنندگان این ویدیوها برخورد خواهد شد، اما پیگیری‌ها و اطلاع‌رسانی‌های بعدی درباره دلیل انتشار این ویدیوها و یا حتی دستگیری رهبران این حمله سایبری هم منتشر نشد. همین موضوع گمانه زنی درباره رهبری حمله سایبری به سامانه بنزین کشور را در شبکه‌های اجتماعی تقویت کرد. هرچند، همچنان هیچ خبری به طور رسمی درباره این ادعا از منابع رسمی و منابع دولتی منتشر نشده است.

نیاز جدی به تقویت سیستم امنیتی

با وجود همه هشدارها به نظر میرسد همچنان زیرساخت‌های سیستم‌‌های نرم‌افزاری نهادهای دولتی و حتی امنیتی ترین نهادهای دولتی آن‌ طور که انتظار می‌رفت به نتیجه نرسیده است. نگرانی حالا از تکرار موج حملات سال 97 در سال 1400 است. مرکز مدیریت امداد و هماهنگی رخدادهای رایانه‌ای در سال 97 هشدار داده بود که رصد فضای مجازی نشان‌دهنده حملاتی مبتنی بر آسیب‌پذیری‌های موجود در سرویس iLo سرورهای HP بوده است. سرویس iLo یک درگاه مستقل فیزیکی است که جهت مدیریت و نظارت سروهای شرکت HP از سوی مدیران شبکه استفاده می‌شود.

آذری جهرمی نیز در دوره وزارت خود و حملاتی که در سال 1400 شکل گرفته بود نسبت به این موضوع و با اراجاع آن به سال 97 هشدار داده بود. اما آنچه در نهایت اتفاق افتاد حمله سایبری به سیستم سامانه هوشمند سوخت رسانی کشور و چند روز اخلال در روند سوخت رسانی بود. حالا باید همچنان منتظر بود و دید آیا قرار است، امنیت زیرساخت‌ها افزایش پیدا کند، یا هکرها به کار خود ادامه خواهند داد؟