به نظر می‌رسد در شرایطی که جهان مشغول دست و پنجه نرم کردن با غول کروناست هکرها و مجرمان سایبری موقعیت را غنیمت شمرده و حمله‌هایی گسترده را برنامه‌ریزی کرده‌اند. امریکا یکی از کشورهایی است که در روزهای اخیر آماج حملات مختلف قرار گرفته و هکرها علاوه بر حمله به شرکت‌های خصوصی، پنتاگون، وزارت خزانه داری امریکا و حتی کمپانی بزرگ امنیتی «فایرآی» (FireEye) را نیز بی نصیب نگذاشته‌اند. تازه‌ترین خبر حاکی است که رد پای هکرها در حمله سایبری به شبکه‌های اینترنتی زرادخانه هسته‌ای و سازمان ملی امنیت هسته‌ای ایالات متحده نیز دیده می‌شود که این خبر صدای «جو بایدن»، ساکن بعدی کاخ سفید را نیز درآورده است اما جالب است که دونالد ترامپ رئیس جمهوری فعلی امریکا، هنوز نسبت به این موضوع هیچ واکنشی نشان نداده و به همین دلیل هم  کاخ سفید هدف انتقاداتی گسترده قرار گرفته است. شاید توجه ویژه «جو بایدن» به موضوع امنیت سایبری و سهل‌انگاری «دونالد ترامپ» در این زمینه را بتوان یکی از تفاوت‌های اصلی این دو شخصیت سیاسی امریکا دانست.

برنامه‌های سایبری «بایدن»

«جو بایدن»، رییس جمهوری منتخب امریکا به دنبال انتشار گزارش نشریه پولتیکو درباره ادامه دار بودن حملات هکری به مراکز مهم دولتی امریکا، از این موضوع بشدت ابراز نگرانی کرد و از تأمین امنیت سایبری به عنوان یکی از اولویت‌های برتر دولت خود یاد کرد. «جو بایدن» که هنوز به طور رسمی بر جایگاه ریاست جمهوری تکیه نزده، از تعهداتش در این زمینه سخن می‌گوید. این درحالی است که دونالد ترامپ در طول مدت انتشار گزارش‌ها درباره حمله‌های سایبری گسترده به تأسیسات و آژانس‌های مختلف امریکا، سکوتی مرگبار اختیار کرده و نسبت به این موضوع هیچ واکنشی نشان نداده است. هرچند گفته می‌شود آخرین حمله سایبری آنقدر گسترده بوده که نشست اضطراری شورای امنیت ملی در کاخ سفید برگزار شده اما ترامپ هنوز به صورت علنی به این موضوع واکنش نشان نداده و همچنان در وادی ادعای تقلب در انتخابات 2020غوطه ور است. «جو بایدن» در بخشی از سخنانش با طعنه به ترامپ که روزهای زیادی است تنها به ادعای تقلب در انتخابات می‌پردازد، گفت: وضعیت امنیت سایبری در امریکا اصلاً خوب نیست و ظاهراً برای کسی هم اهمیتی ندارد. چیزهای زیادی است که ما هنوز درباره این حملات سایبری نمی‌دانیم اما آنچه که از آن خبر داریم، این است که این موضوع بسیار نگران کننده است. من می‌خواهم کاملاً روشن و شفاف صحبت کنم؛ دولت من امنیت سایبری را در اولویت اصلی هر سطح از دولت قرار خواهد داد و ما از همان روز تحویل گرفتن پست ریاست جمهوری از دولت قبلی، برای رفع این رخنه‌های امنیتی اقدام خواهیم کرد چراکه موضوعی بسیار اساسی و حساس است. رئیس جمهوری منتخب امریکا همچنین یادآور شد پس از یک تخلف گسترده که دولت ایالات متحده را تحت تأثیر قرار داده است، در برابر حملات سایبری بیکار نخواهد نشست و گفت: ما امنیت سایبری را به عنوان یک ضرورت در سطح دولت بالا خواهیم برد که البته در این راستا، تقویت مشارکت با بخش خصوصی را در دستور کار داریم و ازسوی دیگر سرمایه‌گذاری در زیرساخت‌ها و استخدام افرادی که برای دفاع در برابر حملات سایبری مخرب تبحر کافی دارند را گسترش خواهیم داد تا امنیت سایبری لازم در لایه‌های مختلف دولت و کشور تأمین شود. وی همچنین به هکرهایی که در آژانس‌های دولتی یا شرکت‌های خصوصی و زیرساخت‌های امریکا دست به اعمال خرابکارانه می‌زنند هشدار داد که برای این عمل خود مجبور خواهند شد هزینه‌های قابل توجهی بپردازند. بایدن همچنین گفت: دشمنان ما باید بدانند که من به عنوان رئیس جمهوری در برابر حملات سایبری به ملت خود ساکت نخواهم ماند و به مشاوران انتقال قدرت هم دستور داده‌ام تا آنجا که ممکن است درباره این نقض حریم خصوصی و حمله به آژانس‌های دولتی، اطلاعات کسب کنند تا بتوان برنامه‌ریزی مناسب تری برای تأمین گسترده امنیت سایبری امریکا انجام داد. به این ترتیب دیگر هیچ دولتی به خود اجازه نخواهد داد که با هکرهایش امنیت مردم این سرزمین را درمعرض خطر قرار دهد. گفتنی است به دنبال وقوع این حمله،CISA ، FBI و دفتر مدیر اطلاعات ملی  با صدور بیانیه‌ای مشترک، این حادثه را یک کارزار قابل توجه و مداوم امنیت سایبری توصیف کردند و آژانس امنیت سایبری و زیرساخت‌های امنیتی امریکا نیز یادآور شده است که این هک‌ها علاوه بر زیرساخت‌های حیاتی و بخش خصوصی، خطر جدی برای دولت‌های فدرال، ایالتی و محلی به همراه دارد. هکرها ظرافت و پیچیدگی خاصی را در حملات خود نشان داده اند و احتمالاً بیرون راندن آنها از شبکه‌های در معرض خطر نیز کاری بسیار پیچیده و چالش برانگیز خواهد بود.

 دردسرهای ترامپ برای امنیت سایبری امریکا

امنیت سایبری برای دولت‌های متوالی امریکا یک چالش مهم  و اساسی بوده است، چراکه هکرهای خارجی و داخلی، به طور فزاینده ای به دنبال استفاده از توانایی‌های خود برای کسب سود مالی هستند یا با انگیزه‌های سیاسی، انتقامجویی و... به سرقت اطلاعات می‌پردازند. هرچند در کارنامه رؤسای جمهوری امریکا نمره‌های متفاوتی می‌توان به عملکرد آنها در زمینه امنیت سایبری داد اما شاید بتوان دونالد ترامپ را بی‌تفاوت‌ترین رئیس جمهوری امریکا تاکنون نسبت به این موضوع دانست. دونالد ترامپ به دلیل برخی شعارها و تصمیماتش درباره امنیت سایبری، همیشه مورد انتقاداتی گسترده قرار داشته است به عنوان مثال وقتی با بررسی‌های موشکافانه، سرنخ‌هایی از دخالت روسیه در انتخابات ریاست جمهوری سال 2016 امریکا و حمله هکری برای صدمه زدن به هیلاری کلینتون دموکرات به دست آمد ترامپ بلافاصله درباره این موضوع ابراز تردید کرد و ارزیابی‌های آژانس‌های امنیتی را چندان دقیق ندانست و از آژانس‌های امنیتی نیز نخواست که در این زمینه هیچ تحقیقی انجام دهند که خود به موضوعی حساسیت برانگیز تبدیل شد. یکی دیگر از انتقاداتی که نسبت به ترامپ همواره وجود داشته و حالا با افزایش میزان حمله‌های سایبری به تأسیسات اساسی و حیاتی امریکا پررنگ‌تر شده، این است که وی در سال 2018 پست هماهنگ کننده امنیت سایبری را حذف کرد. شورای امنیت ملی ترامپ درست در زمانی که جان بولتون را به عنوان مشاور امنیت ملی روی کار آورد ، پست هماهنگ کننده امنیت سایبری را حذف کرد و دفتر امنیت سایبری وزارت خارجه را نیز در سال 2017 عملاً مسدود کرد که هریک از این تصمیمات عملاً یکی از زنجیره‌های تأمین امنیت سایبری را در امریکا گسست و در نهایت امروز زیرساخت‌های امنیتی این کشور تا این حد آسیب‌پذیر شده‌اند. ترامپ تا آنجا نسبت به موضوع امنیت سایبری در امریکا بی توجه بود که تنها به دلیل یک اظهارنظر، در توئیتی از اخراج کریستوفر کربس (Christopher Krebs) مدیر آژانس زیرساخت و فضای سایبری وزارت امنیت داخلی امریکا خبر داد. آژانس امنیت سایبری و زیرساخت‌های امریکا (CISA) وابسته به وزارت امنیت داخلی تأکید کرده بود که انتخابات سوم نوامبر امن‌ترین انتخابات ریاست جمهوری در طول تاریخ امریکا بوده و هیچ مدرکی مبنی بر شمارش نشدن آرا یا گم شدن برگه‌های رأی وجود ندارد. ترامپ نیز در واکنش به این حرف توئیت کرد: در انتخابات بی نظمی‌ها و تقلب‌های گسترده از جمله رأی دادن مردگان و عدم اجازه ورود ناظران ستاد انتخاباتی ما به مراکز رأی‌گیری و شمارش آرا صورت گرفته است بنابراین، از این لحظه به بعد، وظایف کربس به عنوان مدیر آژانس امنیت سایبری و زیرساخت‌های امریکا خاتمه یافته است.

این هک‌های بزرگ

اگر بخواهیم نگاهی به هک‌های اخیر امریکا بیندازیم یکی از مهم‌ترین آنها این است که مهاجمان با نصب یک آسیب‌پذیری در نرم‌افزار Orion از محصولات شرکت امریکایی SolarWinds که به طور گسترده توسط سازمان‌های دولتی و بخش خصوصی استفاده می‌شود، وارد شبکه‌های رایانه‌ای شدند. این کمپانی اعلام کرد، کمتر از ۱۸ هزار مشتری این شرکت آپدیت نرم‌افزاری آلوده‌ای را دانلود کرده‌اند که به هکرهای روسی اجازه داده است به مدت ۹ ماه از آژانس‌های دولتی و شرکت‌های جهانی جاسوسی کنند. این، آماری وحشتناک در ضعف امنیت سایبری به شمار می‌رود. روزنامه واشنگتن پست نیز چند روز قبل از یک حمله سایبری به وزارت خزانه‌داری امریکا  خبر داد و عنوان کرد که این حمله توسط یک گروه هکری روس انجام شده است گفته می‌شود گروه هکری که به گروه ATP29 یا Cozy bear معروف است در این حمله سایبری دست داشته است. این گروه هکری در دوران ریاست جمهوری باراک اوباما نیز کاخ سفید و وزارت خارجه امریکا را هک کرده بود.

 

 

 

مرکز مدیریت راهبردی افتا اعلام کرد: مهاجمان سایبری که به شرکت امنیتی فایرآی (FireEye) و وزارت خزانه‌داری آمریکا حمله کردند، به اطلاعات ۱۸ هزار مشتری نرم افزار Orion Platform هم نفوذ کردند.

 

به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، یک هفته پس از وقوع حملات پیچیده سایبری به شرکت امنیتی فایرآی (FireEye) و وزارت خزانه‌داری آمریکا ، اکنون مشخص شده است که مهاجمان قبل از این، با رخنه به سولار ویندز (SolarWinds) موفق به تزریق کد آلوده به یکی از محصولات ساخت این شرکت با نام Orion Platform شده بودند و از طریق این نرم‌افزار به بیش از ۱۸ هزار مشتری آن محصول نفوذ کردند.

 

این روش حمله به زنجیره تأمین (Supply Chain Attack) معروف است. در این نوع حملات سایبری، مهاجمان با بهره‌جویی از اجزای آسیب‌پذیر در زنجیره تأمین یک سازمان به آن رخنه و یا آن را دچار اختلال می‌کنند.

 

وزارت امنیت داخلی آمریکا، با انتشار بخشنامه‌ای اضطراری از تمامی سازمان‌های فدرال این کشور خواسته است تا به‌سرعت نسبت به قطع ارتباط نسخ آسیب‌پذیر Orion Platform اقدام کنند.

 

شرکت فایرآی هم اعلام کرد که مهاجمان موفق به سرقت ابزارهای دیجیتال Red Team شده‌اند که این شرکت برای شناسایی آسیب‌پذیری سیستم‌ها در شبکه مشتریان خود، از آنها استفاده می‌کند.

 

پایگاه اینترنتی  blog.malwarebytes نوشته است: انتظار می‌رود در روزها، هفته‌ها و حتی شاید ماه‌های آتی ابعادی دیگر از این کم‌نظیرترین حملات سایبری روشن شود.

 

کارشناسان معاونت بررسی مرکز مدیریت راهبردی افتا، توصیه می کنند تا کارشناسان IT دستگاه‌های زیرساخت در کوتاهترین زمان ممکن، با استفاده از محصولات ضدویروس و ابزارهای امنیتی، وجود هرگونه نشانه آلودگی را بررسی کنند.

 

دستگاه‌های زیرساخت همچنین، باید با انجام بررسی دقیق، فراگیر و جامع امنیتی، زیرساخت‌های فیزیکی و ابری را بازبینی و مقاوم‌سازی کنند.

 

متخصصان IT زیرساخت‌های کشور، باید در اسرع وقت نسبت به جدا کردن هر سیستمی که روی آن Version ۲۰۱۹,۴ HF ۵ تا Version ۲۰۲۰.۲.۱ محصول SolarWinds Orion Platform نصب است اقدام کنند. این نسخ در فاصله مارس ۲۰۲۰ تا ژوئن ۲۰۲۰ عرضه شده بودند.

 

کارشناسان معاونت بررسی مرکز افتا از متخصصان IT در زیرساخت‌ها خواسته‌اند تا در نخستین فرصت، SolarWinds Orion Platform را بهVersion ۲۰۲۰.۲.۲.۱HF۱ ارتقا داده و پس از اطمینان از عدم وجود هرگونه آلودگی، سیستم‌ها را به حالت قبل بازگردانند.

 

اطلاعات فنی، گزارش‌های شرکت‌های امنیتی از این حملات سایبری، توصیه‌نامه سولار ویندز، مجموعه قواعد شرکت فایر آی برای شناسایی نشانه‌های آلودگی مرتبط با سولار ویندز و نشانه‌های آلودگی (IoC) در پایگاه اینترنتی مرکز مدیریت راهبردی افتا به نشانی https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۲۴۱۹/ قابل مشاهده است.

 

 

 

شرکت امنیت شبکه FireEye مورد نفوذ قرار گرفته و ابزارهای این شرکت اکنون در دست مهاجمان است. بنابراین ضروریست سازمان‌ها و شرکت‌های دولتی و خصوصی کشور در آمادگی کامل باشند، مدیران شبکه، سیستم‌های خود را بررسی کنند و اطمینان حاصل کنند که تاکنون مورد حمله واقع نشده باشند. 

 

 شرکت FireEye یکی از بزرگترین نام‌های دنیا در عرصه امینت شبکه و فضای سایبری است که با بسیاری از شرکت‌های مهم دنیا همکاری دارد و امنیت شبکه آنها را تامین می‌کند. اما بنابر اطلاعات مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) این شرکت اخیرا اعلام کرده که توسط یک تیم بسیار قدرتمند مورد تهاجم سایبری قرار گرفته است.

 

در نتیجه این حمله، برخی از خطرناک‌ترین ابزارهای امنیتی دنیا به سرقت رفته است. مدیر عامل FireEye در بیانات خود اظهار کرد: با توجه به ۲۰ سال حضور در امنیت سایبری و پاسخگویی به حوادث، به این نتیجه رسیده‌ام که شاهد حمله یک کشور با بالاترین سطح تهاجمی هستیم. این حمله متفاوت از ده‌ها هزار حمله‌ای است که در طول سال‌ها به آنها پاسخ داده‌ایم. مهاجمان توانایی‌های خود را به‌طور مشخص برای هدف قرار دادن و حمله به FireEye تقویت کرده‌اند.

 

آنها در زمینه امنیت بسیار آموزش‌دیده هستند و حمله را با نظم و تمرکز اجرا می‌کنند. مهاجمان از روش‌هایی استفاده کرده‌اند که ابزارهای امنیتی و ابزارهای forensic را مخفیانه دور می‌زنند. همچنین مهاجمان از روش‌های جدیدی استفاده کرده‌اند که ما یا شرکای ما در گذشته این روش‌ها را مشاهده نکرده بودیم. 

 

هکرها موفق به سرقت ابزارهای دیجیتال Team Red شده‌اند که به منظور شناسایی آسیب‌پذیری سیستم‌ها در شبکه مشتریان استفاده می‌شد. با وجود اینکه هیچ یک از ابزارهای به سرقت رفته آسیب‌پذیری روز صفر را اکسپلویت نمی‌کنند اما احتمال اینکه هکرها بخواهند از ابزارهای سرقت‌شده سوءاستفاده کنند وجود دارد. بنابراین شرکت FireEye مجموعه‌ای از قوانین Yara ،Snort ،clamAV ،HXIOC را منتشر کرده تا سایرین آمادگی مقابله با حملات احتمالی مبتنی بر ابزارهای سرقت‌شده Team Red را داشته باشند.

 

توصیه می‌شود مدیران شبکه این قوانین را در سیستم‌های تشخیص نفوذ خود اعمال کنند، همچنین با توجه به اینکه احتمال به‌روزرسانی این قوانین وجود دارد، به صورت مداوم قوانین به‌روزشده را اعمال کنند. شرکت FireEye مجموعه‌ای از آسیب‌پذیری‌ها را منتشر کرده است که رفع این آسیب‌پذیری‌ها می‌تواند برای مقابله با اثرات جانبی دزدیده شدن ابزارهای این شرکت مفید باشد. لیست آسیب‌پذیری‌های مذکور در این لینک آمده است. مدیران شبکه با مشاهده این لیست می‌توانند در صورتی که آسیب‌پذیری مذکور را رفع نکرده‌اند، اقدام به رفع آن کنند.

 

اکنونن که شرکت FireEye مورد نفوذ قرار گرفته و ابزارهای این شرکت اکنون در دست مهاجمان است، ضروریست تا مدیران شبکه، سیستم‌های خود را بررسی کنند و اطمینان حاصل کنند که تاکنون مورد حمله واقع نشده باشند. همچنین باید براساس قوانین ارائه‌شده توسط این شرکت سیستم‌های تشخیص نفوذ خود را قدرتمند سازند و به صورت مداوم پیگیر خبرهای این شرکت باشند تا در صورت هر گونه اعلام هشدار یا راهکار جدیدی سیستم‌های خود را بهبود ببخشند.