گنجشک درنده چگونه بر بام فضای سایبری کشور نشست؟ | توضیحات یک هکر سابق درباره حملات سایبری در ایران

رویداد۲۴| جنگ ایران و اسرائیل که حالا به مرحله آتش‌بس رسیده، فقط نظامی نبود و فقط در آسمان و زمین صورت نگرفت. حملات سایبری سهم مهمی در این درگیری داشت و شاهد این مدعا نیز قطع و محدودیت گسترده اینترنت که به گفته مسئولان به دلیل مقابله با این حملات بود.

حمله گروه هکری «گنجشک درنده» به نهادهای مالی از جمله بانک سپه و نوبیتکس، از جمله این حملات سایبری بوده که به طور کلی، الگوی عمل آن، وارد آوردن ضربات اقتصادی-فنی همراه با پیام‌های روانی-تبلیغاتی بوده است؛ مهاجمان تلاش کرده‌اند همزمان با ایجاد اختلال، پیام خود را به‌صورت عمومی و آشکار منتقل کنند (چه با درج شماره ۶۴۴۱۱ روی نمایشگرها، چه با پخش تصاویر در تلویزیون یا استفاده از شعار‌های هشدارآمیز).

محمد جرجندی، کارشناس جرایم سایبری ساکن در آمریکاست. به گفته خودش، کارش را با هکری شروع کرده و به حوزه امنیت سایبری و پروتکل‌های ایمن برای بانکداری الکترونیک گرایش پیدا کرده است. او در رزومه خود قید کرده که در مدت زمان حضور در ایران در بانک‌ها و موسسات مالی فعالیت کرده است. جرجندی گزارش مفصلی با عنوان «نبرد در سایه‌ها: تحلیل جامع حملات سایبری علیه جمهوری اسلامی» در وبسایت «وب آموز» - وبسایت شخصی جرجندی– منتشر کرده و در آن تاریخچه پیچیده حملات سایبری علیه ایران را شرح داده است.

بر اساس این مقاله حملاتی که در ابتدا صرفا بر فعالیت هسته‌ای ایران متمرکز بود، حالا زیرساخت‌های غیر نظامی و عملا زندگی روزمره مردم را هدف گرفته و احتمالا در پی ایجاد و افزایش یک ترس آشکار در جامعه است.

سه فاز اصلی جنگ سایبری علیه ایران کدام است؟

جرجندی در بخش «سیر تاریخی جنگ سایبری علیه ایران» به سه فاز اشاره می‌کند:

فاز اول بین سالهای ۲۰۰۶ تا ۲۰۱۲ و حمله به زیرساخت‌های هسته‌ای؛ مثال بارز آن عملیات موسوم به «بازی های المپیک» به رهبری آمریکا و اسرائیل است. هدف این عملیات، نفوذ و تخریب مخفیانه در تأسیسات غنی‌سازی اورانیوم ایران (به‌ویژه سایت نطنز) بود تا برنامه هسته‌ای را کند یا متوقف کند. در این حمله از بدافزار Stuxnet استفاده شد و به‌موازات اقدامات تخریبی، بازیگران سایبری در این دوره بدافزار‌های جاسوسی پیشرفتهای، چون فلیم (Flame) و دوکو (Duqu) را نیز به کار گرفتند.

فاز دوم بین سالهای ۲۰۱۳ تا ۲۰۲۰ و گسترش نفوذ عمیق و جاسوسی علیه ایران است. در این دوره گروه موسوم به Equation Group – که به‌گفته پژوهشگران امنیتی متعلق به واحد عملیات نفوذ NSA آمریکا است – با بهره‌گیری از بدافزار‌ها و اکسپلویت‌های بسیار پیشرفته، به اعماق شبکه‌های هدف در کشور‌های مختلف از جمله ایران نفوذ کرد.

بیشتر بخوانید:

گروه «گنجشک درنده» مسئولیت هک شدن جایگاه‌های سوخت را بر عهده گرفت

 وضعیت بانک‌ پاسارگاد، سپه و صرافی نوبیتکس در هاله‌ای از ابهام | چگونه اسرائیل سیستم بانکی کشور را هدف قرار داد؟

در همین دوره از بدافزار‌هایی با قابلیت نفوذ به هارددیسک‌ها به صورت غیرقابل پاکسازی استفاده شد و اهداف متنوعی از جمله نهاد‌های نظامی، ارتباطی (مخابراتی)، دولتی، شرکت‌های انرژی و مالی را تحت تأثیر قرار دادند. جزییات یکی از این حملات با عنوان نیترو زئوس (Nitro Zeus) در سال ۲۰۱۶ منتشر شد. این طرح – که در صورت شکست مذاکرات هسته‌ای آماده اجرا بود – پیش‌بینی انجام حملات سایبری گسترده به زیرساخت‌های حیاتی ایران (از جمله شبکه برق، شبکه‌های ارتباطی و سامانه‌های پدافند هوایی) را افشا می کرد.

فاز سوم از سال ۲۰۲۱ تاکنون است و مشخصه آن حملات تخریبی آشکار و وارد آوردن صدمات فیزیکی و روانی مستقیم است. در این دوره حملات گروه موسوم به «گنجشک درنده» آغاز شده است. نخستین نمونه بزرگ در این فاز، حمله سایبری تیرماه ۱۴۰۰ به شبکه ریلی ایران بود که باعث اخلال در خدمات قطار‌ها در سراسر کشور شد. مهر ۱۴۰۰ (اکتبر ۲۰۲۱)، حمله بزرگ دیگری رخ داد که این‌بار سامانه کارت‌های سوخت‌رسانی پمپ‌بنزین‌های ایران را هدف قرار داد. در این دوره علاوه بر شبکه ریلی و سامانه سوخت، صنایع فولاد، بانک‌ها و صرافی‌های رمزارز نیز مورد حملات سایبری قرار گرفت.

گروه گنجشک درنده؛ بازیگر کلیدی و مخرب وابسته به اسرائیل

جرجندی در ادامه این مقاله درباره گروه گنجشک درنده توضیح داده و نوشت: «گنجشک درنده نام گروه سایبری مرموزی است که از سال ۲۰۲۱ با انجام حملات جنجالی علیه زیرساخت‌های ایران ظهور کرد. هویت واقعی اعضای این گروه روشن نیست؛ آنها هیچ‌گاه به‌صراحت وابستگی خود را اعلام نکرده‌اند. با این حال، تحلیل زمانی و فنی حملات‌شان (از جمله همزمانی برخی حملات با عملیات‌های نظامی اسرائیل) و همچنین شواهد غیررسمی در رسانه‌های اسرائیلی، نشان می‌دهد که این گروه احتمالاً مرتبط با واحد‌های سایبری ارتش اسرائیل – به‌ویژه یگان ۸۲۰۰ – است؛ برای نمونه، پس از حمله به کارخانه فولاد خوزستان در ۲۰۲۲، خبرنگاران نظامی اسرائیل به‌طور ضمنی فاش کردند که یگان ۸۲۰۰ در پشت آن حمله بوده است. رسانه‌های اسرائیلی معمولاً از گروه هکری گنجشک درنده به‌عنوان گروه «متصل به اسرائیل» نام می‌برند، هرچند تل‌آویو رسماً وابستگی این گروه را نپذیرفته است.

جرجندی می‌گوید سایر گروه‌های هکری با عناوین Indra، عدالت علی و MeteorExpress همگی نام های مستعار همین گروه هکری «گنجشک درنده» هستند که با هدف دشوار کردن ردیابی فعالیت‌های این گروه به کار برده شده اند.

نمونه حملات کلیدی گنجشک درنده در ایران

جرجندی می‌گویند در کنار اینها، موارد دیگری نظیر هک خبرگزاری فارس (منتسب به عدالت علی)، انتشار اطلاعات وزارت راه و شهرسازی، هک سامانه‌های دوربین مدار بسته و… نیز به گنجشک درنده نسبت داده شده است.

اهداف کلیدی

اهداف کلید گنجشک‌های درنده طی این سال‌ها تخریب زیرساخت‌های اقتصادی، ضربه روانی به اعتماد عمومی و نمایش قدرت بازدارنده سایبری بوده است.

تحلیل فنی حملات و ابزار‌های بدافزاری گنجشک درنده

حملات سایبری انجام‌شده علیه ایران – به‌ویژه در فاز‌های اخیر – متکی بر بدافزار‌های پیچیده و ابزار‌های سفارشی بوده‌اند که برای اهداف خاص طراحی شده‌اند. جرجندی مهم‌ترین این بدافزار‌ها و قابلیت‌هایشان را شرح داده است؛

Meteor (وایپر) – بدافزار تخریبی که در حمله به شبکه ریلی (۱۴۰۰) به‌کار رفت. Meteor یک Wiper است که با حذف کامل فایل‌های سیستم و Snapshot‌های پشتیبان ، عملاً رایانه‌های هدف را غیرقابل‌بوت می‌کند. پس از پایان عملیات این بدافزار، صفحه نمایش سیستم‌های آلوده پیامی را نشان می‌داد که کاربران را به تماس با شماره دفتر رهبری ارجاع می‌داد – حرکتی تمسخرآمیز از سوی مهاجمان. Meteor به‌لحاظ فنی ترکیبی از کد‌های متن‌باز، ابزار‌های قدیمی و ماژول‌های اختصاصی است و دارای خطا‌های اشکال‌زدایی و نشانه‌هایی است که برخی پژوهشگران را به این گمان رساند که این ابزار به‌سرعت و توسط تیم‌های مختلف مونتاژ شده است.

Stardust و Comet – این دو، اسامی نسخه‌های دیگر بدافزار وایپر مورد استفاده توسط گروه (احتمالاً همان Meteor با ویرایش‌های متفاوت) هستند. طبق تحلیل شرکت چک‌پوینت، مهاجمان در فاصله سال‌های ۲۰۱۹–۲۰۲۱ حداقل سه نسخه از Wiper خود را توسعه داده‌اند: Meteor، Stardust و Comet. تفاوت‌هایی میان آنها وجود دارد؛ در حمله به سامانه سوخت ۱۴۰۰، شواهد حاکی است که از نسخه‌های تکامل‌یافته همین بدافزار برای پاک‌سازی لاگ‌های ویندوز، غیرفعال‌سازی برخی سرویس‌ها و اختلال در بوت سیستم‌ها استفاده شده است.

بیشتر بخوانید: اینترنت ملی چیست و آیا واقعاً باعث افزایش امنیت در دوران جنگ می شود؟

Chaplin – نام مستعاری است که برای ابزار اختصاصی مهاجمان در حمله به صنایع فولاد (خوزستان و …) به‌کار برده شد. Chaplin در واقع یک کیت مخرب برای نفوذ به سامانه‌های کنترل صنعتی است که اجازه می‌دهد مهاجم مستقیماً تجهیزاتی نظیر کوره‌های ذوب، ولو‌ها و روبات‌های کارخانه را کنترل یا تخریب کند.

 گزارش رویترز تأیید کرده که حمله سال ۲۰۲۲ به کارخانه فولاد که آتش‌سوزی به‌همراه داشت، حاصل چنین نفوذ عمیقی بوده که «خسارت دنیای واقعی» بر جا گذاشته است. این سطح از توانایی (ایجاد انفجار صنعتی) نشان می‌دهد ابزار‌هایی مانند Chaplin احتمالاً با پشتیبانی منابع دولتی توسعه یافته‌اند و برای سال‌ها آزموده شده‌اند. خود گروه گنجشک درنده نیز در بیانیه آن حمله، ویدئویی از لحظه انفجار منتشر کرد تا پیام جدی بودن توانشان را مخابره کند.

علاوه بر موارد فوق، گزارش‌ها به ابزار‌های دیگری نظیر MeteorExpress (مجموعه ابزار کامل حمله قطار شامل اسکریپت‌ها و بدافزارها)، بدافزار‌های پاک‌کننده ردپا (مثل حذف‌کننده لاگ رویداد و تغییر پیلود بوت در حمله پمپ‌بنزین) و استفاده از آدرس‌های ویژه بلاکچین (Vanity) در حمله Nobitex اشاره دارند. 

تکنیک‌های عملیات پیشرفته

عملیات‌های سایبری صورت‌گرفته علیه ایران، خصوصاً در سال‌های اخیر، حائز پیچیدگی‌های فنی و تاکتیکی قابل توجهی بوده‌اند. جرجندی مهمترین ویژگی‌های این عملیات ها را برشمرده و می گوید، هکرها در حملات سایبری اخیر؛

• قادر به تشخیص و دورزدن پدافند امنیتی از جمله فرار از آنتی‌ویروس ها بوده اند.
• قادر به نفوذ عمیق و حرکت درونی در شبکه بوده اند.
• زمان‌بندی و هماهنگی با رویداد‌های ژئوپلیتیک داشتند؛ برای نمونه، حمله پمپ‌بنزین‌ها در سال ۱۴۰۰ درست مصادف با سالگرد اعتراضات آبان ۹۸ (افزایش قیمت بنزین) رخ داد. یا موج حملات خرداد ۱۴۰۴ دقیقاً پس از آن صورت گرفت که گزارش شد اسرائیل تأسیسات هسته‌ای فردو و نطنز را هدف حمله نظامی قرار داده و ایران تهدید به انتقام کرده بود.
• به دنبال جنگ روانی و اعلان عمومی بودند.

آیا قطع اینترنت راه حل مقابله با حملات سایبری است؟

جرجندی در گزارش خود می گوید روشن کردن «اینترنت ملی» به دلایل امنیتی و قطع اینترنت بین المللی «تا حدی قابل درک است».

او توضیح داده که بسیاری از بدافزار‌ها برای ارسال فرامین یا نشت داده به ارتباط بیرونی نیاز دارند. با این حال او تاکید کرده خاموشی اینترنت یک سلاح دولبه است.

او گفته حملات گنجشک درنده به دلیل قطع اینترنت، پس از Nobitex ادامه نداشت؛ با این حال اگرچه با این کار موقتاً جلوی تشدید حملات سایبری گرفته شد، اما از سوی دیگر خودزنی دیجیتال نیز صورت گرفت؛ شبکه بانکی داخلی، دستگاه‌های خودپرداز و انجام تراکنش‌های مالی روزمره مختل و بسیاری کسب‌وکار‌های آنلاین دچار زیان شدند. همچنین در میانه حملات موشکی اسرائیل، مردم عادی توان دریافت اخبار و برقراری تماس با خارج برای کمک و اطلاع از وضعیت عزیزانشان را نداشتند.

این تجربه تلخ نشان داد که «زیرساخت نرم» اینترنت خود یک جبهه جنگ است و حاکمیت‌ها ممکن است برای بقا، حتی دست به قطع آن بزنند. در نهایت با میانجی‌گری بین‌المللی و اعلام آتش‌بس موقت، اینترنت پس از حدود دو هفته به حالت عادی بازگشت، اما خاطره آن در اذهان مردم به‌عنوان دوره‌ای از تاریکی دیجیتال باقی ماند.