رفتن به محتوای اصلی
پنجشنبه ۲۵ مرداد ۱۳۹۷
.

دسته بندی اخبار

دسته بندی عمومی

ایران‌هراسی سایبری، این بار با برند «Recorded Future»

ایران‌هراسی سایبری، این بار با برند «Recorded Future»

موج ایران هراسی سایبری، بعد از خروج آمریکا از برجام و اعلام آن توسط رئیس‌جمهور این کشور، شدت بیشتری یافت و هرروز گزارش تازه‌ای توسط شرکت‌ها و نهادهای امنیتی غربی در این زمینه منتشر شد. در ادامه بررسی گزارش‌های منتشرشده در مورد توانایی‌های سایبری ایران و اتهام زنی کشورهای غربی به دولت جمهوری اسلامی، به بررسی گزارش شرکت Recorded Future خواهیم پرداخت.

رکوردد فیوچر، یک شرکت امنیت سایبری است که در سال ۲۰۰۹ تأسیس گردید و دفاتر اصلی آن در آمریکا و سوئد می‌باشد. این شرکت در زمینه رصد و پایش وب و شناسایی تهدیدات فعالیت می‌کند. یکی از ابزارهای تحلیلی مورداستفاده این شرکت Temporal Analytics™ Engine نام دارد که از طریق اسکن کردن منابع اینترنتی (شامل تمام سطوح وب)، استخراج و داده‌کاوی، اندازه‌گیری و نمودار سازی اطلاعات، به تحلیلگران کمک می‌کند تا وقایع و تهدیدات آینده را پیش‌بینی نمایند.

 یکی از نکات قابل‌توجه در مورد Recorded Future، سرمایه‌گذاری عظیم شرکت‌های In-Q-Tel (متعلق به CIA) و Google Ventures در این شرکت می‌باشد. گروهی موسوم به Insikt Group که یکی از زیرمجموعه‌های Recorded Future است از طریق انجام مصاحبه‌هایی با یک ایرانی، که به ادعای این شرکت، در ایران زندگی می‌کرده و بنیان‌گذار یکی از انجمن‌های امنیتی  ایران بوده است، به برخی از اطلاعات ارائه‌شده در این گزارش دست پیدا کرده‌اند.

سایر اطلاعات ارائه‌شده در گزارش توسط تکنیک‌های جمع‌آوری اطلاعات و تحقیقات از منابع عمومی (OSINT ) و با استفاده از ابزارهای مختلف به دست آمده است.

 

در بخش‌هایی از این گزارش آمده است:

 

«جمهوری اسلامی ایران از سال ۲۰۰۹ همواره سعی دارد که از طریق ایجاد کمپین‌های خصمانه سایبری به تحریم‌های وضع‌شده علیه خود پاسخ دهد. تاریخ نشان می‌دهد که ایران همواره علاقه‌مند به استفاده از سازمان‌های نیابتی هم در جنگ فیزیکی (حزب ا... علیه اسرائیل و حوثی‌های یمن علیه عربستان سعودی) و هم در حملات سایبری به‌منظور دستیابی به اهداف سیاسی خود بوده است.

در حال حاضر ایران با تأثیرات منفی حاصل از بازگشت دوباره تحریم‌ها مواجه شده است. در ۸ می ۲۰۱۸، رئیس‌جمهور ترامپ اعلام کرد که آمریکا از توافق هسته‌ای خارج خواهد شد و همچنین مجازات‌های اقتصادی بیشتری علیه ایران اعمال خواهد کرد. طبق ارزیابی‌های ما و بر اساس واکنش‌های ایران نسبت به فشارهای اقتصادی در سال‌های اخیر، ایران احتمالاً طی چند ماه آینده از طریق انجام حملات سایبری علیه شرکت‌های مالی، فراهم‌کنندگان زیرساخت‌های حیاتی، بخش‌های دولتی، بانک‌ها و یا بخش‌های نفت و گاز، به آن پاسخ خواهد داد. »

در بخش دیگری از این گزارش، با استناد به ادعای پیشین کارشناسان غربی در مورد ایران، به بیان این موضوع پرداخته شده است که ایران، در استفاده از حملات سایبری، سابقه‌ای تاریخی دارد و بر همین اساس، این بار نیز از حملات سایبری برای تلافی کردن اقدام آمریکا به خروج از برجام، استفاده خواهد کرد. در این بخش از گزارش آمده است:

«جمهوری اسلامی تاکنون در ۲ موقعیت شیوه‌های مرسوم خود در عملیات سایبری را کنار گذاشته است. در این هنگام یک پاسخ و واکنش سریع موردنیاز بود، یک‌بار در سال ۲۰۱۲ و بار دیگر در سال ۲۰۱۴، ایران از این شیوه برای پاسخ به غرب استفاده کرده است. طبق ارزیابی‌های ما، هنگامی مجریان عملیات سایبری ایران به خروج آمریکا از برجام پاسخ می‌دهند که عملیات توسط پیمانکاران توانمند انجام شود، ولی اعتماد ایران به این پیمانکاران زیاد نیست. عملیات سایبری ایرانی‌ها با یک رویکرد چندلایه‌ای مدیریت می‌شود. به این صورت که گروهی از مدیران میانی که از نظر ایدئولوژیک و سیاسی قابل‌اعتماد باشند، اولویت‌های اطلاعاتی را به وظایف سایبری جداگانه تقسیم می‌کنند و سپس آن را به چند پیمانکار (برای انجام) پیشنهاد می‌دهند. این شیوه یک سیستم شبه سرمایه‌داری ایجاد می‌کند که موجب می‌شود پیمانکاران برای جلب‌توجه حکومت ایران با یکدیگر رقابت کنند.

بر اساس اطلاعات منابع ما که از گفتگو با هکرهایی در درون ایران به‌دست‌آمده است، در حال حاضر بیش از ۵۰ پیمانکار برای انجام پروژه‌های خصمانه سایبری حکومت ایران در حال رقابت با یکدیگر هستند. تنها بهترین افراد یا تیم‌ها موفق می‌شوند، به آن‌ها پول پرداخت می‌گردد و در گردونه رقابت باقی می‌مانند.»

ایالات‌متحده آمریکا، بر اساس تعریف نادرستی که به دنیا ارائه کرده است، معیارهای جدیدی برای تعریف تروریسم دارد. بر اساس ادعای این کشور، جریان‌هایی نظیر حزب‌الله لبنان، انصار الله یمن و حشد الشعبی در عراق، گروهک‌های تروریستی هستند که ایران، برای انجام دادن عملیات نیابتی خود، از آن‌ها بهره‌برداری می‌کند. همچنین این کشور مدعی است که ایران در فضای سایبری نیز، نایبانی دارد که عملیات ایران را به نتیجه می‌رسانند. در قسمت دیگر گزارش شرکت امنیت سایبری Recorded Future، به این موضوع اشاره‌شده است:

«از سال ۱۹۷۹ واکنش ایران در مواجهه با دشمنان خود در خاورمیانه، سیاست استفاده از عملیات نیابتی بوده است. به‌طور خاص اسرائیل، عربستان سعودی، آمریکا و عراق، اهداف اغلب فعالیت‌ها و سرمایه‌گذاری‌های نظامی ایران بوده‌اند. این امر، اخیراً از طریق شورشی‌های حوثی در یمن و حزب ا... در نقاط دیگر که توسط ایران تجهیز می‌شوند، صورت می‌گیرد.

از سال ۲۰۰۹، ایران نایبانی در حوزه‌های سایبری پرورش داده است تا بتواند تا اندازه‌ای ردپای حکومت را از حملات سایبری به سایر کشورها پاک کند. پس از شروع برنامه عملیات سایبری در سال ۲۰۰۹، در پائیز ۲۰۱۲ و پس از تحریم‌های شدید مالی (حذف ایران از سیستم انتقال پول SWIFT) که توسط اوباما برای ایران وضع شد، حکومت ایران نیاز فوری به استفاده از برنامه عملیات سایبری پیدا کرد تا بتواند به تحریم‌ها پاسخ دهد.

حکومت ایران در جواب تحریم‌های آمریکا اقدام به راه‌اندازی کمپین حملات اختلال در سرویس (DOS) علیه بخش‌های بزرگ مالی ایالات‌متحده کرد. این کمپین "عملیات ابابیل" نام داشت.

به‌طور مشابه، یک سال بعد و در پاییز ۲۰۱۳، شلدون ادلسون (مدیر شرکت sands Corporation) که یک سرمایه‌گذاری یهودی آمریکایی است، پیشنهاد داد که ایالات‌متحده باید به‌وسیله سلاح هسته‌ای به ایران حمله کند. در فوریه ۲۰۱۴ ایران یک حمله مخرب علیه شرکت sands Corporation در لاس‌وگاس انجام داد که موجب آسیب‌های شدیدی به شبکه‌های این شرکت شد. این دومین حمله‌ی عمومی ایران به یک شرکت آمریکایی بود که در آن، نیاز به پاسخ سریع و آماده‌سازی سریع حس می‌شد. »

 

ادامه اتهام زنی به سپاه پاسداران انقلاب اسلامی و شبهه پراکنی به نهادهای امنیت ایرانی

 

بخش دیگری از این گزارش، به موضوع سپاه پاسداران انقلاب اسلامی و عملیات منتسب به این نهاد پرداخته است. غربی‌ها و شرکت‌های امنیتی، همواره، سپاه را مرجع و منشأ انجام حملات سایبری علیه مواضع آمریکایی‌ها می‌دانند و تاکنون، تحریم‌هایی را نیز علیه این نهاد ایرانی، به بهانه مقابله با حملات سایبری وضع کرده‌اند. در این قسمت از گزارش آمده است:

«در حال حاضر سپاه پاسداران نخستین سازمان امنیتی ایران است و دارای ارتشی متشکل از نیروی زمینی، دریایی و هوایی می‌باشد. این سازمان، انبارهای موشک‌های بالستیک ایران و عملیات جنگ نامنظم را از طریق نیروی قدس و نایبانی همچون حزب ا...، مدیریت می‌نماید. سپاه پاسداران اختیارات زیادی در زمینه امنیت اطلاعات داخلی و نظارت و رصد را داراست. همچنین مأموریت‌های گسترده خارجی را نیز بر عهده دارد. این سازمان حداقل از سال ۲۰۱۱ با حملات سایبری علیه سازمان‌های غربی، ارتباط پیدا کرده است.

طی وقوع اعتراضات در سال ۲۰۰۹، وب‌سایتی با نام Gerdab.ir به‌عنوان یک گروه هکری داخلی متعلق به سپاه پاسداران، ظهور کرد. این گروه به دنبال هدف قرار دادن وب‌سایت‌های خبری مخالفان و افرادی بود که از نظر رژیم ایران، فاسد تلقی می‌شدند. هکرهای ایرانی که وب‌سایت‌های حکومتی ایران را مورد هدف قرار دادند، توسط گرداب شناسایی‌شده و به زندان انداخته شدند. گرداب همچنان به‌عنوان یک عامل سانسور درونی برای حکومت ایران عمل می‌نماید.»

یکی دیگر از بخش‌هایی که در این گزارش به آن اشاره شده است، مسئله ارتش سایبری ایران و عملیاتی است که به این گروه منتسب شده است. غربی‌ها معتقدند که ایران، با گردآوری جمعی از هکرهای حرفه‌ای و کارآزموده، حملات گسترده‌ای را علیه مواضع غربی‌ها سازمان‌دهی می‌کند. در این قسمت از گزارش آمده است:

«ظهور ارتش سایبری ایران (ICA)، به‌عنوان یک بخش اضافه‌شده به سپاه پاسداران، جزئی از کوشش‌های جمهوری اسلامی برای هدایت عملیات متمرکز بین‌المللی بود. در سال ۲۰۱۱، ارتش سایبری ایران مرکز خیبر را شکل داد. طبق اطلاعات به‌دست‌آمده از یک فرمانده سابق سایبری سپاه پاسداران، مرکز خیبر در سال ۲۰۱۱ تأسیس شد و با تعدادی از حملات سایبری علیه ایالات‌متحده، عربستان سعودی و ترکیه مرتبط است.

طبق اطلاعات به‌دست‌آمده، ایران پس از جنبش سبز تصمیم گرفت توانایی‌های سایبری خود را افزایش دهد، اما جوان بودن افراد مستعد و تمرکز آن‌ها بر روی انگیزه‌های مالی، از مشکلات اصلی این کشور بود. ایران دریافت که انگیزه‌های مالی می‌تواند برای این کشور در آینده مشکل‌ساز شود، زیرا سازمان‌های جاسوسی دیگر کشورها قادر به پرداخت مبالغ بالاتری به این افراد بودند.

بر این اساس، حکومت ایران تصمیم به پیشبرد اهداف خود به‌صورت سطح‌بندی شده می‌گیرد و در این راه شبکه‌ای از افراد غیررسمی که با سپاه پاسداران انقلاب اسلامی (IRGC) و حکومت ایران ارتباط دارند را استخدام می‌کنند. بر اساس منابع موجود، تخمین زده می‌شود که بیش از ۵۰ سازمان، برای انجام پروژه‌های تهاجمی سایبری حکومت ایران با یکدیگر در حال رقابت هستند و تنها تیم‌هایی که موفق به انجام این پروژه‌ها می‌شوند امکان دریافت پول و ادامه‌ی فعالیت‌هایشان را دارند.

اتهامات وارده به مؤسسه‌ی مبنا از سوی FBI نشان می‌دهد که با وجود رفع تحریم‌ها و میل این کشور به حضور مجدد در مجامع جهانی، ایران همچنان به دنبال راه‌اندازی کمپین عملیات سایبری خصمانه و مخرب جهانی می‌باشد. این کمپین درحال‌گسترش که سرقت اطلاعات علمی از دانشگاه‌ها و مراکز فناوری را مورد هدف قرار داده است، نشان‌دهنده عدم اعتماد این کشور به معاهدات جهانی نظیر برجام (JCPOA) می‌باشد.»

 

مؤسسات و نهادهای مختلف ایرانی، در تیررس اتهامات غربی‌ها

 

شرکت رکوردد فیوچر، در بخش دیگری از گزارش خود در زمینه فعالیت‌های سایبری ایران، به معرفی برخی از نهادها و مؤسسات ایرانی پرداخته است که به ادعای این شرکت امنیتی، با گروه‌های عملیات سایبری ایران در ارتباط هستند. همچنین در ادامه، این شرکت امنیتی به ارتباطات دولت ایران، با برخی از کشورهای دیگر، در زمینه بهره‌مندی از فناوری و زیرساخت‌های آن کشورها، برای سازمان‌دهی حملات سایبری ایران، اشاره‌شده است. در این بخش از گزارش آمده است:

 

«مؤسسه تحقیقات سایبری ایران

مؤسسه تحقیقات سایبری ایران (CSRI )، مرکزی تحقیقاتی وابسته به دانشگاه معتبر شهید بهشتی است. بر اساس اطلاعات مرکز ثبت اینترنتی RIPE NCC، این مؤسسه بخش قابل‌توجهی از IP های اختصاص‌یافته به دانشگاه شهید بهشتی را مدیریت می‌کند. تیم تحقیقاتی ما، تاکنون فعالیت‌های نگران‌کننده‌ای از محدوده IP های متعلق به این دانشگاه شناسایی کرده است.

از ۴ تا ۹ آوریل ۲۰۱۸، جلسات مکرری بین نهادهای ایرانی و شبکه‌های دانشگاهی و دولتی اسپانیا برقرار شده بود. این تبادلات دیتا در حجم عظیمی صورت گرفته است. شبکه‌های اسپانیایی، دخیل در این تبادلات، مربوط به دانشگاه‌های میان‌رشته‌ای و مراکز دولتی اسپانیا بودند. مراکز مذکور مسئول دیجیتالی کردن و هوشمند سازی خدمات عمومی دولت اسپانیا هستند. ارتباط مستقیم بین دانشگاه‌های ایران و اسپانیا، یا از رابطه عمیق علمی دو کشور حکایت می‌کند و یا نشان از غیرمجاز بودن انتقال حجم زیاد دیتا از مؤسسه‌های اسپانیایی دارد. بسیار بعید به نظر می‌رسد که مؤسسه تحقیقات سایبری ایران منافع کسب‌وکار منطقی‌ای در ارتباط گرفتن با بخش‌های دولتی اسپانیا داشته باشد؛ بنابراین حجم بالای انتقال دیتا بین دو شبکه در این بازه زمانی اندک علامت روشنی برای احتمال مخرب بودن این فعالیت‌ها است.

در ماه آوریل و درست در همین زمان، فعالیت‌های سایبری مؤسسه تحقیقات سایبری ایران نشان از افزایش بسیار زیاد رابطه با وزارت علوم و فناوری فیلیپین داشت. همانند شبکه‌های اسپانیایی، حجم بالایی از اطلاعات بین شبکه‌های مؤسسه ایرانی و وزارتخانه فیلیپینی جابه‌جاشده بود.

پس از انعقاد برجام در سال ۲۰۱۵ و آب شدن یخ ارتباطات بین ایران و کشورهای غربی، انتظار این سطح از ارتباطات و تعاملات علمی‌-دانشگاهی طبیعی بود. سال‌های ۲۰۱۵ و ۲۰۱۷ دانشگاه‌های فیلیپین و اسپانیا بر سر توسعه همکاری‌های علمی با مؤسسه‌های ایرانی توافق کردند. بااین‌وجود، نگاهی به سابقه مؤسسه تحقیقات سایبری ایران در سرقت اطلاعات علمی از طریق عملیات سایبری و شواهدمان از کمپین‌های سرقت اطلاعات علمی از دانشگاه‌های سراسر دنیا، از ارزیابی ما مبنی بر احتمال مخرب بودن فعالیت‌های مابین مؤسسه ایرانی و دانشگاه‌های اسپانیایی و فیلیپینی حکایت دارد.

در بازه‌های زمانی مختلف، مؤسسه تحقیقات سایبری ایران از بات "پارسی‌گو" (Parsijoo) برای جستجوی سایت‌های هدف خود استفاده کرده است. به اساس وب‌گاه ویکی‌پدیا، پس از گوگل، پارسی‌جو دومین موتور جستجوی محبوب در ایران است. در جریان تحقیقاتمان متوجه خزش (crawling) وب‌گاهی شدیم که در زمینه مهاجرت ایرانی‌ها به کانادایی‌ها تخصص دارد و آدرس آن www.itc-canada.com است. این خزش‌ها با استفاده از بات پارسی‌جو و از IP های مؤسسه تحقیقات سایبری ایران انجام می‌شد. تحقیقات دوماهه ما (۱۰ فروردین تا ۱۰ اردیبهشت) از علاقه بسیار زیاد خزش گر پارسی‌جو به این وب‌گاه خبر می‌دهد.

نهایتاً، ما متوجه شدیم که مؤسسه تحقیقات سایبری ایران از IP هایی که به نام شرکت فناوری سایبری رِوند  ثبت شده‌اند استفاده می‌کند. این شرکت در زمینه خدمات میزبانی رایانش ابری فعالیت می‌کند و آدرس آن www.ravand.com است. این شرکت روابط قوی با حکومت (regime) ایران دارد و سابقه میزبانی (hosting) وب‌گاه خبری فارس را دارد.

 

دانشگاه امام حسین(ع)

 

دانشگاه جامع امام حسین دانشگاهی ایرانی مستقر در تهران و وابسته به سپاه، وزارت علوم، تحقیقات و فناوری، وزارت دفاع و پشتیبانی نیروهای مسلح است.

در جریان تحقیقاتمان، متوجه علاقه زیاد دانشگاه امام حسین به مراکز آموزش عالی و دپارتمان‌های دولتی اسپانیا شدیم. شبکه‌های دو عدد از مراکز دانشگاهی اسپانیا (که با مؤسسه تحقیقات سایبری ایران ارتباط داشتند) حجم بالایی از داده را با IP های دانشگاه امام حسین تبادل کرده بودند.

 

مؤسسه مبنا 

 

همان‌طور که گفتیم، مؤسسه مبنا به خاطر همکاری در حملات جاوسوسی-سایبری حکومت ایران، توسط FBI متهم شناخته شد.»

 

 

شلوغ‌کاری مطبوعاتی، عادت غربی‌ها برای فرار از مسئولیت

 

مقامات آمریکایی و رسانه‌های غربی، همواره در تلاش هستند تا با نوعی شلوغ‌کاری در عرصه اطلاع‌رسانی، برگ برنده در مناقشات بین‌المللی را از آن خود کنند. این شیوه مرسوم آن‌ها محسوب می‌شود و این روش را در برابر بسیاری از مخالفین خود به کار بسته‌اند. به‌عبارت‌دیگر، آن‌ها تلاش می‌کنند با استفاده از این روش، دشمنان خود را از انجام هرگونه اقدام در فضای سایبری، بازدارند و از زیر بار مسئولیت‌های خود در عرصه بین‌الملل، فرار کنند.

 

در بخش پایانی گزارش شرکت رکوردد فیوچر، در مورد فعالیت‌های سایبری ایران آمده است:

«بر اساس شروط برجام، ایران درازای کاهش تحریم‌ها محدود شدن برنامه هسته‌ای خود را پذیرفت. بااین‌وجود، برخی از شروط مختلف این عهدنامه در طول ۲۵ سال آینده و در سال‌های مختلف یکی‌یکی منقضی می‌شوند و عمر برخی از این شروط تا سال ۲۰۲۵ است. ۸ می ۲۰۱۸ (۱۸ اردیبهشت) رئیس‌جمهور ترامپ، علاوه بر تصمیم برای عدم تمدید تعلیق برخی از تحریم‌های آمریکایی، عملاً از برجام خارج شد. درنتیجه ارزیابی ما این است که به‌احتمال‌زیاد، ایران در پاسخی سریع به این اقدام ترامپ، حملات مخربی علیه مراکز کسب‌وکار آمریکا، اروپا و رقبای خود مانند عربستان و اسراییل راه‌اندازی خواهد کرد.

همچنین ممکن است ایران از طریق هم‌پیمانان سایبری خود (به‌صورت نیابتی) کمپین‌های سایبری دقیق (روشمند) و پایدار برای انتقام‌جویی تدارک ببیند. این کمپین‌ها ممکن است به همراه حملات مخرب ترکیب و به کار گرفته شوند. با توجه به ازسرگیری و توسعه تحریم‌های اقتصادی، به‌احتمال فراوان، مراکز کسب‌وکار آمریکا، اروپا و رقبای ایران هدف حملات مخرب پایدار بیشتری از سوی این کشور قرار بگیرند.

علاوه بر این، تحقیقات ما نشان می‌دهد، نیاز به یک حمله سریع، جمهوری اسلامی را وادار می‌کند تا پیمان‌کارهایی را مورداستفاده قرار دهد که ازلحاظ سیاسی و ایدئولوژیک وابستگی کمتری [به حکومت] دارند و کنترلشان سخت‌تر است. همین موضوع توانایی حکومت برای کنترل مقیاس و وسعت حملات مخرب را کاهش می‌دهد.»

 

سخن آخر:

 

خروج ایالات‌متحده آمریکا از توافق بین‌المللی برجام، موضوع غیرقابل‌پیش‌بینی و ویژه‌ای نبود و از ماه‌ها پیش، عملاً آمریکا، از برجام خارج شده بود. درنهایت باید بر این موضوع تأکید کرد که ایران، به‌عنوان کشوری که در مواضع مختلفی با آمریکا در تعارض قرار دارد، همواره باید مراقب تهدیدات در فضاهای مختلف، خصوصاً فضای سایبری باشد و تمرکز مسئولین محترم کشور برای امن سازی زیرساخت‌ها در برابر تهدیدات سایبری، از نکات مورد درخواست همه ملت ایران است. تجربه تلخ استاکس نت، این موضوع را ثابت کرد که حملات سایبری، دیگر رؤیا و خواب نیستند و واقعیت پیدا کرده‌اند، بنابراین باید برای مقابله با چالش آن‌ها، برنامه‌ریزی داشت، در غیر این صورت، برآورد خسارت‌های این‌گونه حملات، غیرممکن است.

به اعتقاد برخی از کارشناسان، این احتمال وجود دارد که آمریکا از این حجم از خبرسازی، به دنبال مشروعیت‌بخشی به حمله احتمالی سایبری به مواضع ایران باشد، نکته مهمی که چالش عمده‌ای برای امنیت ملی ما خواهد بود.

 

۴۹