Gerdab.IR | گرداب

به گزارش گرداب، در ادامه بررسی تقابلات سایبری آمریکا و روسیه، به عوامل و گروه‌های سایبری دیگر که نقش مهمی در حملات سالیان اخیر علیه ایالات متحده داشتند، می‌پردازیم. یکی از مهم‌ترین حملات سایبری روسیه، نفوذ به کمیته ملی دموکراتیک ایالات متحده بود که کارشناسان شرکت امنیت سایبری CrowdStrike بیان کردند این نفوذ توسط گروه‌های هکری APT۲۸ و APT۲۹ انجام شده، اما به دلیل پیچیدگی نوع حملات، روسیه این اتهامات را رد کرده بود. گروه‌های سایبری دیگر روسیه هم از همین شیوه برای نفوذ به وزارت خارجه و آژانس امنیت ملی آمریکا استفاده کردند و موجب اختلالات گسترده‌ای در سیستم‌های سایبری آن‌ها شدند.

           نفوذ به کمیته ملی دموکراتیک ایالات متحده توسط گروه‌های سایبری روسیه

دولت آمریکا به دخالت روسیه در تمام حوادث کشورش مشکوک بود، اما رسماً روسیه را تنها در رابطه با هک کمیته ملی دموکراتیک آمریکا متهم کرده بود و روسیه نیز این اتهامات در این حادثه و دیگر حوادث را رد کرد. محققان ادعا کردند که باتوجه‌به مدارکی از قبیل آدرس‌های پروتکل اینترنت یا محیط زبان رایانه¬هایی که برای ایجاد بدافزار مورداستفاده قرار گرفته، گروه‌های هکر روسی APT۲۸ و APT۲۹ به‌عنوان عاملان این حملات، احتمالا با دولت روسیه در ارتباط بوده‌اند.

                         فعالیت‌های مخرب گروه‌های هکر روسی APT۲۸ و APT۲۹

عوامل و گروه‌های سایبری
در مورد نفوذ به کمیته ملی دموکراتیک آمریکا ایالات متحده، کارشناسان شرکت امنیت سایبری CrowdStrike ادعا کردند که این نفوذ توسط گروه‌های حمله‌کننده APT۲۹ و APT۲۸ انجام شده است. طبق شواهد فنی این شرکت، گروه هکر‌های APT۲۹ از حدود یک سال قبل بر روی شبکه کمیته ملی دموکراتیک ایالات متحده کار می¬کردند و گروه هکر‌های APT۲۸ در مارس ۲۰۱۶ به همان شبکه نفوذ کرده بودند.

علاوه بر این، تحقیقات انجام‌شده به وجود چندین معیار دیگر از ارتباط این دو گروه هکر به روسیه اشاره می‌کند: آدرس‌های پروتکل اینترنت با منشأ روسیه، بدافزار‌های موجود در رایانه‌های آلوده که توسط گروه‌های هکر روسی شناخته شده و توسط گروه‌های هکر روسی مورداستفاده قرار گرفته است و همچنین زمان فعالیت هکر‌های این گروه‌ها با برنامه‌های روز کاری مسکو و تعطیلات روسیه مطابقت دارد.

                                   فعالیت‌های هکری دو گروه APT۲۸ و APT۲۹

گروه هکر‌های APT۲۹ مظنون به ارتباط با سرویس امنیت فدرال روسیه، اصلی‌ترین نهاد اطلاعاتی و امنیتی روسیه و جانشین KGB و سایر سازمان‌های اطلاعاتی نیز هستند. اعتقاد بر این است که گروه هکر‌ها از زمان حملات سایبری در چچن در سال ۲۰۰۸ فعال بودند و فعالیت آن‌ها در جریان تحقیقات حملات سایبری در وزارت امور خارجه ایالات متحده و کاخ سفید در سال ۲۰۱۵ کشف شد. همچنین اعتقاد بر این است که گروه هکر APT۲۹ مسئول حمله به رؤسای ستاد مشترک ایالات متحده در ژوئیه سال ۲۰۱۵ هستند.

                                   حمله سایبری به ستاد مشترک ایالات متحده

از سوی دیگر، این باور وجود دارد که گروه هکر APT۲۸ با اداره اطلاعات اصلی اطلاعات (GRU) و سرویس اطلاعات نظامی ارتش روسیه در ارتباط است.

این گروه هکر‌ها برای اولین‌بار در سال ۲۰۰۸ در جریان درگیری بین روسیه و گرجستان کشف شد. این گروه به هک کردن شبکه‌های دفاعی، انرژی، دولت و رسانه‌ها و به دلیل نفوذ به سرور‌های TV۵Monde و Bundestag در آلمان در آوریل ۲۰۱۵ متهم شده است. بااین‌حال به نظر می¬رسد گروه هکر‌های APT۲۸ تمایل به هدف‌گیری نظامی دارند؛ که احتمال اتصال این گروه به GRU را تأیید می¬کند. علاوه بر این، این گروه عملیات هک فیشینگ مانند ایمیلی که جان پودستا (John Podesta)، رئیس دفتر سابق رئیس‌جمهور ایالات متحده و مسئول کمپین تبلیغاتی هیلاری کلینتون در انتخابات ۲۰۱۶، را فریب داده بود و اطلاعات هویتی وی را دزدیده بود، اجرا کرده است.

                      استفاده از طرح‌های دقیق تله‌گذاری توسط گروه‌های هکری APT۲۸

این دو گروه از هکر‌ها از منابع قابل‌توجهی برخوردار هستند و این تردید را مبنی‌بر دریافت حمایت دولتی یا حمایت مالی تقویت می¬کنند. هر دو گروه بر جمع‌آوری اطلاعات، به طور خاص اطلاعات یا داده‌های حساس متمرکز هستند، اما برای اخاذی از آن استفاده نمی¬کنند. این واقعیت نشان می¬دهد که این گروه‌ها به دنبال سود مالی نیستند و اهداف دیگری را دنبال می‌کنند. علاوه بر این، هر دو گروه هکری حملات خود را مطابق با اهداف سیاسی روسیه ترتیب می¬دهند.

در مورد نفوذ در کمیته ملی دموکراتیک آمریکا، شخصی به نام Guccifer ۲.۰ مسئولیت هک و توزیع اطلاعات جمع‌آوری شده به ویکی لیکس و دیسی لیکس را به عهده گرفت. این نهاد ادعا کرد که رومانیایی است، اما محققان و کارشناسان امنیت سایبری CrowdStrike معتقدند که احتمالاً هویت Guccifer ۲.۰ برای سردرگمی محققان ایجاد شده و هویتی که در پشت آن قرار دارد، در حقیقت روسی است. در یک گزارش مشترک، جامعه اطلاعاتی آمریکا ارزیابی کرده که این هکر‌ها به اداره اصلی اطلاعات روسیه (GRU) وابسته بودند.

                                         هکر Guccifer ۲.۰ وابسته به GRU روسیه

در مورد نفوذ به آژانس امنیت ملی آمریکا، متهم گروه هکر‌هایی به نام Shadow Brokers بود. این گروه توانسته بود از طریق حراج‌های آنلاین، بدافزار‌هایی را که ظاهراً از گروه Equation ربوده، به فروش برساند. گروه Shadow Brokers برای اولین‌بار در فضای مجازی با حمله به آژانس امنیت ملی آمریکا در اوت ۲۰۱۶ و اولین حراج که متعاقب آن انجام شد، پا به این عرصه گذاشت.

                    گروه هکری Shadow Brokers و نفوذ در آژانس امنیت ملی آمریکا

کارشناسانی که نمونه بدافزار‌های تهیه شده توسط این گروه را تجزیه‌وتحلیل کرده‌اند، نتیجه گرفته‌اند که این بدافزار می‌تواند از آژانس امنیت ملی آمریکا باشد. گروه هکر‌ها هیچ خریداری را برای بدافزار‌های مسروقه پیدا نکردند و اولین حراج را در اکتبر سال ۲۰۱۶ در فراخوان گذاشتند. آن‌ها بعدتر در ژانویه ۲۰۱۷ با حراج جدید برگشتند و اعلام کردند که این آخرین اقدام آن‌ها است و سپس ناپدید شدند.

کارشناسان اظهار داشتند گروهی که بتواند به شبکه آژانس امنیت ملی آمریکا نفوذ کند، باید توسط دولت یا نیروی خودی مورد حمایت باشد. استدلال دوم این است که هیچ سروری نمی‌تواند چنین نمونه بزرگی از ابزار‌های سایبری را یک جا داشته باشد و اینکه احتمالاً از یک شبکه داخلی آژانس امنیت ملی آمریکا به سرقت رفته باشد یا به یک درایو USB دسترسی داشته باشد. کارشناسان اظهار داشته‌اند که این گروه همچنین ممکن است با یک کارمند سابق آژانس امنیت ملی آمریکا، یعنی هارولد توماس مارتین که در اکتبر سال ۲۰۱۶ با ۵۰ ترابایت اطلاعات سرقت شده دستگیر شده است، ارتباط داشته باشد.

                        هارولد توماس مارتین کارمند سابق آژانس امنیت ملی آمریکا

با این حال، همیشه در برچسب‌زنی‌ها در فضای مجازی تردید وجود خواهد داشت. برچسب‌زنی به طور معمول از منطق cui bono (به نفع خود) پیروی می‌کند، اما حتی با این استدلال، نمی‌توان اطمینان داشت که عوامل خاصی که از این حمله سود ببرند، واقعاً مرتکب آن شده باشند.

شواهد ارائه شده توسط گزارش‌های رسمی ایالات متحده، جریان اصلی رسانه¬های غربی و شرکت¬های امنیت سایبری روسیه را متهم می¬دانند. درحالی‌که مطمئناً روسیه از پیروزی دونالد ترامپ بهره برد، هنوز هم احتمال جعلی بودن این شواهد بر علیه دولت روسیه وجود دارد. تنظیمات موقعیت مکانی در رایانه‌ها قابل تغییر بوده و بدافزار‌های مورداستفاده نیز در بازار سیاه موجود است. به گفته مایکل هایدن، رئیس پیشین آژانس امنیت ملی آمریکا، سازمان او اطلاعات مربوط به احزاب و نهاد‌های سیاسی خارجی را جمع‌آوری کرده است و به همین دلیل، می‌توان این فرضیه را مطرح کرد که سرویس¬های اطلاعاتی خارجی اطلاعات مربوط به ایالات متحده را هم جمع می¬کردند.

                           مایکل هایدن رئیس پیشین آژانس امنیت ملی آمریکا

همان‌طور که قبلاً گفته شد، نهاد‌های دولتی و احزاب سیاسی ایالات متحده اهداف ارزشمندی برای سازمان‌های اطلاعاتی کشور‌های مختلف از جمله روسیه هستند.

نتیجه گیری
دو گروه هکری APT۲۸ و APT۲۹ نقش مهمی در حمله سایبری به کمیته ملی دموکراتیک ایالات متحده داشتند. این گروه‌های هکری از زمان حملات سایبری سال ۲۰۰۸ چچن فعال بودند و در جریان تحقیقات حملات سایبری در وزارت امور خارجه ایالات متحده و کاخ سفید در سال ۲۰۱۵ شناسایی شدند. هر دو گروه هکری مرتبط با سازمان‌های اطلاعاتی روسیه هستند و حملات خود را بر اساس اهداف سیاسی روسیه ترتیب می¬دهند.

یکی دیگر از گروه‌های سایبری روسیه Guccifer ۲.۰ است که مسئولیت حمله به کمیته ملی دموکراتیک آمریکا و ویکی لیکس و دیسی لیکس را برعهده گرفت. این گروه برخلاف ادعایش که خود را رومانیایی معرفی می‌کردند طبق نتایج گزارش‌های جامعه اطلاعاتی آمریکا وابسته به اداره اصلی اطلاعات روسیه GRU)) بودند.

آخرین گروه هکری Shadow Brokers در چندین مرحله به آژانس امنیت ملی آمریکا حمله کرد و طبق نظرات کارشناسان امنیت سایبری آمریکا احتمالاً نیرویی نفوذی در بدنه دولت یا دستگاه‌های حاکمیتی به این گروه هکری وابسته به روسیه کمک کرده است.

منابع: 

https://cdnuploads.aa.com.tr/uploads/Contents/۲۰۱۶/۰۷/۲۹/thumbs_b_c_bd۳c۷c۵e۷d۱۶۸ef۸b۵ee۹۵۴۶۱۱cf۶d۳۰.jpg
https://www.fireeye.com/blog/threat-research/۲۰۱۵/۰۷/hammertoss_stealthy.html
https://www.bloomberg.com/politics/articles/۲۰۱۶-۰۹-۰۲/putin-says-dnc-hack-was-a-public-good-but-russia-didn-t-do-it
https://encrypted-tbn۰.gstatic.com/images?q=tbn%۳AANd۹GcRNr۵_wwDZiVVtuRDjLjnAGMZyAXud۳WHmM_A&usqp=CAU
https://www.thesslstore.com/blog/apt۲۸-apt۲۹/
https://www.theguardian.com/technology/۲۰۱۶/jul/۲۹/cozy-bear-fancy-bear-russia-hack-dnc
https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/
https://www.militarytimes.com/news/your-military/۲۰۱۸/۱۰/۱۲/pentagon-reveals-cyber-breach-of-travel-records/
https://www.balcanicaucaso.org/eng/Projects۲/ESVEI/News-Esvei/Did-the-State-do-it-The-attribution-of-cyber-attacks-۲۰۰۷۹۸
https://fortune.com/۲۰۱۸/۰۳/۲۴/dnc-hacker-russia-guccifer/
https://www.youtube.com/watch?v=luvF-lyozL۰
https://www.thedailybeast.com/exclusive-lone-dnc-hacker-guccifer-۲۰-slipped-up-and-revealed-he-was-a-russian-intelligence-officer
https://www.darkreading.com/vulnerabilities---threats/the-shadow-brokers-how-they-changed-cyber-fear/v/d-id/۱۳۲۹۶۴۱
https://unresolved.me/the-shadow-brokers-part-two-execute
http://sourcesoft.ir/%d۸%b۴%d۸%af%d۹%۸۸-%d۸%a۸%d۸%b۱%d۹%۸۸%da%a۹%d۸%b۱%d۸%b۲-%d۹%۸۸%d۸%b۹%d۸%af%d۹%۸۷-%d۸%a۸%d۸%a۷%d۸%b۲%da%af%d۸%b۴%d۸%aa-%d۸%a۸%d۸%a۷-%d۹%۸۲%d۸%af%d۸%b۱%d۸%aa-%d۸%b۱%d۸%a۷-%d۸%af%d۸%a۷%d۸%af/
https://www.cyberscoop.com/shadow-brokers-nsa-microsoft-windows-exploits-۲۰۱۷/
https://raysemko.com/۲۰۱۷/۰۲/۱۳/harold-hoarder-martin-indicted/
https://www.nytimes.com/۲۰۱۷/۰۱/۰۷/world/europe/russians-ridicule-us-charge-that-kremlin-meddled-to-help-trump.html?partner=google_editors_choice
https://www.irna.ir/news/۸۲۶۵۴۹۰۵/%D۹%۸۷%D۸%B۴%D۸%AF%D۸%A۷%D۸%B۱-%D۸%B۱%D۸%A۶%DB%۸C%D۸%B۳-%D۸%B۳%D۸%A۷%D۸%A۸%D۹%۸۲-%D۸%B۳%DB%۸C%D۸%A۷-%D۸%AF%D۸%B۱-%D۹%۸۵%D۹%۸۸%D۸%B۱%D۸%AF-%D۹%۸۴%D۹%۸۱%D۸%A۷%D۸%B۸%DB%۸C-%D۹%۸۷%D۸%A۷%DB%۸C-%D۸%AA%D۸%B۱%D۸%A۷%D۹%۸۵%D۹%BE-%D۸%AF%D۸%B۱-%D۸%A۷%D۸%B۱%D۸%AA%D۸%A۸%D۸%A۷%D۸%B۷-%D۸%A۸%D۸%A۷-%D۹%۸۳%D۸%B۱%D۹%۸۷