اف‌بی‌آی چطور به گروه باج‌افزاری هایو حمله کرد؟

اف‌بی‌آی چطور به گروه باج‌افزاری هایو حمله کرد؟
تاریخ انتشار : ۰۸ شهريور ۱۴۰۲

گروه هایو بارها زیرساخت‌های رایانه‌ای آمریکا را مورد حمله قرار داده بود.

به گزارش گرداب، اف‌بی‌آی آمریکا در ماه‌های گذشته توانست روند فعالیت گروه باج‌افزاری هایو را مختل کند. نشریه پولیتیکو در گزارشی جزئیاتی از این حادثه را منتشر کرده است.

«پایگاه رسانه‌ای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزه‌های مختلف فناوری اقدام می‌کند. انتشار مطالب به معنای تایید محتوای آن نیست».


اف‌بی‌آی در تلاش است تا مبارزه را به باج‌افزار‌های خارجی بکشاند، حتی اگر به معنای دستگیری آن‌ها باشد. هایو پیشتر، یکی از پرکارترین گروه‌های هکری در جهان بود که به دلیل خراب کردن شبکه‌های مدارس، کسب‌وکار‌ها و مراکز مراقبت بهداشتی آمریکا شهرت پیدا کرده بود.

اف بی آی اوایل سال جاری یک باند مجرم سایبری معروف به هایو را سرنگون کرد و این کار را بدون دستگیری یک نفر انجام داد. این اقدامی بود که منعکس کننده تغییر قابل توجهی در روش مبارزه با جرایم سایبری توسط این سازمان- یعنی تمرکز بر هکر‌ها و مختل کردن آن‌ها از راه دور به جای بازداشت آنها- است. بیشتر مجرمان سایبری در کشور‌هایی فعالیت می‌کنند که از دسترس مجریان قانون ایالات متحده خارج هستند.

معاون دادستان کل لیزا موناکو در کنفرانس امنیتی در ماه آوریل گفت که بر اساس استاندارد‌های قدیمی این اداره، جشن گرفتن موفقیت در یک پرونده بزرگ مانند آن بدون دستگیری، «بدعت» بود. اما حالا، ما دیگر موفقیت خود را تنها با اقدامات دادگاه اندازه گیری نمی‌کنیم. هایو زمانی یکی از پرکارترین گروه‌های جنایتکار در جهان بود که به دلیل بستن شبکه مدارس، مشاغل و مراکز مراقبت بهداشتی آمریکا - و سپس درخواست باج برای بازگرداندن دسترسی، مشهور بود. اما ماموران میدانی اف بی آی در فلوریدا موفق شدند این گروه را با استفاده از صفحه کلید باز کنند، ابتدا در جولای ۲۰۲۲ مسیر آن‌ها را به شبکه هایو هک کردند و سپس با کمک به سازمان‌های مورد هدف برای باز کردن قفل سیستم‌های خود به تنهایی، تلاش‌های هایو برای اخاذی را خنثی کردند.

آدام هیکی، معاون دستیار دادستان کل در بخش امنیت ملی وزارت دادگستری در زمان سرنگونی هایو گفت: اف بی آی تخمین می‌زند که با این حمله حدود ۱۳۰ میلیون دلار از قربانیان در سراسر جهان صرفه جویی کرده است - شاهکاری که اثربخشی این رویکرد را ثابت می‌کند. هیکی گفت: «تن‌ها اوباش فکر می‌کنند که زندانی کردن مردم تنها راه مقابله با تهدید سایبری است.».
اما این رویکرد محدودیت‌هایی نیز دارد. مصاحبه پولیتیکو با مقامات اف بی آی و کارشناسان مستقل امنیت سایبری جزئیات تازه‌ای را در پسِ این تلاش‌ها در مورد چگونگی برداشتن حمله توسط اف بی آی نشان می‌دهد. در واقع این اقدام اغلب فقط می‌تواند عملیات هایو را تضعیف کند، ولی نمی‌تواند کاملاً آن از بین ببرد.

تلاش برای نفوذ در این باند پروژه‌ای طولانی و کاری فشرده بود. در حالی که خرابکاری دیجیتالی اف بی آی دستاورد‌های موقتی را به همراه داشت، جنایتکاران - که هنوز هم آزاد هستند - اکنون می‌توانند دوباره جمع شوند و از نو شروع کنند، زیرا به خوبی می‌دانند که اجرای قانون ایالات متحده در تعقیب آن‌ها است.

کورتیس مایندر، مدیر عامل شرکت امنیت سایبری گروپ سنس که به‌عنوان مذاکره‌کننده باج‌افزار از جانب چندین قربانی عمل کرده است، می‌گوید: «تا زمانی که رهبریِ گروه‌هایی مانند هایو را از بین نبرید و به معنای واقعی کلمه آن‌ها را قفل نکنید، بعید است که بتوانید جلوی ظهور مجدد گروه‌های باج‌افزار را به روشی معنادار بگیرید.»

مایندر گفت، اف بی آی با امکاناتی که دارد بهترین کار را انجام می‌دهد. با این حال، برای این افراد بسیار ساده است که دوباره به عقب برگردند. هایو اولین بار در ژوئیه ۲۰۲۱ در رادار اف بی آی قرار گرفت. در حالی که گروه‌های باج‌افزار مهم موجی از حملات فلج‌کننده را به خطوط لوله گاز و تولیدکنندگان گوشت آمریکا انجام می‌دادند، گروهِ ناشناس هایو، شبکه یک سازمان ناشناس را در فلوریدا از کار انداخت.

از آنجایی که این اولین حمله شناخته شده هایو در ایالات متحده بود، رویه اف بی آی حکم می‌کرد که دفتر صحرایی تامپا، نزدیکترین دفتر به قربانی، مسئولیت تمام موارد آینده را بر عهده بگیرد. جاستین کرنشاو، یک مامور ویژه نظارتی در دفتر تامپا، گفت که او و تیمش در آن زمان «هیچ چیز» درباره گروه نمی‌دانستند، اما به سرعت وارد عمل شدند.

طبق برآورد‌های سازمانِ مجری قانون ایالات متحده، هایو در ۱۸ ماه پس از آن، بیش از ۱۵۰۰ حمله را در سراسر جهان انجام داد و تقریباً ۱۰۰ میلیون دلار ارز دیجیتال از قربانیان خود جمع آوری کرد. این گروه بی‌رحمی را به موتوری قدرتمند برای رشد تبدیل کرد و سازمان‌هایی مانند بیمارستان‌ها و ارائه‌دهندگان مراقبت‌های بهداشتی را هدف قرار داد. سپس به سرعت گسترش یافت و حملاتی انجام داد که سایر مجرمان سایبری حاضر به انجام آن نبودند.

همانطور که هایو یکی پس از دیگری حملات خود را انجام می‌داد، ماموران تامپا با هر قربانی که به دفتر مراجعه می‌کرد مصاحبه می‌کردند، روندی که به آرامی اطلاعات ارزشمندی در مورد گروه به دست آورد.

برای مثال، آن‌ها متوجه شدند که چگونه هایو دقیقاً یک گروه نبود، بلکه چندین گروه بود و به یک فرنچایز مارک مانند مک‌دونالد نزدیک‌تر بود تا یک مافیای خانوادگی. این گروه عملیاتی را اجرا کرد که کارشناسان جرایم سایبری آن را مدل باج‌افزار به‌عنوان یک سرویس می‌نامند، که در آن اعضای اصلی هایو نرم‌افزار رمزگذاری را به شبکه گسترده‌ای از مجرمان دیگر یا «وابستگان» که در نفوذ به شبکه‌ها و استقرار بار باج‌افزار تخصص دارند، اجاره می‌دهند.

دوازده ماه پس از اینکه اولین مورد شکایت به میز تامپا رسید، کرنشاو سرانجام به موفقیت دست یافت. او راهی برای نفوذ به پنل مدیریت از راه دورِ گروه پیدا کرد؛ یک مرکز دیجیتال که در آن اعضای باند از کلید‌هایی محافظت می‌کنند که به آن‌ها اجازه می‌دهد تا داده‌های هر بیمارستان، مدرسه و کسب‌وکار کوچکی را که در اختیار آن‌ها قرار می‌گیرد - و سپس «ذخیره» کنند.
کرنشاو و برایان اسمیت، رئیس بخش عملیات مجرمان سایبری اف‌بی‌آی، مشخص نکردند که چگونه این کار را انجام دادند. اسمیت فقط می‌گوید که این کار از طریق «فعالیت تحقیقاتی اساسی انجام داده اند.»

با این وجود، این کودتا فرصت قابل توجهی را در اختیار اف‌بی‌آی قرار داد: قدرت شناسایی قربانیان هایو به محض حمله گروه به آن‌ها و سپس دادن همان کلید‌های رمزگشایی که برای بازیابی شبکه‌هایشان نیاز داشتند.

در شش ماه پس از آن، دفتر اف بی آی در تامپا کلید بیش از ۳۰۰ قربانی جدید را در سراسر جهان ارائه کرد. تیم کرنشاو در ارائه کمک‌های فنی به قربانیان آنقدر خوب عمل کرد که در نهایت به خود لقب حیله گرانه‌ای داد، کرنشاو گفت: «میزِ خدمت هایو».

اما موفقیت اف‌بی‌آی در نفوذ به هایو هرگز به تخریب گسترده گروه تبدیل نشد. بر اساس داده‌های گردآوری‌شده که منحصراً با پولیتیکو به اشتراک‌گذاشته شده اند، این گروه حتی زمانی که اف بی آی در کمینش بود، سرعت حملات خود را ثابت نگه داشت.

هایو در یک وب‌سایت سیاه اسامی و اطلاعات حساس قربانیانی را که از پرداخت پول خودداری می‌کردند، منتشر می‌کرد. این وبسایت اطلاعاتِ هفت قربانی در ماه اوت، هشت قربانی در سپتامبر، هفت نفر در اکتبر، نه نفر در نوامبر و چهارده نفر در دسامبر را فهرست کرد - ارقامی که با آمار‌های قبل از نفوذِ اف بی آی مطابقت داشتند. با این وجود حتی اگر قربانیان یک کلید رمزگشایی دریافت کنند، بازیابی شبکه‌هایشان ممکن است چندین هفته طول بکشد و مستلزم صرف مقدار هنگفتی پول نقد باشد. بازیابی برای این قربانیان گران تمام می‌شود، به خصوص اگر نخواهند دوباره ضربه بخورند.

یکی از دلایلی که به نظر می‌رسد هایو تا این حد فعال باقی مانده است این است که متوجه شد می‌تواند با تهدید به افشای فایل‌های حساس آن‌ها در وب، فشار بیشتری بر قربانیان وارد کند - تهدیدی که اف‌بی‌آی می‌توانست تا مدت‌ها بعد از آن جلوگیری کند.حتی امروز نیز، اعضای هایو احتمالاً با نام جدیدی از گروپ سنس، فعال باقی مانده اند.

ماه گذشته، وزارت دادگستری ایالات متحده یک کیفرخواست علیه یک تبعه روس متهم به کار به عنوان یک وابسته برای هایو را افشا کرد. فردی به نام، میخائیل ماتویف، که نه تنها آزاد است، بلکه برای دو گروه باج افزار دیگر نیز کار کرده است. این نشان می‌دهد هکر‌ها چقدر آسان می‌توانند بین باند‌ها شناور شوند و در صورت سقوط یکی از آن‌ها دوباره ظاهر شوند. این معامله‌ای است که اف بی آی معتقد است ارزشش را دارد، به ویژه با توجه به این خطر که ممکن است هرگز دستگیری صورت نگیرد. اعتقاد بر این است که هایو مانند بسیاری دیگر از باج افزار‌های امروزی، از داخل روسیه به طور ایمن عمل می‌کند.

راب جویس، مدیر اداره امنیت سایبری گفت که این استراتژی، تضعیف اعتماد به اکوسیستم جنایی است. در عملیات‌هایی مانند حذف هایو، بسیاری از مجرمان به چپ و راست نگاه می‌کنند، مطمئن نیستند که به چه کسی می‌توانند اعتماد کنند یا به چه چیزی می‌توانند باور کننداین اصطکاک، آن‌ها را کند می‌کند و از توانایی آن‌ها برای کار در مقیاس وسیع جلوگیری می‌کند. با گذشت زمان، این رویکرد همچنین می‌تواند پیروزی‌های شگفت‌انگیزی داشته باشد، همانطور که عملیات هایو نه یک بار بلکه دو بار نشان داد.

در اوایل ژانویه سال جاری، دفتر صحرایی تامپا به دومین کشف بزرگ خود رسید، کشفی که پرونده را برای همیشه تغییر داد. بر اساس تحقیقات دقیق تر، اف بی آی متوجه شد که هایو سرور‌های اولیه‌ای را که برای انجام حملات خود استفاده می‌کرد از یک مرکز داده در لس آنجلس اجاره کرده است. فقط دو هفته بعد، سخت افزار را توقیف کرد و پس از مدت کوتاهی، آن را اعلام کرد. اف بی آی خیلی سریع حرکت کرد، زیرا بالاخره فرصتی برای توقف هایو در مسیر خود دید. تا آن زمان، این عملیات همیشه به تعویق می‌افتاد.

با این حال، اسمیت و کرنشاو گفتند که این پرونده با پیروزیِ اف بی آی ختم نشد، زیرا اعضای هایو هنوز آنجا هستند. این دو سرور حتی ممکن است به اف بی آی کمک کنند تا نقاب شبکه وابسته‌هایی را که در این ۱۸ ماه با هایو کار کرده‌اند را از بین ببرد - به این معنی که حذف ممکن است منجر به دستگیری‌های بیشتر در دراز مدت شود، نه کمتر. بنابراین، برای اف بی آی، این فقط دور اول است.