ایران در صدر اهداف «گروه معادله»/ اسناد ارتباط هکرهای مرموز با آژانس امنیت ملی آمریکا +عکس
کنار هم گذاشتن قطعات پازل «گروه معادله» نشان میدهد این گروه مرموز هکری متعلق به آژانس امنیت ملی آمریکاست. بنابراین تعجبی ندارد که ایران در صدر اهداف عملیاتهای خرابکارانه این گروه قرار دارد.
سرویس جهان مشرق – «جورج اورول» در رمان «۱۹۸۴» کشوری خیالی به نام «اوشنیا» را تصور کرد که در آن دولتی به نام «برادر بزرگ» یک نهاد جاسوسی به نام «پلیس فکر» دارد که با دستگاههای خاصی هر لحظه شاهد اعمال و رفتار انسانهاست و «هیچ راهی برای خاموش کردن کامل» این دستگاهها وجود ندارد[۱]. اورول نام این دستگاههای «هم پخشکنندهی تصویر و هم نظارهگر» را «نمایشگر از راه دور» یا «تلهاسکرین[۲]» گذاشت، که البته تلهاسکرین میتواند معنی «غربال از راهدور» نیز بدهد. اما جالب است بدانید که این دستگاهها منبع الهام برخی از گروههای هکری نیز بودهاند. امروزه «آزمایشگاه پانگو[۳]» در چین ابزار جدیدی با نام «عملیات تلهاسکرین[۴]» در دست دارد که قادر است کلیدهای مخفی و رمزگذاریشدهی هکرهای دیگر را رهگیری و فاش کند. چند هفته پیش، این برنامه توانست پرده از یکی از بزرگترین گروههای هکری دنیا، وابسته به دولت آمریکا، بردارد.
«برادر بزرگ دارد تو را تماشا میکند»؛ شعاری که در رمان «۱۹۸۴» مرتباً به شهروندان «اوشنیا» یادآوری میشود. در این رمان از دستگاههای مخصوصی به نام «تلهاسکرین» («نمایشگرازراهدور» یا «غربالازراهدور») برای پایش دائمی افراد استفاده میشود (+)
در میان گروههای هکری دنیا، مجموعهای بسیار سری و پیشرفته تحت عنوان «گروه معادله[۵]» وجود دارد[۶] که تا پیش از این ارتباطش با «آژانس امنیت ملی» آمریکا در هالهای از ابهام بود. ماجرا از زمانی آغاز شد که حدود هفت سال پیش (۲۰۱۵) شرکت روسی «کَسپِرسکی» فعال در حوزهی امنیت سایبری، در اعلامیهی رسمی خود به کشف بدافزارهایی اشاره کرد که مشابهت بسیاری با یک بدافزار شناختهشدهی دولتی آمریکایی-اسرائیلی دیگر داشت؛ بدافزاری که نامش برای ایرانیها کاملاً آشناست: استاکسنت[۷].
گزارش سال ۲۰۱۵ شرکت امنیت رایانهای-سایبری روسی «کسپرسکی» که در آن از «گروه معادله» تحت عنوان «جد استاکسنت و فلِیم» (دو بدافزار دولتی مشهور) یاد شده است. فلیم نیز مانند «استاکسنت»، بیش از هر کشور دیگری، اهداف خود را در ایران انتخاب میکرد. این بدافزار سال ۲۰۱۲ با همکاری تیم واکنش ویژهی رایانهای ایران و کسپرسکی و شماری از مراکز دیگر کشف شد. شواهد و اسناد موجود، حکایت از همکاری آژانس امنیت ملی آمریکا، سیآیای و ارتش اسرائیل در تولید فلیم دارد (+)
در همینباره بخوانید:
›› استاکسنت: عملیات آمریکا و اسرائیل برای توقف برنامه هستهای ایران +مستند
کسپرسکی طی یک گزارشِ مفصل، نشان داد که این گروه چگونه و با چه عمقی به شبکههای دولتی و خصوصی نفوذ کرده و اطلاعات محرمانهی آنها را دزدیده است. این گزارشِ تکاندهنده حاکی از حجم بالای سرقت اسناد و مدارک از نقاط مختلف دنیا بود. اگرچه کسپرسکی به طور صریح هیچ دولتی را حامی این بدافزار معرفی نکرد، اما علاوه بر شباهت بسیارِ این برنامه به دیگر بدافزارهای دولت آمریکا، میزان پیچیدگی آن نیز مؤید این واقعیت بود که هزینهی هنگفتی پشت این بدافزار نهفته است که فقط میتواند نتیجهی سرمایهگذاری یک (یا چند) دولت باشد. به عنوان مثال، این بدافزار، سال ۲۰۱۵، به عنوان اولین برنامهای معرفی شد که قادر است تنظیمات و اطلاعات هارددرایو را دستکاری کند. طبق گزارش آزمایشگاه کسپرسکی، این گروه دستکم از سال ۲۰۰۱ صدها هدف حساس را مورد حمله قرار دادهاند که در رأس آنها زیرساختهای حساس کشورهای ایران و روسیه بوده است.
نقشهی کشورهای هدف حملات «گروه معادله»، به ترتیب آلودگی. نام ایران و روسیه در صدر فهرست کشورهای آلوده قرار دارد. آزمایشگاه سایبری «کسپرسکی»، سال ۲۰۱۵، بخشی از اطلاعات مربوط به حملات گستردهی گروه معادله را منتشر کرد که نشان میداد، زیرساختهای ایران بیش از هر کشور دیگری هدف این حملات قرار گرفتهاند. (+)
در همینباره بخوانید:
›› آنچه باید درباره جاسوسافزار اسرائیلی «پگاسوس» بدانید
›› همه جنایتهای رژیم صهیونیستی؛ از اشغالگری تا ترور و کودککشی
کلیدهای سهگانه برای رسیدن به ریشهی «گروه معادله»
سال ۲۰۱۳، یعنی دو سال پیش از کشف حیرتانگیز کسپرسکی، محققین آزمایشگاه پانگو در چین با بررسی یکی از نفوذهای غیرمجاز به سامانهی یکی از ادارههای دولتی داخلی این کشور، متوجه رشتهکدی بسیار پیچیده شدند که به عنوان یک روزنهی امنیتی موسوم به «درِ پشتی[۸]» برای نفوذ به سامانههای چینی استفاده میشد. این برنامهی پیشرفته، خاصیت خودویرانگری داشت، یعنی اگر موفق به اجرای کامل نمیشد و توسط یک طرف ثالث رمزگشایی میشد، بلافاصله همهی آثارش را از بین میبرد و تنها با ارائهی کد مخصوصی که نزد صاحب برنامه بود، مجدداً به کار میافتاد. محققین چینی توانستند این کد را کشف کرده و به برخی از اطلاعات این درِ پشتی دسترسی پیدا کنند. این برنامه از رشته کد «بیویپی» (Bvp) و رشتهی عددی ۰×۴۷ (47×0) بسیار استفاده کرده بود. بنابراین این گروه چینی نام این برنامه را «بیویپی۴۷» (Bvp47) گذاشت. اما استفاده از این ابزار، باز هم نیاز به کد دیگری داشت که فقط در دست طراحان آن بود.
ارتباط خانوادگی بدافزارهای «گروه معادله» (چپ) با بدافزارهای «استاکسنت»، «فلیم» و «گاس» (بدافزار دیگری که ارتباط نزدیکی با فلیم داشت و باز هم خاورمیانه را هدف قرار داده بود) (+)
کلید دوم برای کشف ریشههای گروه معادله در سالهای ۲۰۱۶ و ۲۰۱۷ پیدا شد. گروهی موسوم به «کارگزاران سایه[۹]» فایلهای هکی را منتشر کرد که ادعا میکرد مربوط به اقدامات گروه معادله هستند. آزمایشگاه پانگو در این فایلها، کد دومی را پیدا کرد که به آنها اجازهی دسترسی به Bvp۴۷ را میداد. محققان چینی به وسیلهی این کد توانستند کنترلازراهدور این برنامه را به دست بگیرند و مطمئن شدند که این برنامه با هدف جاسوسی نوشته شده است. با این حال، همچنان ارتباط این برنامهی جاسوسی به دولت آمریکا در هالهی ابهام باقی بود.
«بیش از ۲۸۷ نقطهی هدف در ۴۵ کشور جهان طی ۱۰ سال»؛ نقشهی (بالا) اهداف «گروه معادله» طبق گزارش سال ۲۰۱۷ «کارگزاران سایه» (که البته با توجه به اینکه ایران را در فهرست کشورهایی قرار داده که فقط اندکی آلودگی دارند، به نظر میآید کامل نیست)، به علاوهی نمودار نحوهی کار (پایین، چپ) و برخی از ویژگیهای مهم (پایین، راست) درِ پشتی موسوم به «بیویپی۴۷» در گزارش «آزمایشگاه پانگو». این درِ پشتی به قدری پیچیده و پیشرفته است که منابع مورد نیاز برای تعبیه و استفاده از آن صرفاً میتواند در اختیار بازیگران دولتی باشد. برخی از اهداف این برنامه در شبکههای ایزوله قرار داشتهاند و به کمک عوامل نفوذی انسانی آلوده شدهاند. (+)
کلید سومِ حل این معادله در اسناد فاششده توسط «ادوارد اسنودن» افشاگر سرشناس آژانس امنیت ملی آمریکا، از پروژهی «منشور» یا «پریزم[۱۰]» نهفته بود. محققان چینی شباهت بسیار زیادی میان اطلاعاتِ فاش شده در سال ۲۰۱۶ و اسناد ادوارد اسنودن مربوط به حملات آژانس امنیت ملی آمریکا پیدا کردند. در واقع، با کنار هم قرار دادن اطلاعات گروه چینی، جزئیات حملات گروه معادله و شیوهی عملیاتی دولت آمریکا میتوان به این نتیجه رسید که این سه دسته اطلاعات با تبعیت از یک الگوی ثابت، مربوط به یک گروه کاملاً حرفهایِ وابسته به دولت آمریکا هستند. آزمایشگاه پانگو با مقایسهی این دادهها صراحتاً اعلام کرد: «این اطلاعات کاملاً ثابت میکند که گروه معادله به آژانس امنیت ملی آمریکا تعلق دارد[۱۱].»
جلد گزارش فنی «آزمایشگاه پانگو» که صراحتاً «گروه معادله» را به «آژانس امنیت ملی» آمریکا منسوب میکند (دانلود گزارش به زبان انگلیسی) (+)
این تحلیل و اظهارنظرِ صریح در روزهای انتهایی ماه فوریهی سال ۲۰۲۲ علنی شد. اگرچه این سؤال همچنان باقی است که چرا چنین گزارشی با دستکم ۵ سال تأخیر منتشر شده است، اما به هر حال، گزارش ۵۶ صفحهای گروه چینی و اتهامزنیِ تا این اندازه صریح به دولت آمریکا دربارهی انجام حجم وسیعی از حملات سایبریِ غیرمجاز در دههی گذشته، توسط چینیها سابقه نداشته است. این گزارش، با دقت بالایی جزئیات فنی برنامهی مهاجم و برخی از اهداف آن را معرفی میکند. متأسفانه، در میان این اهداف، یکی از مؤسسههای تحقیقاتی ایران، ظاهراً نیز دیده میشود.
نام ایران در فهرست اهداف «گروه معادله» طبق گزارش «آزمایشگاه پانگو». با توجه به نشانی اینترنتی موجود در این فهرست، به نظر میآید «پژوهشگاه ارتباطات و فناوری اطلاعات» زیرمجموعهی وزارت ارتباطات و فناوری اطلاعات، هدف این حمله بوده است (+)
جستوجوی عبارت «لاله» (که به عنوان زیردامنه [subdomain] در فهرست اهداف «گروه معادله» در ایران آمده) در پایگاه اینترنتی «پژوهشگاه ارتباطات و فناوری اطلاعات» به دو محصول قدیمی این پژوهشگاه منتهی میشود که میکروکامپیوترهای «لاله» هستند. آیا «گروه معادله» علاقهی خاصی به کسب اطلاعات دربارهی این میکروکامپیوترها دارد؟ (+)
عمق نفوذ سایبری
در اینکه ایران، روسیه، چین و چند رقیب یا دشمنِ دیگرِ آمریکا اهداف اصلی نفوذ سایبری هستند، شکی نیست. با این وجود، محققان چینیِ آزمایشگاه پانگو نشان دادند که عمق نفوذ، بهمراتب بیشتر از آن چیزی است که قبلاً تصور میشد. اسناد نشان میدهد که بیش از ۲۸۷ سوژه در بیش از ۴۵ کشور در زمرهی اهداف گروه معادله بودهاند. این نفوذ دستکم از ده سال پیش آغاز شده است. جالبتر اینکه یکی از اهدافِ حمله در کشور ژاپن، به عنوان سِرورِ واسطه برای حملهی پوششی به دیگر اهداف استفاده میشده است. عمق و وسعت این حملات به قدری زیاد است که برخی آن را با دیگر حملات سایبری بزرگ آمریکا مانند پروژهی پریزم مقایسه کردهاند[۱۲].
نمودار گزارش سال ۲۰۱۵ شرکت امنیت سایبری «کسپرسکی» روسیه که خط سیر زمانی بدافزارهایی را نشان میدهد که «گروه معادله» بین سالهای ۲۰۰۱ و ۲۰۱۴ آنها را ساخته است (+)
نکتهای که مسئولین و محققان چینی را بیشازپیش آزار داده، این است که بین سالهای ۲۰۱۳ تا ۲۰۱۵ بدافزارها و درِ پشتیهای گروه معادله به برخی از زیرساختهای حیاتی جمهوری خلق چین نفوذ پیدا کردهاند. این در حالی است که آمریکا مدام چین را متهم به حملات سایبری علیه خود و متحدانش میکند. در یکی از آخرین موارد، ماه دسامبر سال گذشته (۲۰۲۱) دولت آمریکا شرکت چینی هوآوی را متهم به حملهی سایبری علیه یکی از نهادهای مخابراتی کشور استرالیا کرد[۱۳]. طبیعتاً دولت چین و مسئولین شرکت هوآوی این اتهام را بیاساس و بدون استدلال خواندند، اما کشف بزرگ آزمایشگاه پانگو اینبار چین را در موضع بالاتر قرار داده است. برخی از مسئولین چینی، دولت آمریکا را «امپراطوری هکرها» خواندهاند[۱۴]. سخنگوی وزارت خارجهی چین نیز در روزهای آخر ماه فوریهی سال ۲۰۲۲ از دولت آمریکا دربارهی این هجوم گسترده توضیح خواست[۱۵].
«هوا چونیینگ» سخنگوی وزارت خارجهی چین، طی نشست خبری ۲۴ فوریهی ۲۰۲۲، دولت واشینگتن را به خاطر حملات سایبریِ وابسته به «آژانس امنیت ملی» آمریکا به باد انتقاد گرفت و خواستار توضیح و مسئولیتپذیری بیشتر کاخ سفید در اینباره شد. (+)
آزمایشگاه پانگو و تعاملات سیاسی
چنانکه پیشتر هم تصریح شد، گزارش آزمایشگاه پانگو در نوع خود کمنظیر است. این گزارش، از لحاظ جزئیات فنی، بسیار دقیق، و از نظر صراحت لهجه در متهم کردن آمریکا، بسیار متهورانه است. همین نکات برجسته سبب جلبنظر رسانهها و سپس عکسالعمل رسمی دولت چین نسبت به این گزارش شد. بعد از تحریمهای آمریکا که، سال ۲۰۱۹، اجازهی استفاده از سیستمعامل اندروید را از کمپانی هوآوی گرفت، این شرکت به فکر طراحی و توسعهی سیستمعامل خودش، تحت عنوان «هارمونی[۱۶]»، افتاد. آزمایشگاه پانگو نیز برای جلوگیری از نفوذهای سایبری و امنیتی در این سیستمعامل جدید، استخدام شد. بنابراین میتوان این آزمایشگاه را جزء هکرهای اخلاقمدار یا اصطلاحاً «کلاهسفید[۱۷]» قلمداد کرد.
شرکت «هواوی» غول ارتباطاتی و مخابراتی چین طی سالهای گذشته یکی از اهداف تحریمهای شدید آمریکا بوده است. واشینگتن در حالی کشورهای دیگر مانند چین را به جاسوسی اینترنتی و عملیات خرابکارانهی سایبری متهم میکند که خودش بارها از طریف بدافزارهای پیچیده، اقدام به خرابکاری در کشورهایی مانند ایران کرده است. (+)
در همینباره بخوانید:
›› تاوان دور زدن کدام تحریمهای ایران: یک تیر و چند نشان آمریکا با تحریم «هوآوی»
›› هزینههای پکن برای همکاری با تهران/ کدام شرکتهای بزرگ چینی نقرهداغ شدند؟
به طور خاص، گزارش مفصل آزمایشگاه پانگو دربارهی گروه معادله، نشانهی خوبی از تعامل کمپانیهای چینی با انجمن هکرهای کلاهسفید است. اما از سوی دیگر، تأخیر طولانی آزمایشگاه پانگو در ارائهی این گزارش گمانِ همکاری آن با دولت چین و دور شدن از انجمن هکرهای کلاهسفید را تقویت میکند. این شائبه، از آن جهت حائز اهمیت است که دولت چین، ماه دسامبر سال ۲۰۲۱، قانونی را تصویب کرد که مطابق آن هکرهایی که یک نقطه ضعف سایبری را شکار میکنند، باید آن را پیش از هرجای دیگر به وزارت صنعت و فناوری اطلاعات تحویل دهند. در واقع، دولت چین تلاش میکند متخصصان سایبری چینی را از حضور و مشارکت در انجمنها و چالشهای بینالمللی دور کند.
یک ربات پلیس چینی در حال گشتزنی پیش از سومین نشست «گردهمایی مشورتی سیاسی خلق» چین در پکن در ماه مارس سال ۲۰۱۸ (+)
علاوه بر این، آزمایشگاه پانگو ارتباط نزدیکی با «توماس لین» افسر سایبری سنگاپور دارد. لین در حال حاضر، رئیس دو کمپانی سایبری بزرگ است: «کاسینک[۱۸]» (مخفف «مشاورهی ابتکار امنیت رایانهای»)، که چند ماه قبل توسط «ادارهی صنعت و امنیت» ایالات متحده در فهرست سیاه قرار گرفت[۱۹]، و «پونزن تکنولوژی[۲۰]»، که اعضای آزمایشگاه پانگو در چین از بنیانگذاران آن هستند و زیر نظر «وزارت امنیت کشور» چین فعالیت میکند. چندی پیش، برخی از رسانهها از اقدامات تهاجمی این کمپانی علیه برخی از مخالفین دولت چین پرده برداشتند[۲۱]. آزمایشگاه پانگو، سال ۲۰۲۱، رسماً به «چیآنشین[۲۲]» غول سایبری چین، پیوست؛ کمپانیای که رسماً به عنوان مأمور حفظ امنیت سایبری مسابقات المپیک و پارالمپیک زمستانی ۲۰۲۲ در پکن معرفی شد. ارتباط این کمپانی با ارتش چین، موسوم به «ارتش آزادیبخش خلق»، واضح و صریح است.
«آزمایشگاه پانگو»، سال ۲۰۲۱، رسماً به «چیآنشین» غول سایبری چین، پیوست که مسئول رسمی حفاظت سایبری رقابتهای المپیک و پارالمپیک زمستانی ۲۰۲۲ در پکن بود. (+)
اگرچه رسانهها و مردم نسبت به جنگهای سختافزاری بسیار حساس هستند، اما جنگهای سایبری نیز همراستا، یا حتی با گستردگی بیشتر از، جنگهای فیزیکی در جریان هستند. تلفات و تبعات جنگ نرم در برخی موارد حتی گستردهتر و عمیقتر از جنگهای سخت است. به عنوان مثال، چند هفته پیش از حملهی روسیه به اوکراین، خطوط مقدم افسران سایبری، از جمله شرکت «کیواینتل[۲۳]» از سوی آمریکا و متحدانش به اوکراین اعزام شدند و فعالیت خود را دوچندان کردند[۲۴]. علاوه بر متخصصین سایبری، ادوات امنیتی و اطلاعاتی نیز در ابعادی گسترده به اوکراین صادر شد. جنگ سایبری چین و آمریکا نیز قدمتی چنددهساله دارد. تحریم گروههای سایبری چینی توسط دولت آمریکا یا حمله به آنها تنها نشانهای از دشمنی آنها با یکدیگر است.
یک ربات پلیس چینی در نمایشگاه بینالمللی تجهیزات پلیس در پکن در ماه می سال ۲۰۱۸. این ربات قادر به انجام وظایف مختلف، از جمله اسکن چهرهی افراد، است. (+)
ایران نیز در عرصهی دفاعی و امنیتی اقداماتی جدی انجام داده است و در برخی موارد صدماتی نیز دیده است. در همین غائلهی کشف گروه معادله مشخص شد که مراکز پژوهشی و مطالعاتی ایران در معرض تهدیدی دائمی هستند. به نظر میرسد همانقدر که دفاع از مرزهای خاکی و آبی کشور از جملهی واجبات ملی و مذهبی ماست، دفاع از حریم سایبری کشور نیز باید در زمرهی واجبات عینی قرار بگیرد. تجربههای تلخی که طی چند ماه اخیر در حوزهی نظام سوخترسانی، صداوسیما یا خرابکاری در مکانهای نظامی و تحقیقاتی پدید آمد، نشانگر نیاز به تلاشی مضاعف برای حفظ امنیت کشور در این حوزه است.
در همینباره بخوانید:
›› «جاسوسِ داخل گوشی شما»/ همدستی امارات و عربستان با اسرائیل در نقض حقوق بشر +مستند
[۱] ۱۹۸۴، جورج اورول، ترجمهی صالح حسینی، انتشارات نیلوفر، چاپ چهاردهم (۱۳۹۱) ص۱۰
[۲] What Are Telescreens in ۱۹۸۴? Link
[۳] About Pangu Lab Link
[۴] Operation Telescreen
[۵] Equation Group Link
[۶] The Bvp۴۷ – a Top-tier Backdoor of US NSA Equation Group Link
[۷] Kaspersky Lab Discovers Equation Group: The Crown Creator of Cyber-Espionage Link
[۸] در پشتی لینک
[۹] The Shadow Brokers Link
[۱۰] پریزم لینک
[۱۱] Bvp۴۷ – Top-tier Backdoor of US NSA Equation Group Link
[۱۲] Exclusive: Evidence of US monitoring ۴۵ countries, regions exposed by Chinese cybersecurity experts for the ۱st time Link
[۱۳] Chinese Spies Accused of Using Huawei in Secret Australia Telecom Hack Link
[۱۴] Chinese Report on Suspected NSA Hack Shows Beijing Pushing Back Link
[۱۵] Foreign Ministry Spokesperson Hua Chunying’s Regular Press Conference on February ۲۴, ۲۰۲۲ Link
[۱۶] هارمونیاواس لینک
[۱۷] کلاه سفید (امنیت رایانه) لینک
[۱۸] Singapore’s Coseinc disappearing from internet following US sanctions Link
[۱۹] Singapore cyber-security firm blacklisted by the US along with those linked to Pegasus spyware Link
[۲۰] Blacklisted by the US, zero day distributor COSEINC works on for China’s Pwnzen Link
[۲۱] At Beijing security fair, an arms race for surveillance tech Link
[۲۲] Qi An Xin Link
[۲۳] Qintel Link
[۲۴] US cyber firm Qintel launches Ukrainian marketplace offensive Link
این مطلب به صورت خودکار از این صفحه بارنشر گردیده است
