طی روزهای گذشته عجیبترین حمله سایبری به تاسیسات کشور مردم را شوکه و متعجب کرد و حالا چند روزی است که تازه آتش آن خوابیده و هرچند هنوز جزئیات دقیقی از این حمله آشکار نشده است. نهادهای مسئول در ابتدا این حمله سایبری را نپذیرفتند، اما در نهایت اعلام شد که اختلال در سیستم سوخترسانی کشور به طور سراسری نه به دلیل آسیب و کهنگی سیستم سوخترسانی است و نه قرار است نرخ بنزین افزایش پیدا کند. بله روز چهارشنبه ۵ آبان یک حمله سایبری در کار بود.در نهایت دبیر شورای عالی فضای مجازی با بیان این که حمله سایبری به جایگاههای سوخترسانی احتمالا از یک کشور خارجی انجام شده، اعلام کرد به هیچ وجه به اطلاعات سهمیه بنزین مردم لطمهای وارد نشده است.
او چند روز بعد از این ماجرا، روز یکشنبه ۹ آبان نیز در یک نشست خبری، با بیان اینکه در سالهای گذشته به خصوص در دو سال اخیر شدت حملات سایبری به کشور زیاد شده است، گفت: «در واقع میزان حملات و پیچیدگی آن به ایران نسبت به بقیه کشورها بی نظیر است و اولین حمله وسیع و پیچیده سایبری که کشور متحمل شد همان استاکس نت بود که ده سال پیش شکل گرفت.»
«ابوالحسن فیروزآبادی» درباره تشدید حملات سایبری به تاسیسات گوناگون کشور گفت: «شبکه ملی اطلاعات هم اگر راه اندازی شود این حملات ادامه دار خواهد بود. چرا که این شبکه جدا از اینترنت نیست و یک شبکه جهانی مرتبط و متصل به دنیاست که در حوزه حکمرانی برای کشور قلمروسازی کرده و توان اعمال حاکمیت را افزایش میدهد.»
اما ماجرای حملههای سایبری به تاسیسات کشور از کجا آغاز شد؟ در سالاخیر با افزایش اهمیت توسعه کشورها در حوزهها گوناگون فناوری جنگ بیشتر بر سر تهدید و تخریب منابعی مرتبط با دانش و فناوری است. از همین رو است که همه کشورها در تلاشاند تا قدرت و توانمندی خود را در این حوزه تقویت کنند. نگاهی به آنچه از سال ۸۹ تا آبان ۱۴۰۰ در مسیر این حملات در کشور رخ داد روند مواجهه نهادهای مسئول و چگونگی برخورد با این حملات را شفافتر میکند.
بازیهای المپیک و استاکسنت؛ اولین حمله سایبری به تاسیسات کشور
در سال ۱۳۸۹ (ژوئن ۲۰۱۰) تأسیسات هستهای ایران در نطنز توسط یک بدافزار به نام استاکس نت مورد حمله سایبری قرار گرفت. طبق گزارشها، استاکسنت که با مشارکت آمریکا و اسرائیل طراحی شده بود،این ویروس رایانهای طراحی شده بود تا نزدیک به ۶۰٬۰۰۰ رایانه را آلوده کند اما دولت با بیان اینکه این ویروس نتوانسته آسیب چندانی وارد کند، شروع به آزمایش راهکارهای مناسب مبارزه به این حملهها کرد.
ایران به راه حلی برای مقابله با این ویروس دست پیدا کرد که این باعث بهتر شدن وضعیت دفاع سایبری کشور شد. نکته جالب درباره این حملات این است که هیچ کشوری مسئولیت این حمله رابه طور رسمی قبول نکرد. هرچند گمانهزنیهایی وجود دارد که این حمله را به CIA, NSA و موساد مرتبط میداند.
اما ماجرای حمله سایبری به تاسیسات هستهای به همینجا ختم نشد. «ادوارد اسنودن»، کارمند سابق سازمان اطلاعات مرکزی آمریکا که اسناد قابل توجهی در رابطه با فعالیتهای اطلاعاتی آمریکا افشا کرده و اخیرا ایرانیان او را به دلیل توییتهای فارسی به خوبی میشناسند، در مصاحبهای با اشپیگل گفته بود این بدافزار با همکاری مشترک آژانس امنیت ملی ایالات متحده آمریکا و اسرائیل ساخته شده است.
ادعای حمله به زیرساختهای نفتی و رد ادعا از طرف دولت
در سال ۱۳۹۱ اعلام شد که دو بدافزار به نامهای Flame و Wiper سیستمهای نفتی و هستهای ایران هدف قرار داد. در سال ۱۳۹۱ حمله اینترنتی، موجب قطع سرور اصلی وزارت نفت و چهار شرکت اصلی آن شد. وزارت نفت ایران با تایید این موضوع گفته بود قصد این حمله دزدی و تخریب اطلاعات بود.
«علی نیکزاد رهبر»، سخنگوی وقت وزارت نفت هم گفته بود: «ویروس، مادربرد کامپیوترها را سوزانده و برای پاک کردن اطلاعات اقدام کرده است. با این همه اطلاعات اساسی این وزارتخانه صدمه ندیده است.»این حمله سایبری منجر به آن شد که «غلامرضا جلالی»، رئیس سازمان پدافند غیر عامل، اعلام کند که از ابتدای دهه نود شمسی، حوزه انرژی ایران هدف بیشترین حملات بوده است.
البته ادعای حمله به زیرساختهای حوزه نفت و انرژی کشور در سال ۹۸ هم مطرح شد که اینبار مرکز امنیت سایبری ریاست جمهوری کشور، گزارشها درباره «حمله سایبری موفق به تاسیسات نفتی و زیرساختهای حیاتی را تکذیب کرد. همچنین سخنگوی وزارت نفت ایران نیز گزارشها درباره حمله سایبری به تاسیسات نفتی را تکذیب و اعلام کرد که فعالیت تاسیسات نفتی ایران طبق روال عادی ادامه دارد.
آیا حملهای سایبری ماهواره پیام را دچار مشکل کرد؟
مهر ماه سال ۹۵ نیز خبرگزاری آسوشیتدپرس گزارش داده بود که تداوم آتشسوزیها در پتروشیمیهای ایران احتمال سوءظن به هک شدن سیستمهای پتروشیمی و خرابکاریهای نرمافزاری در ایران را افزایش داده است. این روند در حالی بود که ۲۵ دی ماه سال ۹۷ اعلام شد که موشک حامل ماهواره «پیام» به فضا پرتاب شده اما این موشک به سرعت کافی نرسید و ماهواره نیز در نهایت نتوانست در مدار زمین قرار بگیرد.
اعلام این خبر ابتدا منجر به تصور ایجاد نقص فنی در این سیستم بود اما کمی بعد «محمدجواد ظریف»، وزیر وقت امور خارجه در مصاحبهای اعلام کرد: «امکان خرابکاری آمریکا در پرتاب این دو ماهواره کاملاً امکان دارد اما ما هنوز نمیدانیم و باید آن را به دقت بررسی کنیم.» خرابکاری که ظریف از آن میگفت در حقیقت نوعی حمله سایبری بود. اما این بار هم این حمله سایبری به طور رسمی مورد تایید قرار نگرفت. کشورهایی هم که گمان میرفت در این پروژه نقش داشتهاند صرفا به اعلام موضع و حتی پاک کردن توییتهای خود در توییتر پرداختد.
گمانه زنی درباره دست داشتن عربستان در حمله به مرکز آمار
خرداد ماه سال ۱۳۹۵ وبسایت مرکز آمار از دسترس خارج شد. شواهد بیانگر آن بود که یک حمله سایبری دیگر شکل گرفته است. این بار هدف مراکز سوخترسانی کشورنبود. هدف این حمله اطلاعات ثبت شده در مرکز آمار کشور بود.
این حمله از طرف دولت به عربستان نسبت داده شد و این بار هم مثل همه حملههای سایبری دیگر در ایران و جهان، عربستان مسئولیت این حمله را به طور رسمی نپذیرفت. چند روز پس از این حمله سایت سازمان ثبت اسناد کشور هم از دسترس خارج شد و یک گروه هکری اعلام کرد بر این سایت مسلط شده است. نتیجه و سرمنشا این حملات هیچ وقت دقیق مشخص نشد.
حمله با نسل جدید استاکسنت
در سال ۱۳۹۷ «حمید فتاحی»، معاون وقت وزیر ارتباطات و رئیس هیات مدیره شرکت ارتباطات زیرساخت در توییتی از حملات پراکنده به برخی زیرساختهای ارتباطی خبر داد و مدعی شد مبدا این حملات اسرائیل بوده است. این موضوع در حالی است که به گفته غلامرضا جلالی رئیس سازمان پدافند غیرعامل، این حملات سایبری با استفاده از نسل جدید ویروس استاکسنت به چندین بخش انجام شده بود.
ویروس استاکسنت همان ویروسی است که سال ۹۱ نیز به تاسیسات هستهای کشور حمله کرد و منجر به تشدید دیوار دفاعی کشور در برابر حملات سایبری شد. جهرمی، وزیر وقت ارتباطات نیز با تایید این حملات، هدف آن را صدمه زدن به زیرساختهای ارتباطی اعلام کرد. او در توییتر خود نوشت ایران این اقدام «خصمانه» را در مجامع بینالمللی پیگیری خواهد کرد.
حمله سایبری به فرودگاه مشهد
پنجشنبه شب، سوم خردادماه سال ۹۷ سایت فرودگاه بینالمللی مشهد که دومین فرودگاه پرترافیک ایران محسوب میشود هک و تصاویری از اعتراضها روی تابلوها و تلویزیونهای تبلیغاتی فرودگاه پخش شد. این ماجرا اگرچه در روزهای بعد منجر به واکنشهایی از طرف فعالان حوزه امنیت فضای سایبری شد، اما مسئولان تاکید کردند که این حمله فقط چند دقیقه طول کشیده و خیلی زود کنترل شده است.
فرمانداری شهر مشهد روز جمعه، چهارم خردادماه سال ۱۳۹۷ تأیید کرد که یک روز قبل وبسایت رسمی فرودگاه بینالمللی این شهر به دست گروهی به نام «تپندگان» هک شده است. این موضوع اما در حالی بود که «محمدرحیم نوروزیان»، فرماندار مشهد، در این باره اعلام کرده بود: «هک سایت فرودگاه دقایقی بیشتر به طول نینجامید و به سرعت برطرف شد. اقدامات لازم نیز در دست انجام است.»
مدیر روابط عمومی فرودگاه مشهد نیز روز بعد از حمله سایبری در مصاحبه با رسانهها خبر هک شدن تابلوهای فرودگاه مشهد را تایید کرد.
بر خلاف حملات سایبری که اغلب روشن نیست پرونده در چه مرحله است، مهرماه سال ۹۷ «سردار سیدکمال هادیانفر»، رئیس پلیس فتای وقت از دستگیری هکرهای حمله سایبری به فرودگاه مشهد خبر داد و گفت: «حمله سایبری به شرکتهای فرودگاهی در مشهد و تبریز با تلاش پلیس فتا پیگیری شد؛ هکرها شناسایی، دستگیر و تحویل مقام قضایی شدند.»
او در همان مصاحبه به رخنههای امنیتی، سایتها و مراکز حساس اشاره کرد که خود خبر از شکنندگی و ضعف شرایط امنیت سایبری کشو در آن سالها میدهد.
سال ۹۷، سال تکرار حملات سایبری
بعد از حمله سایبری و هک شدن مانیتورهای فرودگاه مشهد، مانیتورهای فرودگاه تبریز هم مورد حمله قرار گرفت. چند ماه از این ماجرا نگذشته بود که یک حمله سایبری دیگر توجه همه را به خود جلب کرد. این بار شبکههای اجتماعی یک نهاد دولتی مورد حمله قرار گرفته بود. توییتر، اینستاگرام و در البته ایمیل شهرداری تهران هک شد.
گروه هکری که خود را «تپندگان» مینامند و پیش از این فرودگاه مشهد و البته فرودگاه تبریز را مورد حمله سایبری قرار داده بودند، سهشنبه ۱۹ تیرماه سال ۱۳۹۷ کنترل اینستاگرام، توییتر و ایمیل رسمی شهرداری تهران را به دست گرفت. این کنترل البته خیلی طولانی مدت نبود و بعد از گذشت ساعاتی، تصاویر و پیامهای منتشر شده توسط این گروه در حساب رسمی شهرداری تهران حذف شد.
«سینا علیمحمدی» مسئول روابط عمومی شهرداری تهران نیز در پی این حمله سایبری اعلام کرد: هکرها نتوانستهاند به اطلاعاتی دست پیدا کنند و پستهای منتشر شده توسط هکرها نیز پاک شده است.» به هر حال این موضوع خود جای سوال دارد. روند امنیتی شبکههای اجتماعی و ایمیل شهرداری تهران تا جایی ضعیف بوده که هکرها به آن نفوذ کردند و به هر حال بعد از نفوذ امکان دسترسی به اطلاعات وجود داشته است.
بعد از این حمله سایبری و واکنش روابط عمومی شهرداری تهران به این موضوع،«یاشار شاهین زاده» کارشناس امنیت اطلاعات اعلام کرد : عدم دسترسی هکرها به اطلاعات شهرداری را به طور کلی رد کرد و با یادآوری این موضوع که نود درصد ارگانهای دولتی و سازمانهای بالای ۲۰۰ نفر نیرو دارای یک اکسچنج سرور در ایران هستند، تمامی این اکسنچها را ضعیف و ناایمن توصیف کرد.
تکرار حمله به تاسیسات هستهای و انتشار ویدیو از زندان اوین
مهرماه سال ۱۳۹۹ حمله سایبری وسیع به دو سازمان دولتی از طرف دولت مورد تایید قرار گرفت. تایید این حملات از طرف دولت در حالی بود که در ماههای پیش از آن، گزارشهای زیادی از بالا گرفتن تهدیدهای سایبری میان ایران و اسرائیل منتشر و در مواردی حملاتی هم به زیرساختهای دو طرف گزارش شده بود. دولت این حملات را اغلب به اسرائیل نسبت داده است. این در حالی است که دولت اسرائیل، این حملات را نه تایید میکند و نه تکذیب اما رسانههای این کشور و برخی از کشورهای دیگر، موساد را پشت برخی از این حملات دانستهاند.
تیر ماه امسال (سال ۱۴۰۰) گمانهزنیهایی هم درباره حمله سایبری به شرکت راهآهن کشور مطرح شد. این موضوع اما در حالی بود که شرکت راهآهن اختلال یا احتمال حمله سایبری در ایستگاههای قطار را تکذیب و با انتشار اطلاعیهای اعلام کرد: «اختلال در حوزه بازرگانی شرکت راهآهن به وجود آمده که منشأ آن مشخص نیست.»
اما در نهایت آنچه اتفاق افتاد تایید این حملات سایبری از طرف مرکز مدیریریت راهبردی افتا بود. کارشناسان مرکز مدیریت راهبردی افتا با تایید حملات سایبری، اعلام کردند عملکرد ضعیف برخی دستگاههای دارای زیرساختهای حیاتی در اجرای الزامات امنیتی ابلاغ شده و کم توجهی به هشدارهای افتا، آنها را در برابر حملات سایبری، کمدفاع یا سیستم امنیت سایبری آنان را سست میکند و دو حمله اخیر نیز از این قاعده مستثنی نبوده است.
تحرکات، تهدیدها و حملات سایبری یک سال اخیر در شرایطی است که آذری جهرمی در تیر ماه امسال نسبت به این موضوع درکانال تلگرامی خود هشدار داده بود. وزیر ارتباطات وقت با بیان این که تحرکات جدیدی توسط مهاجمان سایبری برای طراحی حملات گزارش شده است، هشدار سال ۹۷ در مورد حملات باجافزاری را به دستگاههای اجرایی یادآوری کرده بود.
آذری جهرمی در کانال تلگرامی خود با اشاره به این موضوع، نوشته بود: «مجددا هشدار اردیبهشت ۹۷ در مورد حملات باجافزاری با سو استفاده از درگاه مدیریتی iLo سرورهای HP را یادآوری میکنیم. تحرکات جدیدی توسط مهاجمان سایبری برای طراحی حملات سایبری با استفاده از این نقیصه، رصد و گزارش شده است.»
کمتر از یک ماه بعد هم ویدیوهایی از داخل زندان اوین منتشر شد. اگرچه اعلام شد که با پخش کنندگان این ویدیوها برخورد خواهد شد، اما پیگیریها و اطلاعرسانیهای بعدی درباره دلیل انتشار این ویدیوها و یا حتی دستگیری رهبران این حمله سایبری هم منتشر نشد. همین موضوع گمانه زنی درباره رهبری حمله سایبری به سامانه بنزین کشور را در شبکههای اجتماعی تقویت کرد. هرچند، همچنان هیچ خبری به طور رسمی درباره این ادعا از منابع رسمی و منابع دولتی منتشر نشده است.
نیاز جدی به تقویت سیستم امنیتی
با وجود همه هشدارها به نظر میرسد همچنان زیرساختهای سیستمهای نرمافزاری نهادهای دولتی و حتی امنیتی ترین نهادهای دولتی آن طور که انتظار میرفت به نتیجه نرسیده است. نگرانی حالا از تکرار موج حملات سال ۹۷ در سال ۱۴۰۰ است. مرکز مدیریت امداد و هماهنگی رخدادهای رایانهای در سال ۹۷ هشدار داده بود که رصد فضای مجازی نشاندهنده حملاتی مبتنی بر آسیبپذیریهای موجود در سرویس iLo سرورهای HP بوده است. سرویس iLo یک درگاه مستقل فیزیکی است که جهت مدیریت و نظارت سروهای شرکت HP از سوی مدیران شبکه استفاده میشود.
آذری جهرمی نیز در دوره وزارت خود و حملاتی که در سال ۱۴۰۰ شکل گرفته بود نسبت به این موضوع و با اراجاع آن به سال ۹۷ هشدار داده بود. اما آنچه در نهایت اتفاق افتاد حمله سایبری به سیستم سامانه هوشمند سوخت رسانی کشور و چند روز اخلال در روند سوخت رسانی بود. حالا باید همچنان منتظر بود و دید آیا قرار است، امنیت زیرساختها افزایش پیدا کند، یا هکرها به کار خود ادامه خواهند داد؟
نظرات کاربران