پیش‌بینی‌های درست و نادرستی که از جنگ و قدرت سایبری داشتیم

خانه » مقالات » پیش‌بینی‌های درست و نادرستی که از جنگ و قدرت سایبری داشتیم

مشاهداتی از یک سال جنگ سایبری در اوکراین

شنبه, ۱ اردیبهشت ۱۴۰۲

زمان تقریبی مطالعه ۲۷ دقیقه

صحنهٔ نبرد غبارآلود است. این اصل به‌ویژه در مورد تهاجم روسیه به اوکراین که بیش از یک سال پیش آغاز شد صدق می‌کند. در هفته‌های اول جنگ، رهبران روسیه تصور می‌کردند که یک پیروزی قطعی و قریب‌الوقوع در انتظار آن‌هاست...

ایالات متحده و متحدانش هم می‌پنداشتند که تحریم‌های گسترده به‌طور قابل‌توجهی اقتصاد روسیه را تحت فشار قرار خواهد داد. و عملاً همه در حوزه امنیت سایبری و امنیت ملی بر این باور بودند که جنگ سایبری همراه با هجوم در میدان نبرد می‌تواند آسیب‌های جانبی گسترده‌ای به بار آورد. اما اکنون روشن شده است که همه طرف‌ها در این موارد –دست‌کم از نظر شدت و سطح– در اشتباه بوده‌اند.

اما صِرف اینکه اینگونه پیش‌بینی‌های کلی غلط از آب درآمده‌اند، به این معنی نیست که در هیچ موضوعی حق با متخصصان نبوده است. در بُعد سایبری، روسیه از تسلیحات سایبری در مقیاسی استفاده کرده است که قبلاً دیده نشده بود. حملات مخرّب از مرزهای اوکراین فراتر رفته و بر تعداد فزاینده‌ای از کشورها تأثیر گذاشته است، البته با شدتی کمتر از پیش‌بینی‌ها. اکنون زمان احساس اعتماد به نفس کاذب نیست. بلکه زمان آن است که برای آنچه ممکن است در آینده رخ دهد آماده شویم.

در این نوشته به بررسی مواردی می‌پردازیم که ما را شگفت‌زده کرد و همچنین آنچه درست پیش‌بینی کرده بودیم؛ و نیز از این سخن خواهیم گفت که در آینده برای کاهش ریسک چه کارهایی می‌توانیم انجام دهیم. آیا شکست‌های سایبری روسیه در این درگیری به دلیل بی‌کفایتی است یا –همانطور که برخی نشان می‌دهند– بازیِ عمدی خویشتن‌داری است؟ آیا مدافعان سایبری ایالات متحده می‌توانند شب‌ها بهتر بخوابند یا بدترین وضعیت هنوز در راه است؟ پاسخ به سؤال دوم احتمالاً بستگی به این دارد که چقدر به پاسخ سؤال اول اطمینان داریم. بیایید کندوکاو را آغاز کنیم.

آنچه ما را شگفت‌زده کرد

تعداد حملات تاثیرگذار کمتر از پیش‌بینی‌ها بود

قبل از شروع تهاجم روسیه، کارشناسان امنیتی و سازمان‌های دولتی از احتمال استفاده روسیه از ابزارهای سایبری تهاجمی برای پشتیبانی از نبرد نظامی خود سخن می‌گفتند. این یک پیش‌بینی شهودی بود، زیرا رویدادهای سال‌های اخیر –ازجمله تعطیلی شبکه برق اوکراین در موارد متعدد و حملات نات‌پتیا[۱] در سال ۲۰۱۷– به وضوح نشان داده بود که روسیه توانایی ایجاد اختلال در زیرساخت‌های حیاتیِ اوکراین را دارد. با این حال، گذشته از حمله‌ای که در ساعات آغازینِ جنگ انجام شد –که در آن هکرهای روسی ارتباط فرماندهان نظامی اوکراینی را با سیستم ویاسات[۲] که مجرای ارتباطات میدانی آن‌ها بود قطع کردند– پیش‌بینی‌هایی که درمورد حجم اینگونه حملات می‌شد، در ۱۲ ماه گذشته با واقعیت مطابقت نداشته است.

این به دلیل عدم تلاش [روسیه] نیست. زیرساخت‌های اوکراین هدف اصلی نیروهای روسیه بوده است. شبکه برق دائماً مورد هجمه قرار گرفته است؛ به‌ویژه در ماه‌های سرد سال که بیشترین نیاز به انرژی وجود دارد. اما سلاح مورد استفاده برای انجام این وظیفه اغلب موشک بوده است تا بدافزارها!

بدافزارها در اوایل جنگ مشاهده شد، زمانی که در 8 آوریل، اوکراین گزارش داد که با کمک مایکروسافت یک حمله سایبری روسیه که هدف آن از بین بردن شبکه برق این کشور بوده را خنثی کرده است. پس از این شکست، نیروهای روسی به گلوله‌باران پست‌های برق متوسل شدند که اهداف بسیار در معرض دیدتری نسبت به نیروگاه‌ها بوده و شبیه زیرساخت‌های ساخته‌شده در روسیه در دوران شوروی بودند. اما هرچه جلوتر آمدیم، حملات بیشتر متوجه خود نیروگاه‌ها شد.

بنابراین، این فرض که روسیه زیرساخت‌های حیاتی در اوکراین را هدف قرار می‌دهد دقیقاً نادرست نبود، اما تعجب‌آور است که ببینیم آنها تا چه اندازه به سلاح‌های قدیمی برای انجام این کار متکی بوده‌اند.

سرریز نشدنِ فاجعه به ایالات متحده

کارشناسان مدت‌هاست در مورد رابطه عجیب دولت روسیه با مجرمان سایبری خود نوشته‌اند. حکومت با آن‌ها مدارا می‌کند، اما به شرط پایبندی به مقرراتی که دامنه فعالیت آن‌ها را خارج از مرزهای کشور نگه داشته و علاوه‌براین، آن‌ها را متعهد به پاسخگویی به درخواست‌های حکومت می‌کند. در آغاز جنگ، سازمان امنیت سایبری و زیرساخت (سیسا)[۳] به شرکت‌های آمریکایی هشدار داد که باید برای حملات سایبری تلافی‌جویانه روسیه در پاسخ به تحریم‌های اقتصادی ایالات متحده آماده شوند.

پیش‌بینی‌ها حاکی از این بود که با همکاری هکرهای روسی با دستورالعمل‌های حکومتی، حملات باج‌افزاری در سال ۲۰۲۲ به سطوح بی‌سابقه‌ای خواهد رسید و هکرهای روسی –که حالا حمایت کرملین را نیز پشت سر خود احساس می‌کنند– دنیا را بر سر کسب‌وکارها و شرکت‌های آمریکایی و همچنین زیرساخت‌های این کشور خراب خواهند کرد. اما در عمل، عکس. این اتفاق افتاد و حملات باج‌افزاری در سال ۲۰۲۲ حتی از سال 2021 نیز کمتر بود. حتی فراتر از این، اوضاع به ضرر باج‌افزارهایی شد که از روسیه حمایت کردند. بارزترین مثال در این مورد، گروه باج‌افزاری کانتی[۴] بود که به‌سرعت بیانیه‌ای در حمایت از روسیه و تهدیدِ دشمنان به انتقام در صورت عمل خصمانه سایبری علیه روسیه صادر کرد.

نتیجه این بیانیه لو رفتن بخش‌های حساسی از چت‌های داخلی، کد منبع و اطلاعات عملیاتی این باج‌افزار بود؛ اتفاقی که برای این باج‌افزار بسیار ویرانگر بود. بسیاری بر این باور بودند که خزانه داری ایالات متحده این گروه را تحریم خواهد کرد. پرداخت باج [به این باج‌افزار] تا حد زیادی از طریق اقدام جمعی متوقف شد و این گروه علیرغم تلاشی که برای ادامه کار خود انجام داد، چند ماه منحل شد.

گذشته از گروه کانتی و سایر باندهایی که از حمله روسیه در اوکراین حمایت کردند، فعالیت‌های باج‌افزاری بسیار پایین‌تر از سطح سال ۲۰۲۱ باقی مانده است.

آنچه آموختیم

اوکراین از حملات سایبری گذشته روسیه درس گرفته است

کارشناسان ممکن است تعدادی از عوامل، از جمله قابلیت‌های سایبری خود اوکراین را دست کم گرفته باشند. می‌توان حملات سایبریِ تقریباً پیوسته روسیه به اوکراین در چند سال اخیر را به‌عنوان یک نمونه واقعی برای قابلیت‌های سایبری تهاجمیِ این کشور در نظر گرفت؛ و همین نمونه بود که منجر به پیش‌بینی‌های نگران‌کننده‌ای در مورد [ابعاد] جنگ سایبری در اوکراین شده بود. مشکل اینجاست که اگرچه همه این اقدامات ممکن است به روسیه کمک کرده باشد تا درکی از سیستم‌ها و قابلیت‌های دفاعی اوکراین پیدا کند، اما «حمله» یک خیابان دو طرفه است. هر حمله مساوی بود با تبادل [متقابل] اطلاعات، و مدافعان اوکراینی [به کمک همین اطلاعات] دستورالعمل‌هایی برای مقابله با حملات سایبری روسیه تدوین کردند. بنابراین شاید تعجب‌آور نباشد که اوکراین برای مقابله با تهدیدات آماده بود، و ما از این تجربه آموختیم که اوکراین می‌تواند در حوزه سایبری حریف خوبی برای روسیه باشد.

دفاع جمعی

کمک‌های غرب نیز احتمالاً تأثیر زیادی داشته است. علاوه بر میلیاردها دلار کمک‌های نقدی و کالایی، جامعه بین‌المللی برای دفاع از شبکه‌های اوکراین نیز پیشنهاد کمک کرده است. منابع دولتی از ایالات متحده به تنهایی شامل سازمان سیسا (CISA)، اف‌بی‌آی، و فرماندهی سایبری ایالات متحده است. اتحادیه اروپا [نیز] تیم‌های واکنش سریع سایبری را برای حمایت از خط دفاع اوکراین مستقر کرده است.

غول‌های فناوری – مانند مایکروسافت – [نیز] به خنثی‌کردن حملات علیه زیرساخت‌های حیاتی و همچنین اهداف دولتی و رسانه‌ای [اوکراین] کمک کرده‌اند.
ایالات متحده و شرکای سایبری بین‌المللی آن استراتژی «حمله رو به جلو»[۵] را برای دفاع از شبکه‌های اوکراین در پیش گرفتند. اپراتورها به طور فعال نفوذها را شناسایی و شکار کردند و با شرکای صنعتی برای تجزیه و تحلیل بدافزارها و تکنیک‌های دشمن همکاری کردند و یافته‌ها را به بانک دانش دفاعی مشترک اضافه کردند. در حالی که توانایی‌های سایبری روسیه یکی از پیشرفته‌ترین‌ها در نظر گرفته می‌شود، این ائتلاف بین‌المللی دفاعی از نظر کثرت برتری خود را دیکته کرده است. سازمان ارتباطات حکومتی بریتانیا اعلام کرده است که دفاع جمعی از شبکه‌های اوکراین «موثرترین فعالیت سایبری دفاعی در تاریخ» بوده است.

اشتباه در توصیف استراتژی سایبری روسیه

از سوی دیگر، تلاش‌های غرب برای توصیف دکترین سایبری روسیه ممکن است از درجه‌ای از خودمحوری رنج برده باشد. دکترین سایبری روسیه گسترده‌تر از ایالات متحده است؛ بعنوان مثال، روسیه برخلاف ایالات متحده که بر توانایی‌های تهاجمی تأکید دارد، تمرکز خود را بر عملیات تأثیرگذاری گذاشته است. همانطور که یکی از تحلیل‌گران می‌گوید، «ظرفیت‌های اصلی و برترِ سایبری تهاجمی روسیه – به جای جنگ تسلیحات ترکیبی – در سازمان‌هایی قرار دارند که بر اطلاعات و براندازی متمرکز هستند – از جمله «کیت‌های ابزار کلیدی» که از سال ۲۰۱۴ علیه اوکراین استفاده می‌شوند». آنچه را که غربی‌ها ممکن است عملیات روانی بنامند، روسیه در قابلیت‌های سایبری خود گنجانده است.

این امر برخی از وقایع در طول جنگ را کمی متفاوت نشان می‌دهد. در اوایل مارس ۲۰۲۲، ویدیویی ظاهر شد که ظاهراً رئیس جمهور زلنسکی را نشان می‌داد که تسلیم شده و از اوکراینی‌ها می‌خواهد که سلاح‌های خود را زمین بگذارند. این ویدئو در رسانه‌های اجتماعی منتشر شد و هکرها تصاویر ثابت و خلاصه آن را در وب سایت یک ایستگاه تلویزیونی اوکراین قرار دادند. این ویدیو یک دیپ‌فیکِ تولید شده توسط هوش مصنوعی بود و اگرچه به سرعت حذف شد، اما هدف آن – که اختلال در روال سنتی فرماندهی و کنترل بود – کاملاً ویژگی متخاصمانه و جنگی داشت. در حالی که بسیاری انتظار داشتند که بر علمیات تهاجمی تاکید بیشتری شود، روسیه اغلب از قابلیت‌های سایبری خود برای براندازی استفاده می‌کرد.

آنجا که حق با ما بود

استفاده از جنگ هیبریدی

همانطور که پیش بینی می‌شد، جنگِ ۲۰۲۲ نقش برجسته بُعد سایبری در جنگ دولت-ملت‌ها در قرن بیست و یکم را نشان داد. علی‌رغم شکست‌هایی که قبلاً مورد بحث قرار گرفت، روسیه از سلاح‌های سایبری برای هدف قرار دادن زیرساخت‌های حیاتی، تکنولوژی‌های ارتباطی، رسانه‌های جمعی و سازمان‌های دولتی استفاده کرده است. آن‌ها ماشه را رو به سوی همان اهدافی کشیدند که اکثر ما از قبل پیش‌بینی می‌کردیم.

افزایش حجم حملات

حجم حملات نیز بسیار زیاد بوده است و اوکراین از تلاش‌های «بی‌وقفه» برای به خطر انداختن وزارتخانه‌های دفاع و دولت گزارش می‌دهد. گروه تحلیل تهدید گوگل گزارش داده است که هکرهای تحت حمایت دولت روسیه در سال ۲۰۲۲ حملات خود را به کاربران اوکراینی تا ۲۵۰ درصد افزایش دادند و دولت اوکراین اعلام کرد که سه برابر بیشتر از قبل از جنگ، علیه سیستم‌هایش هجمه انجام شده است.

استفاده از بدافزارهای مخرّب

بسیاری از حملات هدفمند و به ویژه مخرب بوده‌اند، حتی اگر آنطور که پیش‌بینی می‌شد بر نتیجه جنگ تأثیری نداشته باشند. در این مدت، بدافزار ویژه‌ای به نام وایپر[۶] برای از بین بردن دائمی داده‌ها به کار گرفته شد. در چهار ماه اول سال ۲۰۲۲، مرکز ماندیانت تعداد بیشتری از این حملات سایبری مخرب را در اوکراین نسبت به هشت سال گذشته مشاهده کرد. آزمایشگاه‌های فورتی‌گارد همین روند را با هفت نوع جدید بدافزار وایپرِ مخرب که تنها در نیمه اول سال ۲۰۲۲ در حملات مورد استفاده قرار گرفتند، نشان داد، که همگی به موازات تهاجم اوکراین به کار گرفته شدند. حملات وایپرها بین سه ماهه سوم و چهارم [سال ۲۰۲۲] ۵۳ درصد افزایش یافت.

گسترش حملات فراتر از اوکراین

وایپرها و سایر حملات تهاجمی به کشورهای دیگر سرایت کردند، البته نه در حدی که [پیش از این] بیمِ آن می‌رفت. حمله ۲۴ فوریه که ماهواره‌های ویاسات را ساقط کرد، ۵۸۰۰ توربین بادیِ آلمان را نیز از دسترس خارج کرد. از آن زمان، کادر «هکتیویست» روسیه عمدتاً علیه اهداف اوکراینی بسیج شده است، اما به طور فزاینده‌ای به اهدافی در کشورهای ناتو حمله می‌کند. این‌ دسته از حملات عمدتاً شامل حملات سطح پایینی مانند تخریب یا حملات منع دسترسی به خدمات می‌شوند؛ اما نصب وایپرها نیز گسترش یافته است که در برخی موارد باج‌افزار را تقلید می‌کنند، اما امیدی به بازیابی داده‌ها ندارند. درحالی‌که حملات وایپرهاه در روزهای اولیه تهاجم بیشتر در داخل مرزهای اوکراین باقی ماند، تا پایان سال ۲۰۲۲ به ۲۴ کشور دیگر گسترش یافت.

افق پیشِ‌رو

تشدید و تسرّیِ سوءاستفاده‌های سایبری

با نگاهی به آینده، باید به دو خطر توجه کرد.
نخست، ناامیدی نوآوری می‌آورد. با افزایش شکست‌های استراتژیک روسیه، فشار برای پیشرفت در جبهه سایبری وجود دارد. هرچه شرایط [برای روسیه] سخت‌تر شود، انگیزه آن برای توسعه و استقرار سلاح‌های سایبری مخرب‌تر بیشتر می‌شود.
دوم، از آن‌جا که روسیه به توسعه ابزارهایی برای حمله به شبکه‌های اوکراین ادامه می‌دهد، ابزارهای تهاجمی که ایجاد می‌کند بدون شک به دست بزه‌کاران سایبریِ معمولی نیز می‌رسد تا علیه کسب‌وکارها به کار گرفته شود. از جمله این موارد، حملات بدافزار وایپر است که قبلاً به خارج از مرزهای اوکراین گسترش یافته است. با در انتظار تشدید حملات وایپرها و تسرّیِ فعالیت‌های مخرب سایبری به سطوح پایین‌تر باشیم.

چه باید کرد

همکاری بین المللی و عملیات «حمله به جلو»یِ ایالات متحده به شرکای غربی اطلاعات ارزشمندی در مورد عملیات تهاجمی سایبری روسیه داده است. تهاجم سایبری روسیه علیه اوکراین متکی به همان محورهایی است که توسط سایر مجرمان سایبری مورد بهره‌برداری قرار می‌گیرد؛ از جمله سوء‌استفاده از آسیب‌پذیری‌های نرم‌افزارهای کاربردی و فیشینگ. حتی حمله مشهور نت‌پاتیا که روسیه علیه شبکه‌های اوکراینی در سال 2017 آغاز کرد، از یک آسیب‌پذیری نرم‌افزاری سوءاستفاده کرد که یک ماه قبل از آن، پَچی برای آن منتشر شده بود. کسب‌وکارهای غربی می‌توانند از این موضوع درس بگیرند و اقدامات پیشگیرانه و امنیتی لازم را انجام دهند؛ از جمله اطمینان از پچ‌کردنِ منظم و پیوسته نرم‌افزارهای خود، و محافظت در برابر حملات فیشینگ با MFAهای مقاوم در برابر فیشینگ. با از بین رفتن ابزارهای مخرب روسیه، این اقدامات می‌تواند به جلوگیری از ورود مهاجمان به شبکه کمک کند.

پانوشت

۱- NotPetya

۲- Viasat

۳- Cyber and infrastructure security agency (CISA)

نویسندگان

مترجمان