پس‌کوچه
All platforms
برو به محتوای اصلی

سامانه‌های الکترونیکی دولتی؛ «اسب تروآ» در جمهوری‌اسلامی!

هک شهرداری تهران، و به طور کلی افزایش تعداد هک و نفوذ به سامانه‌های مهم دولتی که بعضا از دسترس عموم هم خارج هستند، نشان می‌دهد عقب‌ماندگی‌های نرم‌افزاری و سخت‌افزاری و نبود نیروی انسانی متخصص در ساختار جمهوری اسلامی، از عوامل اصلی کاهش سطح امنیت سایبری در ایران است.

وقتی اواخر دهه ۱۳۸۰ امنیتی‌ترین سامانه‌های الکترونیکی جمهوری اسلامی با ویروس «استاکس‌نت» مختل شد و وقفه‌ای ۱۰ ساله در فعالیت‌های مرتبط با غنی‌سازی ایجاد کرد، امنیت بسیاری از این سامانه‌های حساس و حیاتی زیر سوال رفت. در سال‌های گذشته خبرهای زیادی از نفوذ به سیستم‌های وزارت‌ها و نهادهای مختلف از شرکت نفت و وزارت راه و تابلوهای شهری گرفته تا داخل زندان اوین منتشر شده‌است.

گروه‌هایی با عناوین متفاوت مانند یوزپلنگان وطن، گنجشک‌های درنده، تپندگان، عدالت علی، قیام تا سرنگونی و … هر کدام با ادبیات متفاوت مسئولیت برخی از آن‌ها را به عهده گرفته‌اند.

این روند در یک سال گذشته اوج گرفته و با هک سامانه توزیع سوخت، تقریبا همه کشور را تحت تاثیر قرار داد. تعطیلات چند روزه نیمه خرداد در سال ۱۴۰۱ هم فرصتی برای هکرهاایجاد کرد که با استفاده از احتمال عدم حضور نیروی انسانی لازم در این بازه زمانی، چند عملیات انجام دهند.

از کار افتادن سامانه پلیس گذرنامه که منجر شد تعداد زیادی از افراد در بامداد ۱۴ خرداد و ساعاتی پیش از بسته‌شدن فضای هوایی تهران در شش صبح، بدون چک سیستمی و تنها با «درج مهر خروج در پاسپورت» از کشور خارج شوند، یکی از آن‌ها بود. با این‌حال مقامات مسئول حمله سایبری را تکذیب کرده‌اند. در همین بازه سرقت صندوق امانات بانک ملی هم جلب توجه کرد.

ابعاد حمله سایبری به شهرداری تهران

در شمار حملات سایبری نیمه خرداد ۱۴۰۱، از همه مهم‌تر، حمله سایبری به شهرداری تهران بود. این حمله ظهر پنج‌شنبه ۱۲ خرداد رخ داد. زاکانی، شهردار تهران، در این باره گفت:

«در ابتدا یک کار تبلیغاتی به ظن خودشان آغاز کردند. طراحی شده‌بود که در بعد از ظهر همان روز به دوربین‌ها دسترسی پیدا کنند و اقدام خود را به سیستم‌های نرم‌افزاری و دسترسی به داده‌ها و اطلاعات توسعه دهند که به حمدالله از همان ابتدا همکاران ما وارد عمل شدند و سایر اقدامات آنها ناکام ماند.»

هیچ گزارش مستقل و فنی منتشر نشده که صحت ادعای فوق را ارزیابی کند. اما اکثر سامانه‌های شهرداری تهران بیش از یک هفته از کار افتاده بودند. گروه «قیام تا سرنگونی» مسئولیت این اقدام را برعهده گرفت. این گروه نخستین بار با پخش تصاویر مسعود و مریم رجوی در تلویزیون ایران مشهور شد. در آن زمان شاهین قبادی، سخنگوی مجاهدین خلق مستقر در پاریس، به آسوشیتدپرس گفت:

ما نیز مانند شما الان از این موضوع مطلع شدیم… به نظر می‌رسد که این کار توسط حامیان مجاهدین خلق و واحدهای مقاومت در ایستگاه‌های رادیویی و تلویزیونی رژیم انجام شده‌است.

اما حملات بعدی این گروه مانند وب‌سایت وزارت جهاد کشاورزی و مورد اخیر در شهرداری تهران، با پوشش خبری سازمان مجاهدین خلق مواجه بوده‌است (پوشش رسانه‌های داخلی و خارجی.

سرانجام بعد از حدود ۱۰ روز، آرام آرام بعضی از سامانه‌های شهرداری تهران فعال می‌شوند. زاکانی چهار روز بعد از گفته‌های چمران که در ۱۷خرداد وعده یک روزه بازگشت سیستم‌ها را داده‌بود، درباره این تاخیر گفت:

جای تقدیر از پرسنل شهرداری تهران دارد که توانستند جلوی اقدامات بعدی دشمن را بگیرند. در ادامه بر اساس احتیاط سامانه‌ها پایین آورده شد تا ابعاد موضوع بررسی و پی‌جویی شود. این در حالی است که از روز دوشنبه و سه‌شنبه (۱۶ و ۱۷ خرداد) سامانه‌ها برای بهره‌برداری آماده بودند اما برای دریافت ضریب امنیتی و آمادگی با بدافزارهای احتمالی، این سامانه‌ها از روز گذشته در دسترس مناطق، سازمان‌ها و شرکت‌ها برای استفاده قرار گرفت و از امروز صبح نیز در اختیار عموم قرار داده‌شد.

نقطه نفوذ

بررسی حملات سایبری در سال‌های اخیر به ما نشان می‌دهد که سه عامل نرم‌افزاری، سخت‌افزاری و نیروی انسانی در هر کدام از حملات با سهمی متفاوت، نقش دارند. در بین این عوامل، نیروی انسانی در هک نهادهایی که به اینترنت متصل نیستند و بر بستر اینترانت فعالیت می‌کنند، نقش مهم‌تری دارد. این حملات پیچیده هستند. اما وقتی در سازمان‌ها از ابزارهای به‌روز و نیروی متخصص برای تامین امنیت سایبری استفاده نشود، اوضاع کمی متفاوت خواهد بود و گروه‌های هکری می‌توانند با ساده‌ترین شیوه‌ها به اهداف خود برسند.

در مورد حملات قبلی از جمله حمله به صداوسیما و هک شرکت راه‌آهن همچنان نقطه اولیه نفوذ هکرها مشخص نیست و تفاوت‌های اجرایی در حمله دیده می‌شود. اما نقطه اشتراک هر دو ایجاد درهای پشتی برای نفوذ و نصب بدافزار پاک‌کننده (wiper malware) برای ایجاد اختلال بوده‌است.

در هر دو حمله از بدافزارهای جدیدی استفاده شده‌بود که پیش از آن در حمله دیگری مشاهده نشده‌است. اما به نظر می‌رسد دسترسی اولیه هر دو حمله از طریق حفره‌های امنیتی ناشی از به‌روز نبودن ابزارهای امنیتی بوده‌است.

اشتباه در امنیت عملیاتی مهاجمان در حمله به سامانه راه آهن موجب شده که تا حدودی شیوه حمله و ابزارهای به کار رفته مشخص شود. در این حمله، مهاجمان از بدافزار پاک کننده ای به نام Meteor استفاده کرده‌اند. جعبه ابزار کلی مهاجمان شامل مجموعه‌ای از فایل‌های دسته‌ای بوده که اجزای مختلف حذف شده از آرشیوهای RAR را هماهنگ می‌کرده. بایگانی‌ها با نسخه‌ای از Rar.exe از حالت فشرده خارج شده و اجزای بدافزار پاک کننده به سه قسمت تقسیم شده‌اند. در گام اول Meteor فایل سیستم را رمزگذاری می‌کند و سپس nti.exe، به خراب کردن MBR می‌پردازد. MBR اولین درایو از درایو هارد دیسک کامپیوتر است که اطلاعات پارتیشن‌ها روی آن قرار دارد و فرآیند راه اندازی رایانه از روی آن آغاز می‌شود. در مرحله آخر هم mssetup.exe سیستم را قفل می‌کند.

بد افزار پاک‌کننده Meteor در ابتدایی‌ترین عملکرد خود، مجموعه‌ای از مسیرها را از پیکربندی رمزگذاری‌شده می‌گیرد و فایل‌ها را پاک می‌کند. همچنین مطمئن می‌شود که کپی فایلها را حذف می‌کند و دستگاه را از دامنه حذف می‌کند تا از روش‌های اصلاح سریع جلوگیری شود. این بدافزار دارای تعداد زیادی عملکرد اضافی است از جمله: تغییر رمز عبور برای همه کاربران، غیرفعال کردن محافظ صفحه، نصب قفل صفحه، غیرفعال کردن حالت بازیابی و تغییر تصاویر صفحه قفل برای نسخه‌های مختلف ویندوز.

براساس گزارش تحقیقی چک پوینت در مورد هک صداوسیما نیز از برنامه‌های اجرایی مخربی استفاده شده. شواهد نشان می‌دهد در این حمله هم از یک بدافزار پاک‌کننده استفاده شده است. تخمین زده می‌شود آسیبی که به شبکه‌های تلویزیونی و رادیویی زده شده احتمالاً جدی‌تر از چیزی است که به طور رسمی گزارش شده. هنوز مشخص نیست که دسترسی اولیه مهاجمان به شبکه چگونه بوده است اما بیشتر منابع با آی‌پی‌های ایران آپلود شدند و احتمال داده می‌شود که حمله از داخل ایران بوده است. روند حمله به شکل ایجاد درهای پشتی و تداوم آنها برای ادامه حمله و نصب بدافزار پاک کننده برای ایجاد اختلال در شبکه های هک شده بوده است.

همچنین هدف بدافزار اصلی پاک کردن فایل‌ها، درایوها و MBR بوده است. علاوه بر این، بدافزار مورد استفاده، قابلیت پاک کردن گزارش رویدادهای ویندوز، حذف پشتیبان‌گیری، کشتن فرآیندها، تغییر رمز عبور کاربران و موارد دیگر را داشته. این بدان معنی است که هدف فقط نمایش یک ویدیو نبوده و آسیب‌هایی را هم به دنبال داشته است.

براساس گزارش چک پوینت ابزارهای مهاجمان از کیفیت و پیچیدگی نسبتاً پایینی برخوردار بوده و توسط اسکریپت‌های دسته‌ای ۳ خطی ناشیانه و همراه با باگ راه‌اندازی شده بود که این ممکن است از این نظریه حمایت کند که مهاجمان ممکن است از داخل صدا و سیما باشند یا اینکه گروه‌های مختلف با مهارت‌های متفاوت در این حمله حضور داشته‌اند.

نرم‌افزارهای قدیمی در سرورهای شهرداری تهران

گروه قیام تا سرنگونی، در ویدیوهایی، فهرستی از مشخصات ۲۱۸۰ سرور شهرداری تهران را منتشر کرده‌است: با بررسی مشخصات فنی سرورهای شهرداری تهران می‌توان دریافت که تعداد زیادی از سیستم‌ها برای مدت طولانی به‌روز‌رسانی نشده بودند که این به معنی باز گذاشتن راه برای ورود هکرهاست. در میان سرورهای شهرداری تهران، تعداد زیادی سرور VMware 5.5 دیده می‌شود که از سال ۲۰۱۸ پشتیبانی از آن سرویس متوقف شده‌است! علاوه بر نرم‌افزار به‌روز نشده، در اینجا عامل نیروی انسانی زبده هم مطرح است که از اهمیت چنین به‌روزرسانی‌هایی در سیستم غافل نباشد.

وضعیت امنیت سایبری کشور

در حالی که چند نهاد مختلف زیر نظر نهاد رهبری، ستاد کل نیروهای مسلح، ناجا و دولت (وزارت ارتباطات) بابت چنین موضوعاتی از بودجه استفاده می‌کنند، هیچ‌کدام هیچ گزارش علنی درباره وضعیت سایبری کشور منتشر نمی‌کنند. در مورد هک شهرداری تهران هم که ابعاد بسیار گسترده‌ای دارد که هنوز برخی از آنها مشخص نیست (زیرا تا زمان نگارش این مطلب هنوز بعضی از سرویس‌ها از دسترس خارج هستند) هیچ گزارشی از نهادی مستقل از شهرداری وجود ندارد. نه شورای عالی فضای مجازی نه معاونت سایبری پدافند غیرعامل نیروهای مسلح، نه معاونت امنیت فضای تولید و تبادل اطلاعات (افتا) سازمان فناوری اطلاعات و نه پلیس فتا هیچ‌کدام خود را ملزم نمی‌بینند که به افکار عمومی پاسخ دهند.

واکنش‌ها در نهادهای عمومی هم بیشتر نیست و انگار چنین عجزی برابر حملات سایبری دیگر عادی شده‌است. مجلس که تمرکزش بر طرح صیانت است و دولت هم به‌دنبال پیاده‌سازی شبکه ملی اطلاعات است. این دو طرح امکان جدایی شبکه ایران از اینترنت جهانی را فراهم می‌کنند.

اما برخلاف ادعای شورای عالی فضای مجازی و برخی نمایندگان مجلس، صرف نظر از نحوه اجرای حمله به سرورهای شهرداری، آنچه در این میان جلوه‌گری می‌کند، عدم موفقیت رویکرد محدودسازی دسترسی از خارج و ایجاد شبکه داخلی است. حملات سایبری یک سال گذشته خود گواه ناکامی نهادهای دولتی در ایمن‌سازی از طریق ایجاد سیستم ایزوله است. اعضای شورای شهر تهران هم با اظهارنظرهای غیرحرفه‌ای یا به‌دنبال انتقام سیاسی هستند:

احمد صادقی: عضو شورای شهر تهران نسبت به حضور نیروهای ناکارآمد و نفوذی در بدنه شهرداری و بویژه در بخش‌های کارشناسی و آی‌تی شهرداری تهران از دوره قبل مدیریت شهری انتقاد کرد و گفت: متاسفانه شاهد هستیم که هنوز نسبت به پاک‌سازی این نیروها اقدامی صورت نگرفته است.

یا به‌دنبال کلی‌گویی و تئوری‌پردازی سایبری هستند:

مهدی عباسی: حملات به مراکز محدود که ارزش امنیتی دارد و حملاتی که گستردگی بالا دارد و هدف اختلال در زندگی روزمره مردم است. حمله سایبری به تاسیسات هسته‌ای تجربه شده در کشور از نوع اول و حمله به سامانه سوخت و پمپ بنزین‌ها و اخیرا سامانه‌های شهرداری تهران از نوع دوم است. با وجود تاکیدات در قوانین و اسناد بالادستی از جمله برنامه ششم توسعه کشور تحقق تکالیف ماده 107 و 109 آن برنامه در بعد دفاعی آنگونه که باید عملی نشده است.

وضعیت سایت شهرداری تهران پس از بازگشت به فعالیت نشان می‌دهد که مسئولین این سایت حتی یک بک‌آپ ساده هم از سایت نداشتند و برای بالا آوردن سایت مجبور شدند از نسخه‌های آرشیو شده سایت archive استفاده کنند.

به این ترتیب به‌نظر می‌رسد که با ضعف در نرم‌افزار و سخت‌افزار و نیروی انسانی، که در همه سطوح به‌ویژه سامانه‌های دولتی در جمهوری اسلامی دیده می‌شود، احتمالا در آینده نزدیک مجددا این حملات تکرار شود و حتی ممکن است گستردگی بیشتر، آثار عمیق‌تر یا حتی نتایج امنیتی داشته باشد.

اپ اندروید پس‌کوچه را دانلود کنید

دانلود
بازگشت به بالا