روش‌های جاسوسی در دنیای سایبری

مجله «فارن افرز» که توسط اندیشکده تأثیرگذار و پرنفوذ آمریکایی «شورای روابط خارجی» منشتر می‌شود طی گزارشی نوشت: ایالات متحده با تهدیدهای بی‌سابقه‌ای در فضای سایبر روبه‌رو است. اما واشنگتن در تلاش‌های خود برای کاهش آنها، یکی از بهترین ابزارهایش، یعنی تحریم‌های اقتصادی، را نادیده گرفته است. دولت اوباما باید بدون درنگ، هم برای بازداشتن کشورهای خارجی، و هم عوامل غیر دولتی که سیستم‌های کامپیوتری آمریکایی را هک می‌کنند، شروع به استفاده از تحریم‌ها نماید.


*سایبر برای هر شخص یا گروهی که با آن به تعامل می‌پردازد به شکلی متفاوت نمود می‌یابد


این جهان، که توسط مهندسین خلق شده و همه از آن استفاده می‌کنند، برای هر شخص یا گروهی که با آن به تعامل می‌پردازد به شکلی متفاوت نمود می‌یابد. فضای سایبری برای ارتش امریکا، یک حوزه جنگ و مبارزه است؛ برای یک دانشجو، مکانی است برای تعامل با دیگر همسالانش؛ و برای یک شرکت تجاری، مکانی است برای کسب درآمد، و این فهرست به همین ترتیب ادامه می‌یابد.

 
*جاسوسی دیجیتال در دنیای امنیت سایبری موضوعی جنجالی و مهم است


بحث و گفتگو در مورد یک موضوع مرتبط، یعنی امنیت سایبری، نیز همین ویژگی‌ها را داراست. چگونگی دستیابی به امنیت، یا حتی تعریف آن، نیز به مشترکان و کاربران بستگی دارد. جاسوسی دیجیتال، برای اکثر افراد در دنیای امنیت سایبری، یک موضوع جنجالی و مهم است. آیتم‌های خبری اندکی چنین جنبش و پویایی نظیر گزارشی که در ماه فوریه توسط شرکت من، ماندیانت، در مورد واحد 61398 منتشر شد، در این دنیای مجازی ایجاد کرده‌اند. این گزارش تاریخچه هفت ساله جاسوسی‌های دیجیتال توسط واحد 61398 علیه حداقل 141 شرکت غربی را افشا کرد. ماندیانت، جاسوسی‌های سایبری چینی را ردیابی کرد و به یک ساختمان اداری 12 طبقه در خارج از شانگهای رسید.


* امکان تبدیل جاسوسی به ویرانگری موضوعی است که اغلب نادیده گرفته می‌شود


مسلماً هر نوع اقدام به جاسوسی، موضوعی جدی و مهم است، اما برخی از افراد تفاوت جاسوسی در جهان سایبری را با جاسوسی در جهان فیزیکی درک نمی‌کنند. عده اندکی به این موضوع واقف هستند که همان ابزارهای لازم برای انجام جاسوسی‌های دیجیتال، می‌تواند به متجاوزان اجازه دهد که یک گام به جلو برداشته و ویرانگری‌های دیجیتال نیز به بار آورند. زمانی که دشمن به یک سیستم کامپیوتری نفوذ می‌کند، میزان خسارتی که وارد می‌کند یا نمی‌کند، کاملاً به قصد و نیت خودش بستگی دارد. این که چنین اقداماتی را باید جنگ تلقی کرد یا خیر بیشتر یک تصمیم‌گیری سیاسی است، اما امکان تبدیل جاسوسی به ویرانگری موضوعی است که اغلب نادیده گرفته می‌شود.

 
*جاسوسی سایبری با جنگ سایبری بسیار تفاوت دارد


منتقدان در اظهار این که جاسوسی تنها یک مرحله پایین‌تر از یک حمله دیجیتال تمام عیار (که می‌تواند اقدام به جنگ تفسیر شود) می‌باشد، درنگ نمی‌کنند. به عنوان مثال، «بروس اشنایر» ، به گزارش‌های فعالیت‌های سایبری چین چنین پاسخ داد: «این یک جنگ سایبری نیست. این در واقع هیچ نوع جنگی نیست. این جاسوسی است، و درک تفاوت آن با جنگ مهم است. گذاشتن نام جنگ بر روی آن، تنها به ترس‌های ما دامن زده و هیزمی برای آتش تسلیحات جنگ سایبری می‌شود».

 
*سه حوزه فعالیت‌های سایبری


درک عمومی از دفاع، جاسوسی و جنگ دیجیتال باید بهبود یابد. افرادی با پیشینه نظامی، از سه اصطلاح جهت تشریح فعالیت‌های سایبری استفاده می‌کنند: دفاع از شبکه‌های کامپیوتری (CND) ، سوء‌استفاده و استخراج از شبکه‌های کامپیوتری (CNE)، و حمله به شبکه‌های کامپیوتری (CNA). CND که وظیفه محافظت از اطلاعات دیجیتال در برابر هکرها را بر عهده دارد، میان همگان یک امر خوب تلقی می‌گردد. CNE و CNA مسئله‌سازتر هستند چون شامل انجام اقداماتی تهاجمی علیه یک هدف مشخص می‌باشند.


متخصصان غربی در حوزه امنیت، CNE را به عنوان جاسوسی دیجیتال، و CNA را به عنوان تغییر دادن، مختل کردن، یا تخریب سیستم‌های کامپیوتری، چه به صورت مجازی و چه به صورت فیزیکی، در نظر می‌گیرند. به عنوان نمونه‌هایی از CNE می‌توان به نفوذ به شبکه‌های کامپیوتری برای سرقت اسرار تجاری یا دیگر داده‌های حساس، کنترل بر تایپ کردن اشخاص و سرقت رمزهای عبور آن‌ها، یا ربودن اطلاعات هنگام وب‌گردی آن‌ها در اینترنت، اشاره کرد. تغییر رکوردها و سوابق پایگاه داده یا حذف کردن داده‌ها نمونه‌ای از CNA مجازی بوده و استفاده از کامپیوترها برای خسارت زدن یا ویران کردن تجهیزات یا وارد کردن صدمات دیگر در جهان واقعی، نمونه‌هایی از CNA فیزیکی می‌باشد.


* «استاکس‌نت»؛ تنها جنگ‌سایبری


اصطلاح «جنگ سایبری» معمولاً به استفاده از یک سلاح دیجیتال برای وارد کردن صدمات فیزیکی اطلاق می‌گردد. تا کنون، تنها نمونه از این مورد که مورد پذیرش عمومی قرار گرفته، حمله استاکس‌نت علیه تأسیسات هسته‌ای ایران بوده است.

برخی افراد اصطلاح «جنگ سایبری» را بسیار آزادانه و بی‌قید و بند مورد استفاده قرار می‌دهند، یا بسیاری از انواع اقدامات دیجیتال را تا زمانی که به عملیات نظامی جهان واقعی مرتبط باشند، جنگ سایبری می‌پندارند. همانند زمانی که هکرهای روسی، وب‌سایت‌های گرجستان را در طول جنگ سال 2008 میان دو کشور تخریب نمودند.


*دشمنی که قادر به جاسوسی باشد، قادر به خسارت زدن هم هست


دشمنی که قادر به جاسوسی باشد، قادر به خسارت زدن هم هست، و این تنها به قصد و نیتش بستگی دارد. در نتیجه، بسته به هدفی که مورد حمله قرار می‌گیرد، جاسوسی سایبری می‌تواند به سرعت به یک جنگ سایبری مبدل شود، جنگی که در آن از تسلیحات دیجیتال برای اعمال خسارات فیزیکی استفاده می‌گردد.


* آیا متجاوز تصمیم می‌گیرد جاسوسی کند، یا دست به تخریب و ویرانگری بزند؟


این الگوی حمله را در نظر بگیرید. متجاوز در ابتدا اقدام به شناسایی هدف مورد نظر کرده تا نقاط ضعف آن را بررسی کرده و راه‌هایی برای سرقت یا دستکاری داده‌ها بیابد. سپس، محتویات و مطالبی که به شکل سلاح درآمده‌اند (مثلاً سندی با کدهای مخرب و ویروسی، یا لینکی به یک وب‌سایت مخرب) را از طریق یک پیام ایمیل ارسال می‌نماید. گیرنده ایمیل پیوست‌های آن را باز کرده یا روی لینک کلیک می‌کند، و این کار موجب می‌شود که کامپیوتر وی تبدیل به قربانی متجاوز گردد. متجاوز اکنون می‌تواند کامپیوتر قربانی را کنترل کرده و آزادانه اهداف خود را دنبال نماید.


این همان لحظه کلیدی است: آیا متجاوز تصمیم می‌گیرد جاسوسی کند، یا دست به تخریب و ویرانگری بزند؟ در اکثر موارد، پاسخ همواره جاسوسی کردن بوده است. متجاوزان معمولاً بیشترین استفاده را از دسترسی به هدف و سرقت بی سر و صدای داده‌ها می‌برند. این مورد هم در خصوص جرائم سایبری با انگیزه‌های مالی و هم جاسوسی دیجیتال صدق می‌کند. پنهانی بودن و مداوم بودن این نوع جاسوسی‌هاست که ارزش دارد. سارقان دیجیتال حرفه‌ای نمی‌خواهند با تخریب داده‌ها یا ایجاد آثار فیزیکی، حضور خود را اعلام نمایند.

 
* هکتیویست‌ها چه کسانی هستند؟


تعداد اندکی از موارد، که معمولاً توسط افرادی موسوم به هکتیویست‌ها انجام می‌شوند، شامل تخریب داده‌ها نیز هستند. اکثر ناظران چنین اقداماتی را همانند خرابکاری می‌دانند. متجاوز می‌خواهد قربانی را آشفته و خجالت‌زده کند، بنابراین به هدف مذکور نفوذ کرده، داده‌ها را به سرقت می‌برد، با نابود کردن فایل‌های کلیدی کامپیوترهای آن را از کار می‌اندازد، و سپس اخبار پیروزی‌ها و دستاوردهای خود را روی اینترنت منتشر می‌سازد. این مدل بسیار با دنیای CNE و CNA متفاوت است.


* برخی افراد خارج از جوامع هکتیویست‌ها نیز به دنبال تخریب و ویرانگری هستند


متأسفانه، سه پرونده اخیر نشان می‌دهند که برخی افراد خارج از جوامع هکتیویست‌ها نیز به دنبال تخریب و ویرانگری هستند. در ماه اوت سال 2012، شرکت نفت دولتی عربستان سعودی، که با نام شرکت آرامکو عربستان نیز مشهور است، از یک تخریب دیجیتال آسیب دید. به گفته «عبدالله السعدان» ، یکی از معاونین شرکت، متجاوزین خارجی فایل‌هایی کلیدی را از بیش از 30.000 کامپیوتر پاک کردند. سرلشکر «منصور الترکی»، سخنگوی وزارت کشور عربستان، اظهار داشت که «این حمله نتوانست به هدف نهایی خود، که متوقف ساختن جریان نفت عربستان بود، دست پیدا کند.» چند سال بعد، راس‌گاز، شرکتی با سهام مشترک متعلق به پترولیوم قطر و اکسون موبیل، و یکی از بزرگ‌ترین تأمین‌کنندگان گاز طبیعی مایع، گزارش داد که از یک حمله مشابه آسیب دیده است.


در تازه‌ترین مورد که در ماه مارس گذشته به وقوع پیوست، حملات مخرب دیجیتالی بیش از 48 هزار کامپیوتر را در کره جنوبی تحت تأثیر قرار داد. سه ایستگاه تلویزیونی و سه بانک گزارش دادند که فایل‌های حیاتی سیستم‌ها توسط نرم‌افزارهای مخرب مورد حمله قرار گرفته‌اند و آثار این حملات، مشابه صدمات وارده به شرکت آرامکو عربستان و راس‌گاز بوده است. مقامات کره جنوبی این حملات را به کره شمالی نسبت دادند.


*تفاوت حملات دیجیتالی در چیست؟


مهم است که در این زمینه، میان حملات دیجیتال که به طور موقت شبکه‌ها را مختل کرده، و حملاتی که داده‌ها را پاک می‌کنند، تمایز قائل شویم. نوع اول حملات با عنوان DDoS یا حملات «حمله توزیع شده محروم‌ سازی از سرویس» (Distributed Denial of Service) شناخته می‌شود. در این روش متجاوزان، کامپیوترهای هدف را با ترافیک شبکه‌ای جعلی، غرق کرده و توانایی قربانی برای ارتباط با اینترنت و همچنین توانایی سایرین برای بازدید از شبکه‌های مورد حمله را کاهش می‌دهند.

خسارت‌های ناشی از چنین حملاتی به محض این که متجاوز حمله را متوقف سازد، یا یک شرکت امنیتی به کمک قربانی بیاید، پایان می‌یابد. این نوع حمله روشی از حمله محروم‌سازی از سرویس (Denial of Service attack)‏ (یا به اختصار DoS) ‌است که در آن حمله‌کننده با تعداد زیادی از کامپیوترها و شبکه‌هایی که در اختیار دارد، حمله را صورت می‌دهد. در این روش تمام رایانه‌ها یکی از روش‌های حمله را که در ذیل ذکر شده‌اند را همزمان با هم انجام می‌دهند که ممکن است در برخی موارد خسارات جبران ناپذیری را به بار آورد.

 
*حملات پاک کردن داده‌ها، مخرب‌تر هستند


حملات پاک کردن داده‌ها، مخرب‌تر هستند. هنگامی که یک متجاوز داده‌ها را نابود می‌سازد، به طور کلی مطالب را از هارد درایو هدف پاک می‌کند. اگر هیچ کپی دیگری از داده‌ها وجود نداشته باشد، آن‌ها برای همیشه از دست می‌روند. اگر سیستم آسیب‌دیده، یک عملیات تجاری بسیار مهم را اجرا کند، آن عملیات تا وقتی که کامپیوتر بازسازی یا مرمت شود دچار اختلال خواهد شد. به عنوان مثال، متجاوزی که به محاسبات کنترل کننده یک دستگاه رزونانس مغناطیسی یا روباتی که قطعات خودرو را پرس می‌کند، حمله می‌نماید، می‌تواند به شکلی موثر تجارت و کسب‌وکار را متوقف سازد.


*در فضای سایبری، توانایی سرقت، معادل با توانایی نابودسازی است


در تمامی این سه پرونده (شرکت آرامکو عربستان، راس‌گاز، و کره جنوبی) ، متجاوزین احتمالاً به شکلی یکسان عمل کردند. متهاجمان احتمالاً خیلی راحت می‌توانستند تصمیم بگیرند که روزها، هفته‌ها، یا ماه‌ها به جاسوسی از این شرکت‌ها بپردازند. اگر بازرسان موفق می‌شدند متجاوزان را شناسایی کرده و متهاجمان را بیرون کنند، برخی مفسران ادعا می‌کردند که این حمله هم یک مورد دیگر از جاسوسی‌های بی‌ضرر بوده است.

هر چه باشد، متجاوزان هنگامی که آزادانه در شبکه‌های قربانی پرسه می‌زدند، نگاهی هم به داده‌ها انداخته‌اند. با این حال، حقیقت این است که در فضای سایبری، توانایی سرقت، معادل با توانایی نابودسازی است. هر نمونه‌ای از بهره‌برداری از شبکه‌های کامپیوتری، یک پرونده بالقوه از حمله به شبکه‌های کامپیوتری است.

 
* راهکارهای که باید برای مقابله با جاسوسان سایبری اتخاذ کرد


پرداختن به این مسئله نیازمند در نظر گرفتن چند مرحله است. اول اینکه سیاست‌گذاران باید نگرش‌های بی‌قید و آسانگیرانه خود نسبت به «جاسوسیِ صِرف» را به شکلی مناسب بازبینی کنند. درست است، برخی از متجاوزان احتمالاً اعمال خود را به جاسوسی محدود کرده و تصمیم می‌گیرند خسارتی وارد نکنند؛ اما همه چنین لطفی نخواهند کرد. دوم این که، سازمان‌هایی که هدف حمله قرار می‌گیرند باید بدانند که متجاوزان به طور معمول به شبکه‌های آن‌ها نفوذ می‌کنند.

هر کسی که یک شبکه را راه‌اندازی می‌کند، باید یک ذهنیت شکارچی‌وار را هم در خود ایجاد کند، و سعی کند عملیاتی انجام دهد که متجاوزین را پیش از این که تصمیم بگیرند داده‌ها را سرقت کرده یا نابود نمایند، ردیابی و شناسایی کند. سوم این که، سازمان‌ها باید با همنوعان خود، شرکت‌های تأمین‌کننده موارد ایمنی که قابل اعتماد و درستکار هستند، و نهادهای دولتی همکاری کنند تا اطلاعات مربوط به تهدیدها را به قالب‌هایی استاندارد شده و دستگاه‌خوان نظیر قالب OpenIOC از ماندیانت، یا بیان ساختار یافته اطلاعات تهدیدی از MITRE تغییر دهند.


هنگامی که یک سازمان از تهدیدها آگاه شود، می‌تواند از شرکتی نظیر ماندیانت بخواهد که به جستجوی متجاوزان پرداخته و پس از یافتن آن‌ها، بیرونشان کند. ماندیانت از ترکیبی از ابزارها و اطلاعات برای ارزیابی مدارک و شواهد به دست آمده از شبکه‌ها، کامپیوترها و برنامه‌های کاربردی استفاده می‌کند تا تهدیدهای نهان را کشف کرده و به قربانیان کمک کند که شبکه خود را به یک وضعیت قابل اعتماد بازگردانند.

 
*باید با جاسوسان سایبری مقابله جدی کرد


سازمان‌ها زمانی که بتوانند متجاوزین را سریعاً در شبکه‌های خود شناسایی کرده و پیش از این که دشمن مأموریت خود را (هر چه که هست) تکمیل نماید، او را از بین ببرند، پیروز خواهند بود. دیگر بیش از نمی‌توانیم پشت این طرز فکر که فعالیت‌های متجاوزانه را می‌توان تحمل کرد چون هدفشان صرفاً جاسوسی است، پنهان شویم.