ماجرای عجیب باهوش ترین گروه هکری روسیه که کنترل هکرهای ایرانی را هم در دست داشت!

  • مصطفی  جرفی مصطفی جرفی
  • ۱ خرداد ۱۴۰۲
  • زمان مطالعه : 9 دقیقه

راهنماتو- اگر از تحلیلگران اطلاعاتی حوزه امنیت سایبری در کشورهای غربی بپرسید که گروه "مورد علاقه" آنان از میان هکرهای تحت حمایت دولت های خارجی کیست دشمنی که با اکراه آن را تحسین کرده و با وسواس فعالیت های آن را رصد می کنند احتمالا از تعداد زیادی از گروه های هکری از چین و کره شمالی نام نخواهند برد. آنان نه از گروه APT41 چین با حملات وحشیانه علیه زنجیره تامین یاد خواهند کرد و نه از هکرهای لازاروس کره شمالی که سرقت ‌های عظیم ارزهای دیجیتال را انجام می ‌دهند. آنان حتی به گروه بدنام هکری روس Sandworm نیز که به شبکه های برق حمله کرده نیز اشاره نخواهند کرد.

به گزارش راهنماتو، در عوض، افراد خبره در عرصه نفوذ رایانه ای تمایل دارند از تیمی بسیار ظریف ‌تر از جاسوسان سایبری نام ببرند که به اشکال مختلف برای مدت زمان طولانی ‌تری درون شبکه ‌های مختلف در سراسر غرب در سکوت نفوذ کرده‌ اند: گروهی به نام "تورلا".

وزارت دادگستری ایالات متحده و پلیس فدرال امریکا (اف بی آی) هفته گذشته اعلام کردند که عملیات تورلا که با نام "خرس سمی" نیز شناخته می شود را خنثی کرده اند عملیاتی که هدف آن آلوده سازی رایانه های بیش از 50 کشور جهان با استفاده از بدافزاری موسوم به "مار" (Snake) بود که نهادهای اطلاعاتی امریکایی آن را "ابزار جاسوسی برتر" آژانس اطلاعاتی روسیه توصیف کرده اند. دولت ایالات متحده با نفوذ به شبکه ماشین‌های هک شده تورلا و ارسال دستور حذف خود به این بدافزار شکستی جدی را بر کارزار جاسوسی تورلا وارد کرد.

پلیس فدرال امریکا در اقدامی بی سابقه برای نخستین بار گزارش گروهی از روزنامه نگاران آلمانی که سال گذشته اشاره کرده بودند تورلا وابسته به نهادهای امنیتی روسیه است را مورد تایید قرار دادند. پلیس فدرال امریکا اشاره کرده که طول عمر استفاده از تورلا باورنکردنی بوده و از جاسوس افزار "Snake" ساخت تورلا برای نزدیک به دو دهه استفاده شده است.

"توماس رید" استاد مطالعات استراتژیک و مورخ امنیت سایبری در دانشگاه جان هاپکینز می ‌گوید در واقع، تورلا حداقل 25 سال است که فعالیت می ‌کند. او می گوید:"ابزار تورلا پیچیده، مخفیانه و پایدار می باشد. واقعا می توان آن را حریف شماره یک قلمداد کرد".

تورلا در طول تاریخ عمر خود بارها در سایه ها ناپدید شد اما دوباره در داخل شبکه های محافظت شده از جمله پنتاگون ایالات متحده، پیمانکاران دفاعی و سازمان های دولتی اروپایی ظاهر شده است. حتی بیش از طول عمر نبوغ فنی تورلا در حال تکامل است و از کرم‌ های USB، هک ماهواره ‌ای تا ربودن زیرساخت‌های دیگر هکرها را نیز شامل می شود که باعث شده در طول 25 سال فعالیت از دیگر گروه های هکری متمایز شود.

در ادامه به تاریخچه مختصری از 25 سال فعالیت تورلا در عرصه جاسوسی دیجیتال اشاره خواهیم کرد:

1996 میلادی: پیچ و خم مهتاب

دو سال پس از زمانی که پنتاگون تحقیق در مورد مجموعه ای از نفوذ به سیستم های دولتی ایالات متحده به عنوان یک عملیات جاسوسی را آغاز کرد در سال 1998 میلادی بازرسان فدرال کشف کردند که یک گروه مرموز از هکرها در رایانه های شبکه ای نیروی دریایی و نیروهای هوایی امریکا و هم چنین ناسا، وزارت انرژی، آژانس حفاظت از محیط زیست، اداره ملی اقیانوسی و جوی و برخی از دانشگاه های امریکا در حال گشت و گذار بوده اند. "باب گورلی" افسر اطلاعاتی سابق وزارت دفاع ایالات متحده که بر روی تحقیقات مرتبط با این پرونده کار می کرد می گوید:"از همان ابتدا باور داشتیم که هکرها خاستگاه روسی دارند. این اولین باری بود که یک دولت با سازماندهی با منابع خوب و حمایت کامل پشت چنین عملیاتی بود". تیمی از محققان در سال 2016 میلادی دریافتند که پیچ و خم مهتاب در واقع یکی از اجداد تورلا بوده است. آنان به مواردی اشاره کردند که هکرهای تورلا از ابزار منحصر بفرد و مشابه سفارشی شده استفاده کرده بودند.

سال 2008 میلادی: Agent.btz

ده سال پس از پیج و هم مهتاب تورلا بار دیگر وزارت دفاع امریکا را حیرت زده ساخت. آژانس امنیت ملی امریکا در سال 2008 میلادی کشف کرد که یک بدافزار از داخل شبکه طبقه بندی شده فرماندهی مرکزی وزارت دفاع ایالات متحده خارج شده بود. آن شبکه از نظر فیزیکی ایزوله شده بود به طوری که هیچ اتصالی به شبکه‌های متصل به اینترنت نداشت. با این وجود، فردی آن را با استفاده از یک قطعه کد مخرب خودگسترش یابنده آلوده کرده بود کدی که پیش تر خود را در تعداد بی شماری از ماشین ها کپی کرده بود. پیش از آن هیچ رخداد مشابهی در سیستم های امریکا مشاهده نشده بود. آژانس امنیت ملی به این نتیجه رسید کدی که بعدا توسط محققان شرکت امنیت سایبری فنلاند F-Secure با نام Agent.btz شناخته شد از طریق درایوهای USB منتشر شده بود. این که چگونه USB آلوده به دست کارمندان وزارت دفاع آمریکا رسیده و به پناهگاه دیجیتالی ارتش ایالات متحده نفوذ کرده هرگز کشف نشده است.

نفوذ Agent.btz به شبکه های پنتاگون به اندازه ای فراگیر بود که باعث ایجاد یک ابتکار عمل چند ساله برای اصلاح امنیت سایبری ارتش امریکا و ایجاد فرماندهی سایبری ایالات متحده شد که سازمان خواهر آژانس امنیت ملی محسوب می شود و وظیفه حفاظت از شبکه‌های DOD را بر عهده داشت و اکنون به عنوان خانه هکرهای جنگ سایبری امریکا عمل می کند.

چندین سال بعد در سال 2014 میلادی محققان شرکت امنیت سایبری روسی کسپرسکی به ارتباطات فنی بین Agent.btz و بدافزار تورلا اشاره کردند که به Snake معروف شد.

2015 میلادی: فرماندهی و کنترل ماهواره

در اواسط دهه 2010 میلادی تورلا که پیش تر به دلیل هک کردن شبکه های رایانه ای در ده کشور در سراسر جهان شناخته شده بود اغلب نسخه‌ ای از بدافزار Snake خود را روی دستگاه‌ های قربانیان باقی می‌ گذاشت. در سال 2014 میلادی مشخص شد که تورلا از حملات "watering-hole" استفاده می کند که بدافزار را در وب سایت ها با هدف آلوده کردن بازدیدکنندگان خود نصب می کند. اما در سال 2015 میلادی محققان کسپرسکی یک تکنیک تورلا را کشف کردند که می تواند شهرت آن گروه را برای پنهان کاری و پیچیدگی عملیات تقویت کند: ربودن ارتباطات ماهواره‌ ای برای ربودن داده‌ های قربانیان از طریق فضا.

در سپتامبر همان سال یکی از محققان کسپرسکی فاش ساخت که بدافزار تورلا با سرورهای فرمان و کنترل خود یعنی ماشین هایی که دستورات را به رایانه ‌های آلوده ارسال می ‌کنند و داده‌ های دزدیده شده شان را دریافت می کنند از طریق اتصالات اینترنتی ماهواره ای ربوده شده در ارتباط بود. هم چنین، اشاره شده بود که هکرهای تورلا آدرس IP یک مشترک اینترنت ماهواره ای واقعی را در سرور فرمان و کنترلی که در جایی در همان منطقه آن مشترک راه اندازی شده بود جعل می کردند سپس اطلاعات دزدیده شده خود را از رایانه های هک شده به آن IP می فرستادند تا از طریق ماهواره برای مشترک ارسال شود اما به گونه ای که باعث مسدود شدن آن توسط فایروال گیرنده شود. با این وجود، از آنجایی که ماهواره داده ها را از آسمان به کل منطقه پخش می کرد یک آنتن متصل به سرور فرمان و کنترل تورلا نیز می توانست آن را دریافت کند.

سال 2019 میلادی: Piggybacking در ایران

بسیاری از هکرها از "پرچم‌ های دروغین" استفاده می‌کنند و ابزارها یا تکنیک‌ های گروه هکر دیگری را به کار می ‌گیرند تا توجه محققان را از مسیر بررسی های خود منحرف سازند. آژانس امنیت ملی امریکا، آژانس امنیت سایبری و امنیت زیرساخت (CISA) و مرکز امنیت سایبری ملی بریتانیا در سال 2019 میلادی هشدار دادند که تورلا بسیار فراتر رفته است: زیرساخت‌های یک گروه هکری دیگر را به شکلی بی صدا تسخیر کرده بود تا کل عملیات جاسوسی آن را فرماندهی شد.

در یک مشاوره مشترک آژانس‌های ایالات متحده و بریتانیا فاش کردند که تورلا موفق شده کنترل تنها بدافزار مورد استفاده یک گروه ایرانی موسوم به APT34 (یا Oilrig) را ربوده و در دست گیرد.

سال 2022 میلادی: ربودن یک بات نت

شرکت امنیت سایبری Mandiant در اوایل سال جاری گزارش داد که تورلا در حال انجام نوع متفاوتی از ترفند هکر ربایی بوده و این بار یک بات نت مجرمان سایبری را برای غربال کردن قربانیان خود در اختیار گرفته است. آن شرکت در سپتامبر 2022 میلادی متوجه شد که کاربری در شبکه ای در اوکراین یک درایو USB را به دستگاه خود وصل کرده و آن را با بدافزاری به نام آندرومده یک تروجان بانکی ده ساله آلوده کرده است. با این وجود، زمانی که Mandiant نگاهی دقیق تر به ماجرا داشت متوجه شد که آن بدافزار دو ابزار که پیش تر به تورلا متصل شده بودند را دانلود و نصب کرده است. کارشناسان آن شرکت دریافتند که جاسوسان روسی دامنه ‌های منقضی شده‌ ای را ثبت کرده ‌اند که مدیران مجرمان سایبری اصلی آندرومده برای کنترل بدافزارهای از آن استفاده کرده ‌بودند و روس ها توانایی کنترل آن آلودگی ‌ها را به دست آورده ‌بودند.

آن هک هوشمندانه تمام ویژگی‌های تورلا را داشت: استفاده از درایوهای USB برای آلوده کردن قربانیان، همان طور که با Agent.btz در سال 2008 میلادی انجام داد اما اکنون با ترفند ربودن بدافزار USB یک گروه هکر دیگر برای کنترل آن ترکیب شده بود. تورلا چند سال پیش از آن این کار را با هکرهای ایرانی انجام داده بود.

سال 2023 میلادی: سر بریده توسط پرسئوس

پلیس فدرال امریکا هفته گذشته اعلام کرد که به اقدامات تورلا پاسخ داده و این کار را با بهره برداری از ضعف رمزگذاری مورد استفاده در بدافزار Turla's Snake و بقایای کدی که پلیس فدرال از ماشین های آلوده مورد ارزیابی قرار داده بود انجام داده است. پلیس فدرال اعلام کرد که آموخته که نه تنها رایانه‌های آلوده به Snake را شناسایی کند بلکه دستوری را به آن ماشین ‌ها ارسال کند که بدافزار به عنوان دستورالعملی برای حذف خود تفسیر می کند. پلیس فدرال با استفاده از ابزاری که به نام پرسئوس ساخته بود Snake را از ماشین های قربانیان در سراسر جهان پاکسازی کرد.

با این وجود، این گزارش نباید این تصور را ایجاد کند که از بین بردن شبکه Snake حتی اگر بدافزار به طور کامل ریشه کن شود به معنای پایان کار یکی از مقاوم ترین گروه های هکر روسیه خواهد بود. بدون شک بازی موش و گربه ادامه خواهد یافت. تورلا بیش از هر گروه هکری دیگری سابقه تکامل داشته و نگاهی به عملیات، تاکتیک ها و تکنیک های آن گروه این موضوع را نشان می دهد. آنان تکامل می یابند و دوباره تبدیل به ابزار می شوند و سعی می کنند دوباره مخفیانه تر شوند. این الگوی تاریخی است که در دهه 1990 میلادی آغاز شد.

گورلی نیز می گوید:" کشتن برخی از عفونت های ناشی از Snake بسیر متفاوت از شکست دادن قدیمی ترین تیم جاسوسی سایبری روسیه است. این بازی ای بی نهایت است. اگر آنان پیش تر به سیستم های بازگشته اند به زودی بار دیگر بازخواهند گشت. آنان نمی روند. این پایان تاریخ جاسوسی سایبری نیست. آنها قطعا باز خواهند گشت".

مصطفی  جرفی
مصطفی جرفی

دیدگاه شما چیست؟

دیدگاه ها