ایران در صدر اهداف گروه معادله/ اسناد ارتباط هکرهای مرموز با آژانس امنیت ملی آمریکا +عکس

سرویس جهان مشرق - «جورج اورول» در رمان «1984» کشوری خیالی به نام «اوشنیا» را تصور کرد که در آن دولتی به نام «برادر بزرگ» یک نهاد جاسوسی به نام «پلیس فکر» دارد که با دستگاه‌های خاصی هر لحظه شاهد اعمال و رفتار انسان‌هاست و «هیچ راهی برای خاموش کردن کامل» این دستگاه‌ها وجود ندارد[1]. اورول نام این دستگاه‌های «هم پخش‌کننده‌ی تصویر و هم نظاره‌گر» را «نمایشگر از راه‌ دور» یا «تله‌اسکرین[2]» گذاشت، که البته تله‌اسکرین می‌تواند معنی «غربال‌ از راه‌دور» نیز بدهد. اما جالب است بدانید که این دستگاه‌ها منبع الهام برخی از گروه‌های هکری نیز بوده‌اند. امروزه «آزمایشگاه پانگو[3]» در چین ابزار جدیدی با نام «عملیات تله‌اسکرین[4]» در دست دارد که قادر است کلیدهای مخفی و رمزگذاری‌شده‌ی هکرهای دیگر را رهگیری و فاش کند. چند هفته پیش، این برنامه توانست پرده از یکی از بزرگ‌ترین گروه‌های هکری دنیا، وابسته به دولت آمریکا، بردارد.

«برادر بزرگ دارد تو را تماشا می‌کند»؛ شعاری که در رمان «1984» مرتباً به شهروندان «اوشنیا» یادآوری می‌شود. در این رمان از دستگاه‌های مخصوصی به نام «تله‌اسکرین» («نمایشگرازراه‌دور» یا «غربال‌ازراه‌دور») برای پایش دائمی افراد استفاده می‌شود (+)

در میان گروه‌های هکری دنیا، مجموعه‌ای بسیار سری و پیشرفته تحت عنوان «گروه معادله[5]» وجود دارد[6] که تا پیش از این ارتباطش با «آژانس امنیت ملی» آمریکا در هاله‌ای از ابهام بود. ماجرا از زمانی آغاز شد که حدود هفت سال پیش (2015) شرکت روسی «کَسپِرسکی» فعال در حوزه‌ی امنیت سایبری، در اعلامیه‌ی رسمی خود به کشف بدافزارهایی اشاره کرد که مشابهت بسیاری با یک بدافزار شناخته‌شده‌ی دولتی آمریکایی-اسرائیلی دیگر داشت؛ بدافزاری که نامش برای ایرانی‌ها کاملاً آشناست: استاکس‌نت[7].

گزارش سال 2015 شرکت امنیت رایانه‌ای-سایبری روسی «کسپرسکی» که در آن از «گروه معادله» تحت عنوان «جد استاکس‌نت و فلِیم» (دو بدافزار دولتی مشهور) یاد شده است. فلیم نیز مانند «استاکس‌نت»، بیش از هر کشور دیگری، اهداف خود را در ایران انتخاب می‌کرد. این بدافزار سال 2012 با همکاری تیم واکنش ویژه‌ی رایانه‌ای ایران و کسپرسکی و شماری از مراکز دیگر کشف شد. شواهد و اسناد موجود، حکایت از همکاری آژانس امنیت ملی آمریکا، سی‌آی‌ای و ارتش اسرائیل در تولید فلیم دارد (+)

در همین‌باره بخوانید:

›› استاکس‌نت: عملیات آمریکا و اسرائیل برای توقف برنامه هسته‌ای ایران +مستند

کسپرسکی طی یک گزارشِ مفصل، نشان داد که این گروه چگونه و با چه عمقی به شبکه‌های دولتی و خصوصی نفوذ کرده و اطلاعات محرمانه‌ی آن‌ها را دزدیده است. این گزارشِ تکان‌دهنده حاکی از حجم بالای سرقت اسناد و مدارک از نقاط مختلف دنیا بود. اگرچه کسپرسکی به طور صریح هیچ دولتی را حامی این بدافزار معرفی نکرد، اما علاوه بر شباهت بسیارِ این برنامه به دیگر بدافزارهای دولت آمریکا، میزان پیچیدگی آن نیز مؤید این واقعیت بود که هزینه‌ی هنگفتی پشت این بدافزار نهفته است که فقط می‌تواند نتیجه‌ی سرمایه‌گذاری یک (یا چند) دولت باشد. به عنوان مثال، این بدافزار، سال 2015، به عنوان اولین برنامه‌ای معرفی شد که قادر است تنظیمات و اطلاعات هارددرایو را دست‌کاری کند. طبق گزارش آزمایشگاه کسپرسکی، این گروه دست‌کم از سال 2001 صدها هدف حساس را مورد حمله قرار داده‌اند که در رأس آن‌ها زیرساخت‌های حساس کشورهای ایران و روسیه بوده است.

نقشه‌ی کشورهای هدف حملات «گروه معادله»، به ترتیب آلودگی. نام ایران و روسیه در صدر فهرست کشورهای آلوده قرار دارد. آزمایشگاه سایبری «کسپرسکی»، سال 2015، بخشی از اطلاعات مربوط به حملات گسترده‌ی گروه معادله را منتشر کرد که نشان می‌داد، زیرساخت‌های ایران بیش از هر کشور دیگری هدف این حملات قرار گرفته‌اند. (+)

در همین‌باره بخوانید:

›› آن‌چه باید درباره جاسوس‌افزار اسرائیلی «پگاسوس» بدانید

›› همه جنایت‌های رژیم صهیونیستی؛ از اشغالگری تا ترور و کودک‌کشی

کلیدهای سه‌گانه برای رسیدن به ریشه‌ی «گروه معادله»

سال 2013، یعنی دو سال پیش از کشف حیرت‌انگیز کسپرسکی، محققین آزمایشگاه پانگو در چین با بررسی یکی از نفوذهای غیرمجاز به سامانه‌ی یکی از اداره‌های دولتی داخلی این کشور، متوجه رشته‌کدی بسیار پیچیده شدند که به عنوان یک روزنه‌ی امنیتی موسوم به «درِ پشتی[8]» برای نفوذ به سامانه‌های چینی استفاده می‌شد. این برنامه‌ی پیشرفته، خاصیت خودویرانگری داشت، یعنی اگر موفق به اجرای کامل نمی‌شد و توسط یک طرف ثالث رمزگشایی می‌شد، بلافاصله همه‌ی آثارش را از بین می‌برد و تنها با ارائه‌ی کد مخصوصی که نزد صاحب برنامه بود، مجدداً به کار می‌افتاد. محققین چینی توانستند این کد را کشف کرده و به برخی از اطلاعات این درِ پشتی دسترسی پیدا کنند. این برنامه از رشته کد «بی‌وی‌پی» (Bvp) و رشته‌ی عددی 0×47 (47×0) بسیار استفاده کرده بود. بنابراین این گروه چینی نام این برنامه را «بی‌وی‌پی47» (Bvp47) گذاشت. اما استفاده از این ابزار، باز هم نیاز به کد دیگری داشت که فقط در دست طراحان آن بود.

ارتباط خانوادگی بدافزارهای «گروه معادله» (چپ) با بدافزارهای «استاکس‌نت»، «فلیم» و «گاس» (بدافزار دیگری که ارتباط نزدیکی با فلیم داشت و باز هم خاورمیانه را هدف قرار داده بود) (+)

کلید دوم برای کشف ریشه‌های گروه معادله در سال‌های 2016 و 2017 پیدا شد. گروهی موسوم به «کارگزاران سایه[9]» فایل‌های هکی را منتشر کرد که ادعا می‌کرد مربوط به اقدامات گروه معادله هستند. آزمایشگاه پانگو در این فایل‌ها، کد دومی را پیدا کرد که به آن‌ها اجازه‌ی دسترسی به Bvp47 را می‌داد. محققان چینی به وسیله‌ی این کد توانستند کنترل‌ازراه‌دور این برنامه را به دست بگیرند و مطمئن شدند که این برنامه با هدف جاسوسی نوشته شده است. با این حال، همچنان ارتباط این برنامه‌ی جاسوسی به دولت آمریکا در هاله‌ی ابهام باقی بود. 

«بیش از 287 نقطه‌ی هدف در 45 کشور جهان طی 10 سال»؛ نقشه‌ی (بالا) اهداف «گروه معادله» طبق گزارش سال 2017 «کارگزاران سایه» (که البته با توجه به این‌که ایران را در فهرست کشورهایی قرار داده که فقط اندکی آلودگی دارند، به نظر می‌آید کامل نیست)، به علاوه‌ی نمودار نحوه‌ی کار (پایین، چپ) و برخی از ویژگی‌های مهم (پایین، راست) درِ پشتی‌ موسوم به «بی‌وی‌پی47» در گزارش «آزمایشگاه پانگو». این درِ پشتی به قدری پیچیده و پیشرفته است که منابع مورد نیاز برای تعبیه و استفاده از آن صرفاً می‌تواند در اختیار بازیگران دولتی باشد. برخی از اهداف این برنامه در شبکه‌های ایزوله قرار داشته‌اند و به کمک عوامل نفوذی انسانی آلوده شده‌اند. (+)

کلید سومِ حل این معادله در اسناد فاش‌شده توسط «ادوارد اسنودن» افشاگر سرشناس آژانس امنیت ملی آمریکا، از پروژه‌ی «منشور» یا «پریزم[10]» نهفته بود. محققان چینی شباهت بسیار زیادی میان اطلاعاتِ فاش شده در سال 2016 و اسناد ادوارد اسنودن مربوط به حملات آژانس امنیت ملی آمریکا پیدا کردند. در واقع، با کنار هم قرار دادن اطلاعات گروه چینی، جزئیات حملات گروه معادله و شیوه‌ی عملیاتی دولت آمریکا می‌توان به این نتیجه رسید که این سه دسته اطلاعات با تبعیت از یک الگوی ثابت، مربوط به یک گروه کاملاً حرفه‌ایِ وابسته به دولت آمریکا هستند. آزمایشگاه پانگو با مقایسه‌ی این داده‌ها صراحتاً اعلام کرد: «این اطلاعات کاملاً ثابت می‌کند که گروه معادله به آژانس امنیت ملی آمریکا تعلق دارد[11].» 

 جلد گزارش فنی «آزمایشگاه پانگو» که صراحتاً «گروه معادله» را به «آژانس امنیت ملی» آمریکا منسوب می‌کند (دانلود گزارش به زبان انگلیسی) (+)

این تحلیل و اظهارنظرِ صریح در روزهای انتهایی ماه فوریه‌ی سال 2022 علنی شد. اگرچه این سؤال همچنان باقی است که چرا چنین گزارشی با دست‌کم 5 سال تأخیر منتشر شده است، اما به هر حال، گزارش 56 صفحه‌ای گروه چینی و اتهام‌زنیِ تا این اندازه صریح به دولت آمریکا درباره‌ی انجام حجم وسیعی از حملات سایبریِ غیرمجاز در دهه‌ی گذشته، توسط چینی‌ها سابقه نداشته است. این گزارش، با دقت بالایی جزئیات فنی برنامه‌ی مهاجم و برخی از اهداف آن را معرفی می‌کند. متأسفانه، در میان این اهداف، یکی از مؤسسه‌های تحقیقاتی ایران، ظاهراً نیز دیده می‌شود.

نام ایران در فهرست اهداف «گروه معادله» طبق گزارش «آزمایشگاه پانگو». با توجه به نشانی اینترنتی موجود در این فهرست، به نظر می‌آید «پژوهشگاه ارتباطات و فناوری اطلاعات» زیرمجموعه‌ی وزارت ارتباطات و فناوری اطلاعات، هدف این حمله بوده است (+)

جست‌وجوی عبارت «لاله» (که به عنوان زیردامنه [subdomain] در فهرست اهداف «گروه معادله» در ایران آمده) در پایگاه اینترنتی «پژوهشگاه ارتباطات و فناوری اطلاعات» به دو محصول قدیمی این پژوهشگاه منتهی می‌شود که میکروکامپیوترهای «لاله» هستند. آیا «گروه معادله» علاقه‌ی خاصی به کسب اطلاعات درباره‌ی این میکروکامپیوترها دارد؟ (+)

عمق نفوذ سایبری

در این‌که ایران، روسیه، چین و چند رقیب یا دشمنِ دیگرِ آمریکا اهداف اصلی نفوذ سایبری هستند، شکی نیست. با این وجود، محققان چینیِ آزمایشگاه پانگو نشان دادند که عمق نفوذ، به‌مراتب بیش‌تر از آن چیزی است که قبلاً تصور می‌شد. اسناد نشان می‌دهد که بیش از 287 سوژه در بیش از 45 کشور در زمره‌ی اهداف گروه معادله بوده‌اند. این نفوذ دست‌کم از ده سال پیش آغاز شده است. جالب‌تر این‌که یکی از اهدافِ حمله در کشور ژاپن، به عنوان سِرورِ واسطه برای حمله‌ی پوششی به دیگر اهداف استفاده می‌شده است. عمق و وسعت این حملات به قدری زیاد است که برخی آن را با دیگر حملات سایبری بزرگ آمریکا مانند پروژه‌ی پریزم مقایسه کرده‌اند[12].

نمودار گزارش سال 2015 شرکت امنیت سایبری «کسپرسکی» روسیه که خط سیر زمانی بدافزارهایی را نشان می‌دهد که «گروه معادله» بین سال‌های 2001 و 2014 آن‌ها را ساخته است (+)

نکته‌ای که مسئولین و محققان چینی را بیش‌ازپیش آزار داده، این است که بین سال‌های 2013 تا 2015 بدافزارها و درِ پشتی‌های گروه معادله به برخی از زیرساخت‌های حیاتی جمهوری خلق چین نفوذ پیدا کرده‌اند. این در حالی است که آمریکا مدام چین را متهم به حملات سایبری علیه خود و متحدانش می‌کند. در یکی از آخرین موارد، ماه دسامبر سال گذشته (2021) دولت آمریکا شرکت چینی هوآوی را متهم به حمله‌ی سایبری علیه یکی از نهادهای مخابراتی کشور استرالیا کرد[13]. طبیعتاً دولت چین و مسئولین شرکت هوآوی این اتهام را بی‌اساس و بدون استدلال خواندند، اما کشف بزرگ آزمایشگاه پانگو این‌بار چین را در موضع بالاتر قرار داده است. برخی از مسئولین چینی، دولت آمریکا را «امپراطوری هکرها» خوانده‌اند[14]. سخنگوی وزارت خارجه‌ی چین نیز در روزهای آخر ماه فوریه‌ی سال 2022 از دولت آمریکا درباره‌ی این هجوم گسترده توضیح خواست[15].

«هوا چون‌یینگ» سخنگوی وزارت خارجه‌ی چین، طی نشست خبری 24 فوریه‌ی 2022، دولت واشینگتن را به خاطر حملات سایبریِ وابسته به «آژانس امنیت ملی» آمریکا به باد انتقاد گرفت و خواستار توضیح و مسئولیت‌پذیری بیش‌تر کاخ سفید در این‌باره شد. (+)

 

آزمایشگاه پانگو و تعاملات سیاسی

چنان‌که پیش‌تر هم تصریح شد، گزارش آزمایشگاه پانگو در نوع خود کم‌نظیر است. این گزارش، از لحاظ جزئیات فنی، بسیار دقیق، و از نظر صراحت لهجه در متهم کردن آمریکا، بسیار متهورانه است. همین نکات برجسته سبب جلب‌نظر رسانه‌ها و سپس عکس‌العمل رسمی دولت چین نسبت به این گزارش شد. بعد از تحریم‌های آمریکا که، سال 2019، اجازه‌ی استفاده از سیستم‌عامل اندروید را از کمپانی هوآوی گرفت، این شرکت به فکر طراحی و توسعه‌ی سیستم‌عامل خودش، تحت عنوان «هارمونی[16]»، افتاد. آزمایشگاه پانگو نیز برای جلوگیری از نفوذهای سایبری و امنیتی در این سیستم‌عامل جدید، استخدام شد. بنابراین می‌توان این آزمایشگاه را جزء هکرهای اخلاق‌مدار یا اصطلاحاً «کلاه‌سفید[17]» قلمداد کرد.

شرکت «هواوی» غول ارتباطاتی و مخابراتی چین طی سال‌های گذشته یکی از اهداف تحریم‌های شدید آمریکا بوده است. واشینگتن در حالی کشورهای دیگر مانند چین را به جاسوسی اینترنتی و عملیات خرابکارانه‌ی سایبری متهم می‌کند که خودش بارها از طریف بدافزارهای پیچیده، اقدام به خرابکاری در کشورهایی مانند ایران کرده است. (+)

در همین‌باره بخوانید:

›› تاوان دور زدن کدام تحریم‌های ایران: یک تیر و چند نشان آمریکا با تحریم «هوآوی»

›› هزینه‌های پکن برای همکاری با تهران/ کدام شرکت‌های بزرگ چینی نقره‌داغ شدند؟

به طور خاص، گزارش مفصل آزمایشگاه پانگو درباره‌ی گروه معادله، نشانه‌ی خوبی از تعامل کمپانی‌های چینی با انجمن هکرهای کلاه‌سفید است. اما از سوی دیگر، تأخیر طولانی آزمایشگاه پانگو در ارائه‌ی این گزارش گمانِ همکاری آن با دولت چین و دور شدن از انجمن هکرهای کلاه‌سفید را تقویت می‌کند. این شائبه، از آن جهت حائز اهمیت است که دولت چین، ماه دسامبر سال 2021، قانونی را تصویب کرد که مطابق آن هکرهایی که یک نقطه ضعف سایبری را شکار می‌کنند، باید آن را پیش از هرجای دیگر به وزارت صنعت و فناوری اطلاعات تحویل دهند. در واقع، دولت چین تلاش می‌کند متخصصان سایبری چینی را از حضور و مشارکت در انجمن‌ها و چالش‌های بین‌المللی دور کند.

یک ربات پلیس چینی در حال گشت‌زنی پیش از سومین نشست «گردهمایی مشورتی سیاسی خلق» چین در پکن در ماه مارس سال 2018 (+)

علاوه بر این، آزمایشگاه پانگو ارتباط نزدیکی با «توماس لین» افسر سایبری سنگاپور دارد. لین در حال حاضر، رئیس دو کمپانی سایبری بزرگ است: «کاسینک[18]» (مخفف «مشاوره‌ی ابتکار امنیت رایانه‌ای»)، که چند ماه قبل توسط «اداره‌ی صنعت و امنیت» ایالات متحده در فهرست سیاه قرار گرفت[19]، و «پونزن تکنولوژی[20]»، که اعضای آزمایشگاه پانگو در چین از بنیانگذاران آن هستند و زیر نظر «وزارت امنیت کشور» چین فعالیت می‌کند. چندی پیش، برخی از رسانه‌ها از اقدامات تهاجمی این کمپانی علیه برخی از مخالفین دولت چین پرده برداشتند[21]. آزمایشگاه پانگو، سال 2021، رسماً به «چی‌آن‌شین[22]» غول سایبری چین، پیوست؛ کمپانی‌ای که رسماً به عنوان مأمور حفظ امنیت سایبری مسابقات المپیک و پارالمپیک زمستانی 2022 در پکن معرفی شد. ارتباط این کمپانی با ارتش چین، موسوم به «ارتش آزادی‌بخش خلق»، واضح و صریح است. 

«آزمایشگاه پانگو»، سال 2021، رسماً به «چی‌آن‌شین» غول سایبری چین، پیوست که مسئول رسمی حفاظت سایبری رقابت‌های المپیک و پارالمپیک زمستانی 2022 در پکن بود. (+)

اگرچه رسانه‌ها و مردم نسبت به جنگ‌های سخت‌افزاری بسیار حساس هستند، اما جنگ‌های سایبری نیز همراستا، یا حتی با گستردگی بیش‌تر از، جنگ‌های فیزیکی در جریان هستند. تلفات و تبعات جنگ نرم در برخی موارد حتی گسترده‌تر و عمیق‌تر از جنگ‌های سخت است. به عنوان مثال، چند هفته پیش از حمله‌ی روسیه به اوکراین، خطوط مقدم افسران سایبری، از جمله شرکت «کیواینتل[23]» از سوی آمریکا و متحدانش به اوکراین اعزام شدند و فعالیت خود را دوچندان کردند[24]. علاوه بر متخصصین سایبری، ادوات امنیتی و اطلاعاتی نیز در ابعادی گسترده به اوکراین صادر شد. جنگ سایبری چین و آمریکا نیز قدمتی چندده‌ساله دارد. تحریم گروه‌های سایبری چینی توسط دولت آمریکا یا حمله به آن‌ها تنها نشانه‌ای از دشمنی آن‌ها با یک‌دیگر است.

یک ربات پلیس چینی در نمایشگاه بین‌المللی تجهیزات پلیس در پکن در ماه می سال 2018. این ربات قادر به انجام وظایف مختلف، از جمله اسکن چهره‌ی افراد، است. (+)

ایران نیز در عرصه‌ی دفاعی و امنیتی اقداماتی جدی انجام داده است و در برخی موارد صدماتی نیز دیده است. در همین غائله‌ی کشف گروه معادله مشخص شد که مراکز پژوهشی و مطالعاتی ایران در معرض تهدیدی دائمی هستند. به نظر می‌رسد همان‌قدر که دفاع از مرزهای خاکی و آبی کشور از جمله‌ی واجبات ملی و مذهبی ماست، دفاع از حریم سایبری کشور نیز باید در زمره‌ی واجبات عینی قرار بگیرد. تجربه‌های تلخی که طی چند ماه اخیر در حوزه‌ی نظام سوخت‌رسانی، صداوسیما یا خرابکاری در مکان‌های نظامی و تحقیقاتی پدید آمد، نشانگر نیاز به تلاشی مضاعف برای حفظ امنیت کشور در این حوزه است.

در همین‌باره بخوانید:

›› «جاسوسِ داخل گوشی شما»/ همدستی امارات و عربستان با اسرائیل در نقض حقوق بشر +مستند