مبارزه با سایه‌ها در تاریکی؛ فهم و تقابل با زورگویی فضای سایبر

به گزارش راهبرد معاصر؛ اندیشکده رند در گزارشی مبسوط به بحث استفاده از توانمندی سایبری برای مقاصد سیاسی پرداخته و نمونه هایی از حملات سایبری انجام شده از سوی روسیه، کره شمالی، چین و ایران را مورد بررسی قرار می دهد. نکته جالب در این گزارش این است که به اعتراف نویسندگان، عمده زورگویی سیاسی با استفاده از حملات سایبری از سوی امریکا و رژیم صهیونیستی بوده و ایران در حملات سایبری خود، اهداف "تلافی جویانه" داشته نه آن که به دنبال راه اندازی یک نزاع باشد. در گزارش مذکور ناگفته هایی از حملات سایبری به تاسیسات نفتی خارک هم به چشم می خورد. متنی که در ادامه ارائه می شود، ترجمه مقدمه و بخش ایران گزارش مورد بحث است.

سال 2012، در صفحه 30 هزار رایانه کمپانی نفتی عربستانی آرامکو، تصویر یک پرچم امریکا در آتش ظاهر شد و حافظه آن ها از داده خالی شد. در دسامبر 2015، برق بخش هایی از غرب اوکراین ناگهان رفت و 250 هزار نفر برای چند ساعت بدون برق ماندند. در 2016 چندین هکر روس دست به عملیات های سایبری پخش اطلاعات غلط زدند و انتخابات ریاست جمهوری را با مشکل مواجه ساختند. در 2017 باج افزار"وانا کرای" (می خواهم گریه کنم)، به 200 هزار رایانه در جهان رخنه کرد و بر بسیاری از بخش های عمومی اثر گذاشت که سرویس بهداشت ملی بریتانیا و راه آهن روسیه دو تا از آن ها بود. با گذشت هر سال بر شدت و گستردگی حملات سایبری افزوده می شود و در مقابل، دولت ها، کمپانی ها و عموم مردم، قدرت چینش اخبار را ندارند چه رسد به مقابله با حملات سایبری. انگیزه پشت این حملات گاه چندان جدی نیست. هکر پیش خود می خواهد اثبات کند می تواند هک کند. اما گاه کاملا جدی و برای آسیب فیزیکی است. انگیزه عمده تاکنون دسترسی به اطلاعات بخش خصوصی برای مصارف مالی بوده و عملیات های سایبری با حمایت دولت، بیشتر با هدف جاسوسی انجام گرفته. البته در سال های گذشته حملاتی با ابعاد بزرگ و پیچیدگی خاص انجام شده که اغراض سیاسی داشته اند.

اکنون با توسعه سیستم های پیوسته و شبکه هایی با وابستگی متقابل، هکرها پتانسیل بالاتری برای تاثیر بر رفاه سیاسی، اقتصادی و اجتماعی دولت ها دارند. دولت ها دست به گریبان چگونگی حفظ خود از این تهدیدات و البته چگونگی حمله به فضای سایبر برای رسیدن به بروندادهای دلخواه هستند. مدیر اطلاعات ملی امریکا، دن کستز، از نگرانی اسلاف خود از تهدیدات سایبری پیش روی ایالات متحده پرده برداشته و افزوده: «لامپ های هشدار دوباره قرمز شده اند... زیرساخت دیجیتال این کشور به معنی واقعی کلمه تحت حمله است». او هدف از حملات را گوناگون توصیف کرده: از دزدی اطلاعات تا فلج کردن زیرساخت های کلیدی. عملیات های سایبری یکی دیگر از ابزارهای دولتمردان شده که می تواند برای اهداف مختلف به کار رود. این گزارش به دنبال فهم چگونگی ایفای نقش سایبر در روابط دولت ها در فضایی بین جاسوسی سایبری تا نزاع تمام عیار است. گزارش به دنبال تعیین این است که عملیات های سایبری برای اجبار دیگر دولت ها چیست و چگونه می توان مقابل آن ایستاد؟

سختی رهگیری، مرزهای نسبتا کوتاه برای پریدن، پتانسیل اثرگذاری عمیق روانی (اگر نگوییم فیزیکی)، فضای سایبر را به محلی جالب برای اعمال فشار بر دولت ها تبدیل کرده است. ابزار های دیگر برای این منظور نیازمند سرمایه گذاری های تکنیکی و مالی بیشتر هستند. یکی از راه های کنترل دولت ها در راه تبدیل جاسوسی سایبری به نزاع تمام عیار، اطمینان از اثرگذاری سایبری بر تصمیم سازان یک دولت است. به بیان ساده تر، دولت ها ممکن است با تهدید به استفاده یا استفاده محدود از سایبر، همتایان خود را مجبور به تغییر رفتار در مسیر مطلوب خود کنند.

روشی که در این تحقیق به کار بردیم به گونه ای بوده که نمونه های ویژه حمله سایبری به یک دولت یا سازمان، با هدفی فراتر از صرف دزدی اطلاعات انجام گرفته است. سپس این عملیات ها را در قالب وسیع تر روابط دولت با دولت می گنجانیم و تاثیر آن را می سنجیم. نمونه های برگزیده به خاطر پتانسیل ایجاد افق رقابت یا نزاع و عملیات سایبری انتخاب شده اند.

ما دریافتیم فعلا زورگویی در فضای سایبر، سهم اندکی از عملیات های سایبری در جهان را به خود اختصاص داده. مرکز داده والریانو که از 2001 تا 2011 را پوشش می دهد، تنها 4 مورد از حملات سایبری با هدف تغییر رفتار یک دولت شناسایی کرده که دو تا از آن ها در واقع یکی است (عملیات سایبری اسرائیل و امریکا ضد برنامه هسته ای ایران). یابنده عملیات های سایبری شورای روابط خارجی هم از 2005 تا امروز، گزارش داده از 288 عملیات سایبری که انجام شده، 23 مورد برای خرابکاری و نابودی داده ها و 237 مورد جاسوسی بوده است. عملیات های سایبری امروز هم از سوی دولت ها غالبا برای سرقت اطلاعات به کار می رود. نظر به عمومی بودن این گزارش، با افراد اصلی درگیر و اطلاعات پخش نشده در رسانه ها سر و کار نداشتیم.

ایران

عملیات های سایبری جمهوری اسلامی ایران در مقایسه با چین و روسیه، دیرتر آغاز شده و اولین آن به 2004 باز می گردد. این عملیات ها بیشتر برای مقابله با معارضان داخلی و تحمیل هزینه ها بر دولت های ضد ایرانی متمرکز بوده است. عملیات های سایبری بومی ایران از سوی "ارتش سایبری ایران" و بازوهای متعدد آن انجام می گیرد. به طور کلی عملیات سایبری ایران بیشتر طبیعت تلافی جویانه دارد و بیشتر روی دشمنان منطقه ای تمرکز کرده و به دنبال بازدارندگی آن ها از دخالت در امور داخلی، با حفظ شبکه های زیرساختی کلیدی ایران است.

عملیات سایبری از سوی ایران به طور ویژه از زمان "انقلاب مخملی" 2009 به جنب و جوش افتاد. در آن برهه سیستم سیاسی ایران اینترنت را مکانیزم مولد تهدید داخلی و خارجی یافت. عملیات های سایبری ایران پیش از 2012 با تکنیک های ساده انجام می شد و تمرکزش روی بدنام کردن وبسایت ها بود. در 2005، گروهی به نام تیم امنیت دیجیتال آشیانه وبسایتی راه انداخت که در آن ابزار هک به رایگان ارائه می شد و همزمان از مهارت و دانش اعضای خود هم برای از کار انداختن وبسایت های دیگر بهره می برد. این گروه ها تماما از سوی دولت ایران حمایت و تشویق شدند ولی رسما در چهارچوب نهادهای امنیتی و نظامی نبودند.

تشخیص ویروس استاکس نت که برنامه هسته ای ایران را در 2010 هدف قرار داد، بنظر ایران را مجبور به سرمایه گذاری بسیار بیشتر روی توانمندی های سایبری و طراحی افق استراتژیک برای مقابله با حملات مخرب سایبری آینده کرده است. گرچه به سختی می توان مشخص کرد ایران استراتژی مخرب سایبری جهت دستیابی به اهداف استراتژیک طراحی کرده یا نه ولی از ظواهر امر چنین بر می آید که گام هایی در این مسیر برداشته شده است. مثلا برخی ساختارها نظیر شورای عالی فضای مجازی در 2012 راه افتاد. در کنار ارتش سایبری ایران، از آشیانه هم حمایت شد که یکی از متکثر ترین گروه های هک است و سایت هایی را در خاورمیانه، آسیا، اروپا و ایالات متحده هدف قرار داده است. حزب الله سایبر (وابسته به بسیج)، گروه سایبر آزاد، گروه مقاومت اسلامی سایبر، نیروهای سایبری عزالدین قسام، پرستو و شبگرد از دیگر بازیگران سایبری هستند که تحت حمایت ایران قرار دارند.

تصمیم سازی امنیت ملی در ایران برای خواننده به سختی قابل فهم است. رهبری و مجلس بر رئیس جمهور برتری دارند. رئیس جمهور نگاه نسبتا سکولارتری داشته. رهبر از لحاظ تئوریک کنترل مستقیم تمام نیروهای نظامی و نهادهای امنیتی را در اختیار دارد ولی برای تصمیم گیری در این حوزه، غیرمستقیم عمل می کند. احتمالا چنین روندی هم در حوزه عملیات های سایبری اعمال می گردد. گروه های هک ایرانی با این وصف، گاه مستقل از سیستم سیاسی عمل می کنند. مثلا هکرهای ایرانی در ژانویه 2010 به موتور جستجوی بایدو در چین حمله کردند؛ درست در زمانی که ایران به دنبال تقویت روابط با چین بود.

هرچند گروه های هک ایرانی از نظر سطح پختگی و پیشرفت یکسان نیستند، ولی ابزارها و تکنیک های مشابه زیادی دارند. طبق گزارش گروه تحقیقات امنیتی هولت پکارد، گروه های هکر ایران به شدت تحت تاثیر دکترین اسلامی هستند و بیشتر روی اهدافی در ایالات متحده و اسرائیل متمرکزند. این گروه ها ترکیبی از تاکتیک های فنی و غیر فنی را به کار می گیرند تا به اهداف خود برسند و اعضای آن ها هم اکثرا دسترسی و آموزشی خوبی دارند. نخبگان حوزه سایبری برآورد کرده اند ایران از گروه های هکر خارجی با ایدئولوژی های همسو هم بهره می برد که از جمله آن ها گروه های هکر اسلامی شیعه، ارتش الکترونیک سوری و حزب الله لبنان هستند. نهاد امنیت سایبری به نام سیلنس، به این جمع بندی رسیده که گروه هک عملیاتی کلیور (شکافنده) در ایران احتمالا با کره شمالی عملیات مشترک انجام می دهد. در سپتامبر 2012 هم ایران و کره شمالی توافقی برای همکاری فنی امضا کردند که زمینه همکاری در حوزه هایی از جمله امنیت و فناوری ارتباطات را هم فراهم می سازد. البته سایر ارزیابی ها به این نتیجه رسیده اند ایران در ساختن برنامه سایبری خود، کمک خارجی چندانی از خارج نمی گیرد.

حملات شامون

در سال 2012 ایران با به کاربردن بدافزار شامون برای حمله به کمپانی های نفتی و گازی قطر و عربستان، تغییری بزرگ در اهداف، تاکتیک ها و سطح فنی سایبری خود نشان داد. حملاتی که در قالب عملیات "کلیور" از 2012 تا 2014 ضد اهداف منطقه ای در قطر، کویت، عربستان و امارات انجام شد، پیشرفت چشمگیری را به نمایش گذاشتند در حدی که حملات به بانک های امریکایی و اروپایی در همین بازه زمانی، با تکنیک هایی در همین حد انجام پذیرفته بود. در 15 آگوست 2012 ، ایران بدافزار شامون را در سیستم کمپانی آرامکو فعال کرد که به تخریب داده های 3 چهارم رایانه های تجاری فعال در شبکه این کمپانی انجامید. البته شبکه تجاری آرامکو از سیستم های عملیاتی کنترل جدا شدند و به همین خاطر مستقیما به تولید نفت آسیبی نرسید. ایران مستقیما مسئولیت این حمله را بر عهده نگرفت بلکه هکرهای با نام "شمشیر برنده عدالت" مسئولیت آن را پذیرفتند. متخصصان امنیت سایبری که برای بررسی این حمله به عربستان رفته بودند، کدهایی مشابه با ویروس "فلیم" در آن یافتند که پیشتر در حمله ای به پایانه نفتی خارک در ایران به کار رفته بودند. نتیجه بررسی ها این شد: حمله به آرامکو، تلافی ایران برای حمله به خارک بوده است.

حمله ژانویه 2017 شامون به کمپانی پتروشیمی تنسی عربستان هم به حافظه رایانه های این شرکت آسیب زد و تمامی اطلاعاتش را پاک کرد و تصویر آلان کردی، کودک سوری غرق شده در سواحل ترکیه را روی صفحه نمایش ها بالا آورد. این حمله بیش از پیش تمرکز ایران بر اهداف منطقه ای، به ویژه عربستان را نمایان ساخت. حمله مذکور درست زمانی اتفاق افتاد که عربستان در جنگ سوریه با هزاران کشته غیرنظامی وارد شده بود. پیشرفته تر شدن حملات شامون نشان دهنده سرمایه گذاری، همکاری و همراهی بازیگران مختلف ایرانی است که در قالب یک عملیات منسجم با هدایت نظام ایران، اقدام می کنند. این رشد چشمگیر تخصص فنی و همکاری مشهود در میان گروه های هکر، خود اثبات می کند ایران به دنبال بهره بردن از حربه سایبری برای ضربه به دشمنان منطقه ای به ویژه عربستان است.

تنش ها میان عربستان و ایران در سال های اخیر مدام شدت گرفته. برخی تحلیلگران بر این عقیده اند نزاع میان ایران و عربستان از فضای آنلاین نشات می گیرد. تنش های رو به ازدیاد میان دو کشور بهتر می تواند حمله به تاسیسات آرامکو در آگوست 2017 با نام تریتون را تبیین کند. هرچند احتمال دست داشتن ایران در فراهم سازی این حمله بیش از هر کشور دیگر است، اما موسسه امنیت سایبری "چشم آتشین" به این نتیجه رسیده برنامه ویروس‌مانند تریتون در آزمایشگاه های روسیه توسعه یافته است. بر خلاف حملات گذشته که روی تخریب داده ها و خاموش کردن رایانه ها تمرکز داشت، این حمله برای خرابکاری در عملیات های کمپانی و انفجار در آن طراحی شده بود. در جریان این حمله مهارکننده های اشنایدر الکتریک هم نتوانستند موثر واقع شوند و بدافزار را سد کنند. اشنایدر الکتریک در 18 هزار تاسیسات دیگر جهان به کار رفته و این یعنی تمام این تاسیسات آسیب پذیرند. تاسیسات مذکور شامل نیروگاه هسته ای، آب درمانی ها، پالایشگاه های گاز و نفت و کارخانه های شیمیایی هم می شود. تنها یک اشتباه کوچک هکرها باعث شد که انفجار صورت نگیرد.

اگر ایران به یقین در حمله تریتون دست می داشت، تشدید تنش بزرگی را در عملیات های سایبری آن بوجود آورده است. انگیزه های پشت این حمله می تواند ضربه به بخش خصوصی در اقتصاد عربستان، مقابله با گسترش پتروشیمی عربستان و کاسته شدن از صادرات نفت این کشور و به هم ریختن طرح محمد بن سلمان برای جذب سرمایه خارجی بوده باشد. این انگیره ها بنظر می رسد بیشتر با هدف تضعیف اقتصاد عربستان بوده باشد نه آن که این دولت را مجبور به اقدام خاصی کند.

به گفته کوتز «رهبران ایران می اندیشند با حملات سایبری، با تلاش های عربی به رهبری سعودی جهت دمیدن در آتش افراط گرایی سنی و تروریسم ضد ایرانی و شیعی منطقه مقابله می کنند». کوتز همچنین اعلام کرده ایران گرچه روی اهدافی در خاورمیانه متمرکز است اما به نفوذ در شبکه های زیرساختی امریکا و متحدانش ادامه خواهد داد تا جای پای خود برای حملات سایبری در آینده را نگه دارد». روندی مشابه در سوریه هم رویت شد. در سوریه بسیاری از کشورهای شورای همکاری خلیج از شورشیان در مقابل داعش حمایت کردند در حالیکه ایران از حکومت رئیس جمهور بشار اسد حمایت می کرد. تلاش های ایران به صورت هماهنگ برای تقابل با دشمنان منطقه ای و رسیدن به جایگاه برتر در منطقه بود.

گویا ایران همزمان در تلاش برای ایجاد بازدارندگی سایبری و مکانیزم های تلافی جویانه است. به رغم فعالیت های جاسوسی سایبری و نفوذ آن در زیرساخت های امریکا، تحلیلگران بر این عقیده اند نشانه ای از عملیات تهاجمی قریب الوقوع وجود ندارد. در عوض ایران احتمالا ملزوماتی را فراهم می کند که در صورت تصمیم حمله به شبکه های زیرساختی امریکا و اروپا به کار گرفته شود. این مکانیزم برای بازدارندگی است و اگر لازم شود برای تلافی به کار گرفته خواهد شد.

زمان بندی فعالیت های سایبری ایران با تحولات منطقه ای و ژئواستراتژیک همزمان شده. جنگ های یمن و سوریه، شناسایی استاکس نت که برای ایران یک تهدید وجودی به حساب آمد، فرصتی که ایران از این طریق برای تبدیل شدن به ابرقدرت منطقه ای می تواند داشته باشد. در 2015، حمله به بانک های امریکایی و آژانس های حکومتی همزمان با توافق هسته ای پایان یافت. پیش از توافق هسته ای حملات سایبری میان ایران و ایالات متحده بر اخبار چیره شده بود و ایران به صورت سیستماتیک 46 حمله به موسسات مالی ترتیب داد. هرچند عملیات ها ضد اهداف امریکایی کم شدند ولی همه با هم متوقف نشدند. در عوض ایران حملات را دوباره متوجه کشورهای منطقه ای به ویژه عربستان کرد.

در انتها می توان گفت کاربست عملیات های سایبری از سوی ایران، برای رسیدن به دو هدف است: نظارت و کنترل جریان اطلاعات در داخل؛ و تلافی تهدیدات در خارج. بنابراین بعید است که عملیات های سایبری ایران برای اجبار همسایگان به عمل خاصی صورت بگیرد ولی با رشد توانمندی های ایران در این حوزه، ممکن است این رویکرد تغییر کند.

*گزارش اندیشکده های خارجی توسط راهبرد معاصر نه تائید و نه رد می شود. صرفا جهت بهره برداری مخاطبان گرامی منتشر می شود.