پنج نکته‌ای که باید درباره حمله سایبری به وزارت نفت بدانیم

حمله گسترده سایبری به سرورهای اصلی وزارت نفت در روز یک‌شنبه (۳ اردیبهشت، ۲۲ آوریل) موجب شد مسئولان امنیت شبکه این وزارتخانه پس از ۲۴ ساعت برای ساعاتی اتصال اینترنتی شبکه را قطع کنند. سخنگوی وزارت نفت در نخستین اظهارنظر رسمی خود اعلام کرد که این حمله «حمله‌ای ویروسی» بوده و به «اطلاعات اساسی» وزارت نفت صدمه‌ای وارد نکرده است.

در نخستین ساعات پس از انتشار این خبر از زبان مقام‌های مسئول در وزارت نفت، خبرگزاری‌های حامی دولت تلاش کردند تا نشان دهند که مسئولان شبکه اطلاعاتی این وزارتخانه کنترل امور را در دست گرفته‌اند و اوضاع به حالت عادی برگشته است. این پیامی است که امروز رسما به دنیا مخابره شده، اما حملات سایبری و تکنیک‌های نفوذگران برای هک کردن شبکه‌ها پیچیدگی‌هایی دارند که معمولا از چشم رسانه‌ها و روزنامه‌نگاران پنهان می‌ماند. هنوز ناگفته‌های بسیاری درباره این ویروس و ویرانی‌های احتمالی ناشی از آن وجود دارد.

بدون دسترسی به گزارش سرورها و مسیریاب‌های شبکه، قضاوت درباره عمق حملات و اهداف احتمالی نفوذگران بسیار دشوار است، اما با بررسی واکنش‌های مقامات ایرانی و خبرگزاری‌های دولتی می‌توان به تحلیل‌هایی از این حملات رسید که توضیح آنها ممکن است به درک دقیق‌تر وضعیت کمک کند. در این مطلب پنج نکته‌ای را می‌خوانید که شاید در اولین نگاه به خبرهای پیرامون این رویداد، چندان آشکار به نظر نرسند.

۱) ۲۴ ساعت زمان زیادی برای هکرها است

وزارت نفت در واکنش به حملات سایبری، پس از ۲۴ ساعت «ستاد بحران» تشکیل داد. تشکیل ستاد بحران نشانه گستردگی دامنه حملات است. مسئولیت ستاد بحران «خنثی‌سازی این حملات در فضای مجازی» عنوان شد. با استناد به همین گفته‌ها، خبرگزاری‌های حامی دولت اعلام کردند که این حملات ناموفق بوده و هکرها به اهداف مورد نظر خود نرسیده‌اند.

هر شبکه‌ای به‌طور بالقوه در معرض حملات هکرها است. این احتمال برای شبکه‌های اطلاعاتی دولتی افزایش می‌یابد چون دربرگیرنده اطلاعات مهم‌تری است. متخصصان امنیت شبکه، از دانش و ابزارهای لازم بهره می‌گیرند تا مکانیسم دفاعی مناسبی در برابر حملات طراحی کنند و فایروال‌ها و سیستم‌های مانیتورینگ شبکه، باید به‌گونه‌ای پیکربندی شوند که هر نوع اختلال مشکوک در شبکه یا نفوذ به آن را در اسرع وقت کشف کنند تا متخصصان به سرعت راه‌های دفع آن را بیابند.

بیشتر بخوانید: تشکیل ستاد بحران وزارت نفت برای مقابله با حملات سایبری

در دنیای امنیت شبکه، ۲۴ ساعت وقت دادن به هکرها، می‌تواند به معنی باختی بزرگ برای کسانی باشد که مسئولیت تامین امنیت سرورها را برعهده دارند. در طول این مدت، هکرها ممکن است بخش بزرگی از اطلاعات حساس موجود روی سرورهای وزارت نفت را ربوده باشند و در اختیار گرفتن این اطلاعات موجود در شبکه‌ها، می‌تواند زمینه حملات گسترده‌تر، دقیق‌تر و هدفمندتر در آینده را فراهم کند.

۲) تشخیص اهداف هکرها از حملات سایبری دشوار است

علیرضا نیکزاد، سخنگوی وزارت نفت اعلام کرد که حمله صورت گرفته «با نفوذ یک ویروس با هدف پاک کردن اطلاعات کامپیوترهای وزارت نفت» انجام شده است. او همچنین گفت که این حملات، مادربردهای سرورهای وزارت نفت را از کار انداخته است.

واقعیت این است که پاک کردن اطلاعات یا تخریب سخت‌افزار شبکه، لزوما هدف اصلی هکرها نیست. بنابراین، جلوگیری از حذف و پاک‌سازی اطلاعات، لزوما نمی‌تواند به معنی رهایی از دام هکرها باشد. ممکن است هدف نفوذگران از این حملات، صرفا جمع‌آوری اطلاعات حساس و حیاتی برای طراحی حملات گسترده‌تر در آینده باشد. در ۲۴ ساعتی که هکرها احتمالا کنترل سیستم‌ها را در اختیار داشتند، ممکن است اطلاعات حساسی از وزارت نفت ربوده باشند. این واقعیتی است که بسیاری از مدیران نفتی یا از آن باخبر نیستند، یا حتی اگر نسبت به آن آگاهی داشته باشند، احتمالا اجازه رسانه‌ای کردن آن از آنها سلب شده است.

همان‌طور که پیش‌تر گفته شد، ۲۴ ساعت زمان بسیار مناسبی برای انتقال و کپی داده‌های موجود روی سرورهای آسیب‌پذیری است که تسلیم حملات سایبری شده‌اند. گذشته از این، تصمیم «ستاد بحران» برای قطع ارتباط سرورهای وزارت نفت با شبکه اینترنت هم نشان می‌دهد که آنها در یافتن راه‌های مقابله با این حملات ناکام مانده‌اند. قطع ارتباط شبکه اطلاعاتی با اینترنت، نشانگر عمق نفوذ و وجود ضعف‌های بزرگ در تیم امنیتی مسئول این سرورهای آسیب‌پذیر است.

۳) بک‌آپ داشتن از اطلاعات به معنی رهایی از ویرانی‌های حمله سایبری نیست

علیرضا نیکزاد، سخنگوی وزارت نفت همچنین با تاکید بر جدایی سرورهای عمومی از سرورهای اصلی، گفت که «در وزارتخانه از تمام اطلاعات یک کپی وجود دارد.» تهیه مستمر نسخه پشتیبان (Backup) از اطلاعات سرورها، از بدیهیات و ضروریات اساسی برای تیم‌های تامین امنیت شبکه است، اما اعلام این نکته نشانگر بی‌توجهی به یک واقعیت تلخ است که پیش‌تر به آن اشاره شد: شما بدون بررسی دقیق فایل‌های گزارش سرورها، مسیریاب‌ها و سیستم‌های مانیتورینگ شبکه‌‌ها، نمی‌توانید از اهدافی که هکرها در سر دارند باخبر شوید.

نکته مهم‌تر این‌که، هکرهای زبده می‌توانند رد پای خود را از همه این لاگ‌فایل‌ها پاک کنند تا متخصصان امنیت شبکه گمراه شوند و درک نکنند که در زمانی که هکرها کنترل سرورها را در اختیار گرفته‌اند، دقیقا چه اقداماتی انجام داده‌اند. در صورتی که سرقت اطلاعات، هدف هکرهای طراح این ویروس ناشناخته بوده باشد، نسخه‌های بک‌آپ اطلاعات که به گفته آقای نیکزاد در وزارتخانه موجودند، دردی از وزارت نفت و سرورهای آسیب‌پذیرش درمان نخواهد کرد.

بیشتر بخوانید: «مدیریت بحران سایبری ایران بسیار ضعیف است»

۴) پوشش خبری ویرانی‌های حملات سایبری، عبور از خطوط قرمز جمهوری اسلامی است

حملات سایبری و تاثیرات و آسیب‌های مخرب آنها، در دنیای امروز با امنیت ملی کشورها گره خورده‌اند و در ایران معمولا آسیب‌ها و آسیب‌پذیری‌هایی که مرتبط با امنیت ملی است، در حصار خطوط قرمز پررنگ می‌ماند و مجال انتشار در رسانه‌ها نمی‌یابد.

البته این اتفاق فقط در جمهوری اسلامی رخ نمی‌دهد. حملات سایبری و آسیب‌های ناشی از آن، در اکثر کشورها از مسائل حساس مرتبط با امنیت ملی محسوب می‌شوند و انتشار اطلاعات درباره تاثیرات آنها کاملا قطره‌چکانی است و عموما با در نظر گرفتن ملاحظات خاص امنیتی و اطلاعاتی صورت می‌گیرد.

این معضل اما در جمهوری اسلامی به اوج می‌رسد؛ تنش‌ها میان ایران و جامعه جهانی بر سر برنامه هسته‌ای اوج گرفته، تحریم‌های فلج‌کننده علیه ایران تشدید شده و هدف از اعمال آنها، فلج کردن اقتصاد متکی به نفت ایران است. هدف قرار دادن بخش انرژی با حملات سایبری ممکن است بخشی از همین مجموعه اقدامات برای ایجاد اختلالات جدی در صنعت نفت ایران باشد.

تجربه کرم اسرارآمیز استاکس‌نت که تاسیسات هسته‌ای و سانتریفیوژهای ایران را هدف حملات ویرانگر خود قرار داده بود، نشان می‌دهد که مقامات ایرانی در چنین مواقعی معمولا سیاست انکار را در پیش‌می‌گیرند. در مورد استاکس‌نت، اگرچه دامنه تخریب بسیار گسترده‌ای داشت، هرگز هیچ‌یک از مقامات ایرانی اشاره‌ای مستقیم به آسیب‌های گسترده نکردند و گفته می‌شود شورای عالی امنیت ملی، رسانه‌ها را از پوشش تاثیرات تخریبی آن منع کرده است.

بیشتر بخوانید: استاکس‌نت؛ بمباران مجازی تاسیسات هسته‌ای ایران

۵) ممکن است این حملات با حمایت سرویس‌های اطلاعاتی ابرقدرت‌های جهان انجام شود

اگرچه هنوز کد ویروسی که سرورها و شبکه وزارت نفت را هدف قرار داد کالبدشکافی و واکاوی نشده، اما با بررسی نشانه‌ها می‌توان دریافت که حمله اخیر حمله‌‌ای گسترده بوده است.

خبرگزاری مهر، روز دوشنبه در گزارشی به نقل از غلامرضا جلالی، رئیس سازمان پدافند غیرعامل ایران اعلام کرد که در دو سال گذشته، حوزه انرژی کشور شاهد بیشترین حملات سایبری بوده است. جزئیات بیشتری درباره این واقعیت منتشر نشده، اما همین خرده‌داده‌ها نشان می‌دهد که طرح‌های بزرگی برای ضربه زدن به حوزه انرژی ایران از راه حملات اینترنتی در جریان است؛ طرح‌هایی که احتمالا مکمل تحریم‌های فلج‌کننده‌ای خواهند بود که صنعت نفت ایران را هدف قرار داده است.

به گواه بسیاری از متخصصان امنیتی در جهان، حمله‌ای نظیر استاکس‌نت، با ۱۵ هزار خط کد ویرانگر، حمله‌ای بی‌نظیر و هوشمندانه بوده که به احتمال قریب به یقین با پشتیبانی سیستم‌های اطلاعاتی کشورهای قدرتمند انجام شد. متخصصان تهیه این کدهای پیچیده و اجرای این حملات گسترده توسط هکرها و گروه‌های نفوذگر مستقل را غیرممکن می‌دانند.

اگر در پس حملات سایبری اخیر به سرورهای وزارت نفت هم دست سیستم‌های اطلاعاتی قدرت‌های غربی باشد، باید برای صنعت نفت ایران به شدت نگران بود، چون این حملات معمولا بسیار هوشمندانه طراحی و اجرا می‌شوند و متخصصان ایرانی معمولا زمانی راه‌های مقابله با آن را می‌یابند که ماموریت هکرها با موفقیت پایان یافته است.