جاسوسی آژانس امنیت ملی آمریکا از سوئیفت افشا شد

گروه هکری Shadow Brokers که در هشت ماه گذشته چندین گیگابایت اطلاعات در مورد جاسوسی های سایبری آژانس امنیت ملی آمریکا منتشر کرده بودند، دست به افشاگری تازه و تکان دهنده ای زده اند.
این گروه تا به حال اسنادی در مورد سوءاستفاده این آژانس از حفره های امنیتی نرم افزارهای مختلف منتشر کرده بودند، اما تازه ترین افشاگری آنها ثابت می کند آژانس امنیت ملی امریکا سیستم تبادل بانکی سوئیفت را هم هک کرده است.
 
برخی اسناد تازه افشا شده Shadow Brokers هم از سوءاستفاده سازمان های جاسوسی و اطلاعاتی آمریکا از آسیب پذیری های سیستم عامل ویندوز خبر می دهد. همچنین تعدادی بانک در جهان و از جمله منطقه خاورمیانه هدف این جاسوسی های سایبری بوده اند.
 
حجم مجموع اسناد تازه افشا شده توسط Shadow Brokers به ۳۰۰ مگابایت می رسد و از آژانس امنیت ملی آمریکا به سرقت رفته اند. بر این اساس آژانس از برخی حفره های امنیتی در ویندوزهای ۸ و ویندوز سرور۲۰۱۲ برای نفوذ به شبکه های رایانه ای سواستفاده کرده است.
 
یکی از این آسیب پذیری ها موسوم به Eternalblue اجرای کدهای مخرب بر روی Windows ۲۰۰۸ R۲ را ممکن می کند. یک ابزار هکری مورد سوءاستفاده آژانس هم که Eternalromance نام دارد از طریق پورت های ۴۴۵ و ۱۳۹ به رایانه ها نفوذ می کند. ابزار هکری نفوذ به ویندوزهای ۸ و سرور ۲۰۱۲ نیز ETERNALSYNERGY نام دارد.
 
ابزار طراحی شده توسط آژانس امنیت ملی آمریکا بسیار متنوع و گسترده هستند و تمامی نسخه های ویندوز از ایکس پی به این سو و تقریبا تمامی نسخه های ویندوزهای سرور را در برمی گیرند.
 
این آژانس کدهای هکری خاصی برای نفوذ به شبکه های رایانه ای خاورمیانه طراحی کرده و از جمله در سال ۲۰۱۳ به EastNets دفتر خدمات سوئیفت در خاورمیانه نفوذ کرده است. EastNets برای نظارت بر عملیات ضدپولشویی و سرویس های مرتبط با نقل و انتقال بانکی در سوئیفت مورد استفاده قرار می گیرد. آژانس ابزار هکری خاصی برای استخراج اطلاعات از پایگاه های داده اوراکل در خاورمیانه که توسط بانک ها مورد استفاده بوده اند، ابداع کرده و بانک هایی مانند بانک توسعه و سرمایه گذاری القدس، بانکی در رام الله و ... را هدف حمله قرار داده است.

حراج داده‌های سرقت شده از جاسوسان وابسته به سازمان امنیت ملی آمریکا

حراج داده‌های سرقت شده از جاسوسان وابسته به سازمان امنیت ملی آمریکا

گروه هکرهای NASA ELITE یا مغزهای جاسوسی آژانس امنیت ملی آمریکا (با نماد اختصاری NSA) برای سالیان متمادی به طور مخفیانه دست به عملیات نفوذ و رخنه در سیستم‌های رایانه‌ای جهان زده‌اند. اکنون تیمی از هکرهای ناشناس ادعا کرده که با انجام یک رشته عملیات ضد نفوذ، اقدام متهورانه‌ای را به سرانجام رسانده‌ است. این گروه با جسارت تمام اعلام کرده‌ که مجموعه‌ای از فایل‌های متعلق به یکی از تیم‌های جاسوسی مرتبط با آژانس امنیت ملی آمریکا را به سرقت برده‌ است. آن‌ها هم‌اکنون این داده‌های ذی‌قیمت را به حراج گذاشته تا به بالاترین پیشنهاد به فروش برسانند.

در روز دوشنبه هفته جاری، یک گروه ناشناس که خود را Shadow Brokers یا «دلالان سایه» نامیده است، در یک پست وبلاگی ادعا کرد که به سیستم‌های رایانه‌ای Equation Group؛ گروهی متشکل از جاسوس‌های امنیتی خبره نفوذ کرده است. Equation Group یا گروه اکوئیشن که سال گذشته توسط کمپانی امنیتی کسپرسکی کشف شد، در سراسر دنیا قربانیان زیادی در طی عملیات نفوذ خود بر جای گذاشته و بر مبنای اسناد افشا شده توسط ادوارد اسنودن، زلفش به زلف آژانس امنیت ملی آمریکا گره خورده است. Shadow Brokers نمونه‌ای از داده‌های به سرقت رفته را همراه با تعدادی فایل رمزگذاری شده منتشر کرده و کلید رمزگشایی این فایل‌ها را نیز در یک حراج بیت‌کوینی به فروش گذاشته است. این گروه در وبلاگ خود با انگلیسی دست‌وپا شکسته نوشته است:

چقدر حاضرید برای شناخت سلاح‌های سایبری دشمنان‌تان، پول خرج کنید؟! ما گروه اکوئیشن را هک کردیم. ما تعداد خیلی خیلی زیادی از سلاح‌های سایبری اکوئیشن را پیدا کردیم. تصاویر زیر گویا هستند. ما برخی از فایل‌های این گروه را به طور رایگان در اختیارتان می‌گذاریم، اما نه همه آن‌ها را. بهترین فایل‌ها به حراج گذاشته شده‌اند.

این گروه در پایین صفحه نوشته است که کدهای به حراج گذاشته شده حتی از «استاکسنت» هم بهتر هستند. استاکسنت که در سال ۲۰۱۰ کشف شد، بدافزار مخربی است که توسط آژانس امنیت ملی آمریکا با هدف ضربه زدن به تاسیسات هسته‌ای ایران ساخته شده بود.

سازمان امنیت ملی آمریکا (NSA)

علی‌رغم تایید نشدن هویت این گروه، ادعاهای گزاف و متن انگلیسی پیش پا افتاده وبلاگ یاد شده، محققانی که فایل‌های نمونه را دانلود کرده و مورد بررسی قرار داده‌اند می‌گویند که این داده‌ها حاوی اطلاعات درخور توجهی هستند، از جمله ۳۰۰ مگابایت کد که با نرم‌افزارهای نفوذ آژانس امنیت ملی آمریکا همخوانی دارد. کلودیو گوارنیری، پژوهشگر آزمایشگاه تحقیقاتی Citizen دانشگاه تورنتو که متخصص آنالیز بدافزارهای حمایت شده توسط دولت‌هاست، می‌گوید:

این احتمال وجود دارد که پس از حمله آژانس امنیت ملی آمریکا به یک فرد، وی اقدام به یافتن مبدا حملات کرده و عملیات ضد هکی را علیه آن ترتیب داده باشد.

گوارنیری می‌گوید هنوز برای اینکه با اطمینان بگوییم این کدها و داده‌ها متعلق به گروه اکوئیشن یا هر تیم هکری که وابسته به آژانس امنیت ملی آمریکاست، کمی زود است. با این حال، وی می‌افزاید که این کدها تعدادی از بدافزارهای مخربی را که در اسناد افشا شده توسط ادوارد اسنودن در سال ۲۰۱۳ از آن‌ها نام برده شده بود، مورد تایید قرار می‌دهد. این اسناد، شامل لیست ابزارهای نرم‌افزاری به خدمت گرفته شده توسط یکی از تیم‌های هک خبره آژانس امنیت ملی آمریکا یعنی Tailored Access Operation بود. گوارنیری در ادامه گفت:

داده‌های افشا شده به اندازه کافی معتبر بوده و به درستی بر دانسته‌های ما از شماری از بدافزارهای نفوذ نام برده شده، صحه می‌گذارند.

نیکلا ویور، یکی از پژوهشگران دانشگاه کالیفرنیا در برکلی روی صفحه توئیتر خود نوشت:

انسان‌های زیادی در FT Meade (مقر فرماندهی سایبری ایالات متحده آمریکا) قربانی شده‌اند.

مت سویشه، بنیان‌گذار کمپانی اماراتی Comae Technologies که شرکت نوپایی در زمینه کشف و مبارزه با جرایم سایبری است، می‌گوید در میان فایل‌های نمونه منتشر شده توسط گروه «دلالان سایه» اسامی تعدادی بدافزار به چشم می‌خورد که تجهیزات فروخته شده توسط کمپانی‌های سیسکو، جونیپر (Juniper)، فورتیگیت (Fortigate) و یک کمپانی امنیتی چینی به نام تاپ‌سک (Topsec) را هدف گرفته‌اند. سویشه می‌افزاید که بدافزارهای یاد شده به نسخه‌های قدیمی تجهیزات حمله کرده و از حفره zero-day استفاده نمی‌کنند. اما او بر این باور است که اسامی این بدافزارها تاکنون منتشر نشده و حتی کلکسیون‌های عمومی بدافزارها از جمله Metasploit هم از آن‌ها نام نبرده بودند.

تمامی ارزیابی‌ها حاکی از آن است که این داده‌های افشا شده یک کلاه‌برداری صرف برای به جیب زدن چند تا بیت‌کوین نیست. سویشه می‌گوید:

ساخت تمامی این مدارک و اسناد از یک طرح ساده، کار بسیار دشواری است، هرچند ناممکن نیست. به نظر من، کفه اعتبار این داده‌ها به سمت درستی، سنگینی می‌کند و البته دیگران ممکن است نظرات دیگری داشته باشند.

از سویی دیگر به نظر نمی‌رسد که گروه Shadow Brokers حراجی خود را منصفانه برگزار کرده باشد. آن‌ها از شرکت‌کنندگان در حراجی می‌خواهند که ارزهای دیجیتالی خود را مخفیانه به آدرس بیت‌کوینی آن‌ها ارسال کنند، بدون اینکه در صورت بازنده شدن در حراجی، امیدی به پس گرفتن پول‌هایشان داشته باشند. در وبلاگ این گروه آمده است:

با عرض پوزش، بازندگان حراجی هم پولشان را از دست می‌دهند و هم به فایل‌ها دسترسی پیدا نمی‌کنند. بازنده چوب دو سر طلاست، پس تلاش کن تا برنده شوی.

اما این گروه وعده یک پاداش را نیز به تمامی خریداران می‌دهد و اضافه می‌کند که اگر مجموع پیشنهادها به رقم خنده‌دار یک میلیون بیت‌کوین برسد، آن‌ها گنجینه‌ای دیگر از داده‌های با ارزش خود را به طور عمومی افشا می‌کنند.

یکی از خوانندگان این وبلاگ در بخش سوالات متداول، پرسیده است: چرا من باید به شما اعتماد کنم؟ و سپس جواب گرفته است:

خبری از اعتماد نیست. این کار یک قمار است. پاداش می‌خواهی، باید بهای آن را هم بپردازی. ممکن است ببازی، احتمال هم دارد پیروز شوی، اما هیچ تضمینی وجود ندارد.

وبلاگ «دلالان سایه» با یک پیام بلندبالا خطاب به «نخبگان ثروتمند» به پایان می‌رسد. آن‌ها در این پیام نوشته‌اند که تاکتیک‌های جاسوسان و هکرهای گروه اکوئیشن می‌تواند کنترل سیاست‌های جهانی را توسط این نخبگان دچار چالش‌های جدی کند، از این رو به آن‌ها پیشنهاد داده است که باید در حراجی فایل‌های به سرقت رفته، شرکت کنند. در این وبلاگ آمده است:

ما می‌خواهیم مطمئن شویم که نخبگان ثروتمند از خطر سلاح‌های سایبری آگاه هستند. این پیام و حراجی ما مستقیما به ثروت و سیاست‌های جهانی آن‌ها مربوط است.

این حراج نابهنگام و پیام سیاسی این گروه، اتفاقی بسیار نادر است. هکری که می‌تواند در گروه اکوئیشن به آژانس امنیت ملی آمریکا نفوذ کند، باید از مهارت‌های امنیتی فوق‌العاده‌ای برخوردار باشد. گروه اکوئیشن پیش از این نه تنها مورد حملات افشاگرانه واقع نشده بود بلکه برای مدتی نزدیک به ۱۴ سال بی‌سروصدا به کار خود مشغول بوده است؛ رکوردی بی‌سابقه برای اختفا و انجام عملیات امنیتی برای تیمی که قربانیان بی‌شماری از روسیه گرفته تا بلژیک و حتی لبنان داشته است. هر کسی که صرفا قادر به یافتن زیرساخت‌های هکری آژانس امنیت ملی آمریکا باشد، فارغ از نفوذ یا عدم نفوذ به آن، احتمالا از حمایت‌ها و کمک‌های دولتی هم برخوردار است.

افشای این داده‌ها باعث شده است که محققان امنیتی این فرضیه را مطرح کنند که ممکن است این اتفاق، تنها نوعی عملیات فریب برای سردرگم کردن هر چه بیشتر طرفین درگیر در این رسوایی باشد. برخی از پژوهشگران بر این تئوری پافشاری می‌کنند که این اتفاق، ممکن است تا حدی به هک «کمیته ملی حزب دموکرات آمریکا» توسط روس‌ها مرتبط باشد، عملیاتی که عامل یا عاملینش تلاش می‌کردند آن را به یک هکر رومانیایی نسبت دهند.

در حال حاضر، هنوز خیلی زود است که مسئولیت این اتفاق بر دوش مظنونان همیشگی نفوذ سایبری گذاشته شود. اما این داده‌های افشا شده چه درست باشند چه جعلی، حداقل باعث جلب‌توجه آژانس امنیت ملی آمریکا و شمار زیادی از سازمان‌های امنیتی-اطلاعاتی شده‌اند.

نوشته حراج داده‌های سرقت شده از جاسوسان وابسته به سازمان امنیت ملی آمریکا اولین بار در - آی‌تی‌رسان پدیدار شد.