طی نیم دهه گذشته، هکرهای تحت حمایت دولت روسیه خاموشی هایی را آغاز کرده و مخرب ترین کرم رایانه ای تاریخ را منتشر کردند. همچنین ایمیل هایی مربوط به حزب دموکرات را سرقت و منتشر کردند تا به انتخاب دونالد ترامپ کمک کرده باشند. درهمین زمینه، یک گروه خاص از هکرهای تحت کنترل کرملین به سبب یک عادت بسیار متفاوت، شهرت پیدا کردند: درست تا لبه حمله فاجعه بار سایبری پیش می روند-گاهی اوقات با دسترسی هایی که روی حساس ترین زیرساخت های ایالات متحده دارند-و سریعاً متوقف می شوند.
چندی پیش دپارتمان امنیت داخلی (DHS) آمریکا هشداری را منتشر کرد مبنی بر اینکه گروهی معروف به Berserk Bear -یا Energetic Bear، TEMP.Isotope و Dragonfly- یک عملیات هکری گسترده علیه سازمان های محلی، ایالتی و بخش هواپیمایی ایالات متحده انجام دادند و دست کم به دو مورد از این اهداف رخنه کردند. اخبار مربوط به این دخالت ها که اوایل هفته گذشته توسط خبرگزاری Cyberscoop گزارش شد، این احتمال را تقویت می کند که روسیه با دسترسی به سیستم های IT دولتی که به صورت محلی در انتخابات استفاده شده اند زمینه ایجاد اختلال در انتخابات ۲۰۲۰ را ایجاد کند.
در زمینه سابقه دخالت های Berserk Bear در ایالات متحده، سنجش میزان تهدید واقعی ایجاد شده بسیار دشوار است. از اوایل سال ۲۰۱۲، محققان امنیت سایبری از کشف مکرر اثر انگشت این گروه در اعماق زیرساخت های سراسر جهان از خدمات توزیع برق تا نیروگاه های هسته ای شگفت زده شدند. با این حال محققان می گویند تا به حال ندیده اند که Berserk Bear از این دسترسی برای ایجاد اختلال استفاده کند.
این گروه کمی شبیه اسلحه چخوف است، بدون اینکه شلیکی انجام دهد، به دیوار آویزان شده است-و یک بازی پایانی شوم را برای دموکراسی ایالات متحده تداعی می کند.
ویکرام تاکور، یک محقق در شرکت امنیتی Symantec که از سال ۲۰۱۳ تا کنون این گروه را در چندین عملیات مختلف ردیابی کرده است، می گوید: «آنچه آن ها را منحصر به فرد می کند این واقعیت است که آن ها تمرکز خود را برروی زیرساخت ها، مانند معادن، نفت، گاز و یا شبکه برق کشورهای مختلف قرار داده اند». او متوجه شده است که هکرها آنچه را که به نظر می رسد عملیات شناسایی باشد انجام می دهند. در واقع آن ها دسترسی می گیرند و داده ها را سرقت می کنند، اما با وجود فرصت کافی، هرگز از سیستم های حساس برای ایجاد خاموشی، قراردادن بد افزار برای تخریب اطلاعات و یا هر نوع دیگری از حملات سایبری سو استفاده نمی کنند.
در عوض، به نظر می رسد مهاجمان به سادگی در حال اثبات این موضوع هستند که می توانند این سطح دسترسی نگران کننده را بارها به اهداف زیرساخت بدست بیاورند.
تاکور می گوید: «آن ها طی هفت سال عملیات های مختلفی انجام دادند و من هیچ مدرکی مبنی بر انجام کار خرابکارانه ای از آن ها مشاهده نکردم. بنابراین به نظر می رسد آن ها در حال ارسال این پیام هستند که: من در فضای مهم زیرساختی شما هستم و هر زمان که بخواهم می توانم دوباره برگردم.»
خواب زمستانی طولانی
در تابستان سال ۲۰۱۲، Adam Meyers، معاون اطلاعات شرکت امنیتی CrowdStrike، برای اولین بار با backdoor این گروه، معروف به Havex که بخش انرژی منطقه قفقاز را هدف قرار داده بود، مواجه شد.
CrowdStrike در ابتدا به دلیل هدف قرار دادن بخش انرژی، هکرها را Energetic Bear می نامید، اما هنگامی که گروه ابزارها و زیرساخت های خود را تغییر داد، نام آن را به Berserk Bear تغییر داد. Meyers می گوید: «این جالب ترین چیزی بود که در آن زمان دیده بودم». Crowdstrike سال ها زودتر از اینکه دیگر هکرهای روسی اولین حمله سایبری خاموشی جهان را در سال ۲۰۱۵ علیه اوکراین انجام دهند، Havex را در سایر شبکه های مرتبط با انرژی در سراسر جهان پیدا کرده بودند.
در ژوئن ۲۰۱۴ Symantec گزارشی جامع درباره این گروه منتشر کرد که آن را Dragonfly نامید.
در ده ها نفوذ علیه تاسیسات نفت، گاز و برق در ایالات متحده و اروپا، هکرها از حملات watering hole (گودال آب) استفاده کردند. درباره این نوع حملات، فرض کنید گودال آبی وجود دارد و همه حیوانات از آن گودال آب می خورند. حال اگر این گودال آب را مسموم کنیم، همه حیوانات مسموم می شوند. بنابراین وقتی یک منبع پر بازدید را آلوده می کنیم همه بازدید کنندگان و کاربران آن منبع نیز آلوده می شوند. به همین دلیل این تکنیک را گودال آب می نامند. شِمایی از روند کلی این حملات را می توانید در تصویر زیر مشاهده کنید.
شش ماه بعد، در فوریه سال ۲۰۱۸، FBI و DHS هشدار دادند که یک حمله (که آن را Palmetto Fusion نامیدند) توسط هکرهای تحت حمایت دولت روسیه انجام شده است وگزارش هایی مبنی بر اینکه اهداف این هکرها دست کم شامل یک مرکز تولید انرژی هسته ای است، ارائه کردند. البته هکرها فقط به شبکه فناوری اطلاعات این مرکز دسترسی پیدا کرده بودند، نه سیستم های کنترل صنعتی حساس.
بررسی Berserk
امروزه Berserk Bear به صورت گسترده مظنون به کار در سرویس آژانس اطلاعات داخلی FSB روسیه است، که جانشین KGB (کمیته امنیت دولتی) در شوروی سابق است.
Meyers از شرکت CrowdStrike می گوید تحلیلگران تقریباً اطمینان دارند که این گروه علاوه بر هک کردن زیرساخت های خارجی، به صورت دوره ای نهادها و افراد داخلی روسیه را در موضوعات مختلف از جمله در زمینه مخالفت های سیاسی و تحقیقات ضد تروریسم که همسو با ماموریت های FSB بوده است مورد هدف قرار داده است.
این موضوع در تضاد با رفتار سایر گروه های هک روسی است که به عنوان عضو اعضای آژانس اطلاعات نظامی روسیه (GRU) شناخته شده اند. در سال ۲۰۱۸ هکر های Fancy Bear به دلیل نفوذ در کمیته ملی دموکراتیک و کمپین انتخاباتی کلینتون که برای دخالت در انتخابات ریاست جمهوری ۲۰۱۶ آمریکا طراحی شده بود و انجام یک عملیات نفوذ و نشت اطلاعات متهم شدند. وزارت دادگستری ایالات متحده، شش نفر را که ادعا می شود در گروه Sandwormعضو هستند در رابطه با حملات سایبری که باعث ایجاد دو خاموشی در اوکراین، شیوع بد افزار NotPetya (که باعث ایجاد خسارت ۱۰ میلیارد دلاری در سطح جهان شد) و تلاش برای ایجاد خرابکاری در المپیک زمستانی 2018 متهم کرد.
John Hultquist، مدیر اطلاعات در FireEye می گوید بنظر می رسد که Berserk Bear نسخه تحت کنترل و بی آسیب واحد جنگ سایبری Sandworm وابسته به GRU است. او می گوید: «این گروه بازیگری است که به نظر می رسد مأموریت آن تحت تهدید نگه داشتن زیرساخت های مهم است، با این تفاوت که ما هرگز ندیده ایم که آن ها ماشه را بکشند».
سؤال مهم اینجاست که چرا در طی این همه سال، Berserk Bear به دنبال نفوذ در زیر ساخت ها است. Hultquist استدلال می کند که این گروه در حال آماده شدن برای یک درگیری احتمالی ژئوپلیتیکی در آینده باشد، یک حمله سایبری مانند حمله به شبکه برق دشمن که تحلیلگران امنیت سایبری مدت هاست آن را «آماده سازی میدان جنگ» توصیف می کنند.
John Hultquist هشدار می دهد که آخرین برنامه Berserk Bear می تواند نوعی آماده سازی برای حمله به ایالت ها، شهرداری ها و سایر بخش های محلی باشد که مسئول برگزاری انتخابات فعلی هستند. به گفته شرکت امنیت سایبری Symantec ، سه مورد از عملیات های Berserk Bear فرودگاه های ساحل غربی ایالات متحده، از جمله فرودگاه بین المللی سانفرانسیسکو را هدف قرار داده است.
تاکور از شرکت Symantec آینده ای را تصور می کند که این گروه به طور گسترده ای به دنبال ایجاد مزاحمت و تهدید است و خود را برای این کار آماده می کند. اما Meyers که هشت سال است Berserk Bear را ردیابی می کند، می گوید به این باور رسیده است که این گروه ممکن است یک بازی نامحسوس تری را آغاز کنند، بازی ای که تاثیرات غیر مستقیم اما فوری و روانی داشته باشد. هر یک از این رخنه ها هرچند به ظاهر جزئی باشد، اما بازتاب های فنی، سیاسی و احساسی نامتناسبی را ایجاد می کند.
در ادامه Meyers افزود: «اگر شما بتوانید US-CERT یا CISA را مجبور کنید که تیمی برای پیدا کردن اهداف احتمالی Berserk Bear در داخل کشور تشکیل دهند، گزارش هایی برای اطلاع عموم مردم منتشر کنند و همکارانی از سرویس های اطلاعاتی و همینطور جامعه حقوقی برای خود پیدا کنند می توانید یک حمله به منابع گروه Berserk Bear را انجام دهید. این استراتژی مشابه حالتی از حملات در کامپیوترها است که با مشغول کردن منابع یک کامپیوتر با درخواست های زیاد، کارایی یک سیستم را از آن می گیرد.»
همچنین او اشاره ای به گزارش هفته گذشته CISA کرد که در آن به حملات گسترده برای شناسایی پتانسیل های قربانیان به صورت هدفمندتر با اولیت پنهان ماندن پرداخته شده بود.
اگر ایجاد تحریک بیش از حد در واقع همان بازی آخر Berserk Bear باشد، با توجه به گزارش CISA در مورد آخرین نفوذ و پوشش رسانه ای گسترده این حملات (از جمله در این مقاله) ممکن است قبلاً نیز موفق شده باشد. اما Meyers اذعان می کند که نادیده گرفتن و کم اهمیت جلوه دادن تخلفات مورد حمایت دولت روسیه (در زیرساخت های مهم ایالات متحده، انتخابات و سیستم های مرتبط) عاقلانه به نظر نمی رسد. اگر واقعاً Berserk Bear همان اسلحه چخوف است که به دیوار آویزان شده است، باید قبل از پایان بازی از کار بیفتد. اما اگر این اتفاق رخ ندهد نخواهید توانست چشم از این گروه بردارید و شما را از قسمت های دیگر نقشه غافل خواهد کرد.
