FBI در حال حاضر این اختیار را دارد که بدون اطلاع و رضایت صاحبان آنها به رایانه های شخصیشان دسترسی پیدا کند و نرم افزارها را حذف کند. این بخشی از تلاش دولت برای مهار حملات مداوم به شبکه های شرکتی است که در آن از نرم افزار Microsoft Exchange استفاده می کنند و این یک نفوذ بی سابقه است که سؤالاتی حقوقی را در مورد این که دولت تا چه حد می تواند در این مسیر پیش برود ایجاد می کند.
در تاریخ 9 آوریل، دادگاه منطقه ای جنوب تگزاس ایالات متحده با صدور قرار بازرسی به وزارت دادگستری ایالات متحده اجازه انجام عملیات را داد.
سه روند فعلی - سرقت سلاح های سایبری از صنعت، رسانه های اجتماعی به عنوان سلاح، و تاریک شدن جنگ سایبری و اطلاعاتی - منادی خبرهای آینده هستند.نرم افزاری که FBI حذف می کند کدی مخرب است که توسط هکرها برای کنترل کامپیوتر قربانی نصب شده است. هکرها از این کد برای دستیابی به مقادیر گسترده ای از پیام های ایمیل خصوصی و حملات باج افزار استفاده کرده اند. مرجعی که وزارت دادگستری به آن متکی بود و نحوه انجام عملیات FBI پیشینه های مهمی را ایجاد کرد. آنها همچنین سؤالاتی را در باره قدرت دادگاه ها در تنظیم امنیت سایبری بدون رضایت صاحبان رایانه های هدف گرفته شده مطرح می کنند.
من به عنوان یک محقق امنیت سایبری، این نوع امنیت سایبری را که دفاع فعال لقب داده ام و این که چگونه بخش های دولتی و خصوصی برای امنیت سایبری سال ها به یکدیگر تکیه کرده اند را مطالعه کرده ام. همکاری عمومی و خصوصی برای مدیریت طیف گسترده ای از تهدیدهای سایبری که کشور با آن رو به روست بسیار حیاتی است ، اما این، چالش هایی از جمله تعیین این که دولت تا چه حد می تواند به نام امنیت ملی پیش برود را ایجاد می کند. همچنین برای کنگره و دادگاه ها نظارت بر این عمل متعادل مهم است.
تبادل هک سِروِر
حداقل از ژانویه 2021، گروه های هک کننده در حال استفاده از استخراج های روز صفر - به معنای آسیب پذیری های قبلاً ناشناخته – در Microsoft Exchange برای دسترسی به حساب های ایمیل بوده اند. هکرها از این دسترسی برای درج پوسته های وب استفاده کردند، نرم افزاری که به آنها امکان کنترل از راه دور سیستم ها و شبکه های در معرض خطر را می دهد. ده ها هزار کاربر و سازمان ایمیل تحت تأثیر قرار گرفته اند. یک نتیجه، حملات باج افزار بوده است که پرونده های قربانیان را رمز گذاری می کند و کلیدهای رمز گشایی آنها را برای باج گرفتن نگه می دارد.در خارج از ایالات متحده - به ویژه در چین و روسیه - اقدامات سایبری بخشی از مفهوم گسترده تری از جنگ اطلاعاتی تلقی می شود.در تاریخ 2 مارس 2021، مایکروسافت اعلام کرد که یک کد گروه هکری به نام هافنیوم در حال استفاده از استخراج های روز صفر چندگانه ای برای نصب پوسته های وب با نام پرونده ها و مسیرهای منحصر به فرد بوده است. حذف کد مخرب حتی با استفاده از ابزارها و پچ هایی که شرکت های مایکروسافت و امنیت سایبری برای کمک به آسیب دیدگان منتشر کرده اند، برای مدیران چالش برانگیز است.
تصویر: مردی جلوی دیواری پوشیده از نمایشگرهای رایانه ایستاده است که نقشه های جهان را نشان می دهند. شرکت امنیت سایبری FireEye در حال پاسخ گویی به سیل حملات سایبری، از جمله چندین مورد هدف قرار دادن نرم افزار ایمیل شرکت های پرکاربردMicrosoft Exchange ، بوده است. عکس AP / ناتان الگرن
FBI به صدها نفر از این سرورهای نامه در شبکه های شرکتی دسترسی دارد. حکم جستجو به FBI اجازه می دهد تا به پوسته های وب دسترسی پیدا کند، رمز عبور قبلاً کشف شده را برای یک پوسته وب وارد کند، برای داشتن مدارک و شواهد کپی بگیرد و سپس پوسته وب را حذف کند. ولی FBI مجاز به حذف هر بد افزار دیگری نبوده است که ممکن است هکرها در هنگام نقض نصب کرده باشند یا در غیر این صورت به محتوای سرورها دسترسی پیدا کند.
آن چه این مورد را منحصر به فرد می کند، هم دامنه اقدامات FBI برای حذف پوسته های وب است و هم نفوذ بی سابقه در رایانه های شخصی و بدون رضایت صاحبان آن. FBI به دلیل وجود تعداد زیادی سیستم محافظت نشده در سراسر شبکه های ایالات متحده و اورژانسی بودن رفع تهدید، بدون کسب رضایت این عملیات را انجام داد.
جان دِمِرس، دادستان کل کشور، در بیانیه ای گفت که این اقدام تعهد وزارت دادگستری در استفاده از "همه ابزارهای قانونی ما" را نشان می دهد.
سطح بعدی پیچیدگی فیشینگ نیزه ای است. در این جا افراد با پیام هایی هدف قرار می گیرند که شامل اطلاعات ویژه آنها یا سازمان هایشان است، و این احتمال بیشتر می شود که کسی روی پیوند مخرب کلیک کند.با توجه به تعدیل این رقم در اسناد دادگاه، تعداد کل شرکت های در معرض خطر همچنان مبهم است، اما ممکن است تا 68000 سرور Exchange باشد که به طور بالقوه میلیون ها کاربر ایمیل را تحت تأثیر قرار می دهد. حملات جدید بدافزار به سرورهای Microsoft Exchange همچنان ظاهر می شوند و FBI همچنان اقدامات مجاز دادگاه را برای حذف کد مخرب انجام می دهد.
دفاع فعال
تغییر به سمت استراتژی امنیت سایبری فعال تر ایالات متحده در زمان دولت اوباما با تأسیس فرماندهی سایبری ایالات متحده در سال 2010 آغاز شد. در آن زمان همچنان تاکید بر بازدارندگی توسط انکار بود، به این معنی که کامپیوترها برای هک کردن سخت تر شوند. این شامل استفاده از یک دفاع لایه ای است که به آن دفاع در عمق نیز گفته می شود، برای این که نفوذ به شبکه ها دشوارتر، گران تر و زمان بر شود.راه حل دیگر این است که به دنبال هکرها بروید، استراتژی ای که به عنوان دفاع رو به جلو خوانده می شود. ان چنان که در اقدامات ایالات متحده علیه گروه های روسی در چرخه انتخابات 2018 و 2020 که در آن پرسنل فرماندهی سایبری ایالات متحده فعالیت های تبلیغاتی آنلاین روسیه را شناسایی و به هم زدند دیده شد، از سال 2018، دولت ایالات متحده دفاع رو به جلو را افزایش داده است.
دولت بایدن این روند را همراه با تحریم های جدید علیه روسیه در پاسخ به کارزار جاسوسی SolarWinds ادامه داده است. در این حمله، که دولت ایالات متحده به هکرهای متصل به سرویس های اطلاعاتی روسیه نسبت می دهد، از آسیب پذیری های نرم افزار تجاری برای ورود به سازمان های دولتی ایالات متحده استفاده شده است. این اقدام جدید FBI به نحو مشابه محدودیت های دفاع فعال را کنار می زند، در این مورد برای پاک سازی پیامدهای تخلفات داخلی، هرچند بدون آگاهی - یا رضایت - از سازمان های آسیب دیده.
قانون و دادگاه ها
قانون کلاهبرداری و سوء استفاده رایانه ای، دسترسی بدون اجازه به رایانه را غیر قانونی می داند، اگر چه این قانون در مورد دولت اعمال نمی شود.FBI به لطف تغییر در سال 2016 به قاعده 41 آئین دادرسی کیفری فدرال، این قدرت را دارد که بدون کسب مجوز، کدهای مخرب را از رایانه های شخصی پاک کند. این تجدید نظر تا حدی به این منظور طراحی شده است که دولت ایالات متحده بتواند با سهولت بیشتری با روبو شبکه ها مبارزه کند و به تحقیقات جرایم اینترنتی دیگر در موقعیت هایی که مکان عاملان ناشناخته مانده کمک کند. این امر به FBI اجازه می دهد تا به رایانه های خارج از صلاحیت حکم جستجو دسترسی یابد.
حملات فیشینگ از اوایل سال 2020 به طور کلی در حال افزایش است - این یک عارضه جانبی ناشی از بیماری همه گیر در محیط کار از خانه استاین اقدام، سابقه و قدرت تبدیل شدن دادگاه ها به تنظیم کننده های امنیت سایبری را که می توانند وزارت دادگستری را برای پاک کردنِ استقرارهای گسترده از نوع کدهای مخرب مشاهده شده در هکExchange قدرتمند کنند، برجسته می سازد. به عنوان مثال، در سال 2017، FBI با استفاده از قانون 41 توسعه یافته یک روبو شبکه جهانی را که اطلاعات قربانیان را جمع آوری می کرد و از رایانه های آنها برای ارسال ایمیل های هرزنامه استفاده می کرد، پایین آورد.
مسائل مهم حقوقی همراه با عملکرد فعلی FBI هنوز حل نشده است. یکی از انها مسئله مسئولیت است. اگر مثلاً در روند حذف کد مخرب توسطFBI ، رایانه های خصوصی آسیب ببینند، چه می شود؟ مسئله دیگر این است که چگونه در مواردی از این دست حقوق مالکیت خصوصی در برابر نیازهای امنیت ملی متعادل شود. آن چه روشن است، این است که تحت این اختیار، FBI می تواند کامپیوترها را به میل خود و بدون نیاز به یک حکم جستجوی خاص، هک کند.
امنیت ملی و بخش خصوصی
راب جویس، مدیر امنیت سایبریNSA ، گفت که امنیت سایبری امنیت ملی است. این گفته ممکن است غیر قابل بحث باشد. اما این امر نشان دهنده تغییر در مسئولیت دولت در مورد امنیت سایبری است که عمدتا به بخش خصوصی سپرده شده است.بیشتر زیرساخت های مهم ایالات متحده، که شامل شبکه های رایانه ای است، در اختیار افراد خصوصی است. با این حال شرکت ها همیشه برای محافظت از مشتریان خود سرمایه گذاری های لازم را انجام نداده اند. این موضوع این سؤال را مطرح می کند که آیا در بازار سایبری که انگیزه های اقتصادی کافی نبوده تا بتواند به اندازه کافی از دفاع سایبری برخوردار باشد، شکست بازار وجود داشته است؟ با اقداماتFBI ، دولت بایدن به طور ضمنی چنین شکست بازاری را تأیید می کند.
چندین محقق امنیت سایبری گزارش دادند که آنها قربانی حمله شدند.
کره شمالی و امنیت سایبری
تصویر: کره شمالی سابقه طولانی در زمینه اهداف هک در ایالات متحده دارد. Chris Price / Flickr ، CC BY-ND
هکرهای کره شمالی یک حمله جسورانه انجام داده اند و محققان امنیت سایبری را هدف قرار داده اند، که بسیاری از آنها برای مقابله با هکرها از مکان هایی مانند کره شمالی، روسیه، چین و ایران کار می کنند. این حمله شامل تلاش های پیچیده ای برای فریب افراد خاص بود که سطح مهندسی اجتماعی یا حملات فیشینگ را بالا می بَرَد و وارد حوزه تجارت جاسوسی می شود.
این حمله، که توسط محققان گوگل گزارش شد، مربوط به حساب های جعلی شبکه های اجتماعی در سیستم عامل ها از جمله توییتر بود. شخصیت های جعلی که خود را به عنوان هکرهای اخلاقی نشان می دهند، با پیشنهادات همکاری در زمینه تحقیقات با محققان امنیتی تماس گرفتند. حساب های رسانه های اجتماعی شامل مطالبی در مورد امنیت سایبری و فیلم های جعلی بود که ادعا می شود آسیب پذیری های جدید امنیت سایبری را نشان می دهند.
هکرها محققان را ترغیب کردند تا روی پیوندهای پروژه های کد مشترک - مخازن نرم افزارهای مرتبط با تحقیقات امنیت سایبری - کلیک کنند که حاوی کد مخربی است که برای دسترسی هکرها به رایانه محققان طراحی شده است. چندین محقق امنیت سایبری گزارش دادند که آنها قربانی حمله شدند.
از فیشینگ گرفته تا جاسوسی
پایین ترین سطح هک مهندسی اجتماعی، یک حمله فیشینگ معمولی است: پیام های غیر شخصی که برای بسیاری از افراد ارسال می شود به این امید که کسی فریب خورده و روی پیوند مخرب کلیک کند. حملات فیشینگ از اوایل سال 2020 به طور کلی در حال افزایش است - این یک عارضه جانبی ناشی از بیماری همه گیر در محیط کار از خانه است که در آن مردم گاهی اوقات کمتر هوشیار هستند. به همین دلیل است که باج افزار رایج شده است.سطح بعدی پیچیدگی فیشینگ نیزه ای است. در این جا افراد با پیام هایی هدف قرار می گیرند که شامل اطلاعات ویژه آنها یا سازمان هایشان است، و این احتمال بیشتر می شود که کسی روی پیوند مخرب کلیک کند.
این حمله شامل تلاش های پیچیده ای برای فریب افراد خاص بود که سطح مهندسی اجتماعی یا حملات فیشینگ را بالا می بَرَد و وارد حوزه تجارت جاسوسی می شود.عملیات کره شمالی در سطح بالاتری نسبت به فیشینگ نیزه ای است زیرا افرادی را هدف قرار می دهد که از نظر ماهیت شغلی دارای امنیت هستند. این، هکرها را ملزم به ایجاد حساب های متقاعد کننده در شبکه های اجتماعی کامل با محتوای مربوط به امنیت سایبری، از جمله فیلم ها، می کند که بتواند محققان امنیت سایبری را گول بزند.
این عملیات کره شمالی سه روند مهم را برجسته می کند: سرقت سلاح های سایبری از صنعت، رسانه های اجتماعی به عنوان سلاح، و تیرگی جنگ سایبری و اطلاعاتی.
1- سرقت اسلحه های سایبری از صنعت
قبل از عملیات کره شمالی، سرقت سلاح های سایبری در اواخر سال 2020 خبرساز شد. به طور خاص، نقض FireEye در دسامبر منجر به سرقت ابزارهای مورد استفاده توسط هکرهای اخلاقی شد. از این ابزارها برای شکستن امنیت مشتریان شرکتی استفاده شد تا آسیب پذیری های مشتریان را نشان دهند.این حادثه قبلی، منتسب به روسیه، نشان می دهد که چگونه هکرها با سرقت از یک شرکت امنیت سایبری تجاری سعی کردند زرادخانه اسلحه های اینترنتی خود را افزایش دهند. اقدام کره شمالی علیه محققان امنیتی نشان می دهد که آنها استراتژی مشابهی را اتخاذ کرده اند، البته با تاکتیک متفاوت.
در پاییز، آژانس امنیت ملی لیست آسیب پذیری ها - راه های هک نرم افزار و شبکه ها - را که توسط هکرهای تحت حمایت دولت چین مورد استفاده قرار گرفت، فاش کرد. علیرغم این هشدارها، آسیب پذیری ها همچنان پابرجا بوده و اطلاعات مربوط به نحوه بهره برداری از آنها را می توان در شبکه های اجتماعی و شبکه تاریک یافت. این اطلاعات به اندازه کافی واضح و دقیق بود که شرکت من، CYR3CON ، قادر به استفاده از یادگیری ماشین برای پیش بینی استفاده از این آسیب پذیری ها بود.
2- سلاح سازی از شبکه های اجتماعی
عملیات اطلاعاتی - جمع آوری اطلاعات و انتشار اطلاعات نادرست - در رسانه های اجتماعی در سال های اخیر به ویژه در روسیه انجام شده است. این شامل استفاده از "روبات های اجتماعی" برای انتشار اطلاعات نادرست است. این "رسانه های اجتماعی بیماری زا" توسط عوامل اطلاعات ملی و هکرهای معمولی مورد استفاده قرار گرفته است.شرکت ها همیشه برای محافظت از مشتریان خود سرمایه گذاری های لازم را انجام نداده اند.به طور سنتی، این نوع هدف گذاری به گونه ای طراحی شده است که یا اطلاعات نادرست را منتشر می کند و یا یک کارمند اجرایی یا عالی رتبه دولت را مجاب می کند تا روی پیوند مخرب کلیک کند. در مقابل، عملیات کره شمالی با هدف سرقت سلاح های سایبری و اطلاعات مربوط به نقاط آسیب پذیر بود.
3- تلاقی جنگ سایبری و اطلاعاتی
در خارج از ایالات متحده - به ویژه در چین و روسیه - اقدامات سایبری بخشی از مفهوم گسترده تری از جنگ اطلاعاتی تلقی می شود. به ویژه روس ها در ترکیب عملیات اطلاعاتی و عملیات سایبری اثبات کرده اند که بسیار ماهرند. جنگ اطلاعاتی شامل استفاده از تجارت سنتی جاسوسی است - فعالانی با هویت کاذب که سعی در جلب اعتماد اهداف خود دارند - برای جمع آوری و انتشار اطلاعات.حمله علیه محققان امنیت سایبری می تواند نشانگر این باشد که کره شمالی از این قدرت های دیگر نشانه می گیرد. توانایی کم هزینه کشورهای کمتر توسعه یافته ای مثل کره شمالی در سلاح سازی از رسانه های اجتماعی، مزیتی را در برابر توانایی های فنی بسیار بیشتر ایالات متحده ایجاد می کند.
امنیت سایبری امنیت ملی است.علاوه بر این، به نظر می رسد کره شمالی از یکی از با ارزش ترین سلاح های سایبری خود در این عملیات استفاده کرده است.. گوگل گزارش داد که به نظر می رسد هکرها از حمله به محققان امنیت سایبری در مرورگر کروم Google از نقص نرم افزاری که به طور گسترده ای شناخته نشده است، با استفاده از آسیب پذیری روز صفر استفاده کرده اند. به محض استفاده از چنین استخراجی، افراد برای دفاع در برابر آن هشدار داده می شوند و لذا بسیار کم اثر می شود.
آماده سازی صحنه برای چیزی بزرگ تر؟
در امنیت سایبری، اخبار مهم، رویدادهایی مانند عملیات Sunburst توسط هکرهای روسی در ماه دسامبر است - حملات سایبری گسترده ای که خسارات زیادی وارد آورد. در این حمله، هکرهای روسی برای نرم افزار پرکاربردی تله گذاشتند که این به آنها جازه دسترسی به شبکه های شرکت های متعدد و سازمان های دولتی را داد.این رویدادهای بزرگ غالباً توسط رویدادهای کوچک تر که در آنها تکنیک های جدید آزمایش می شود - اغلب بدون تأثیر زیاد - انجام می شود. در حالی که زمان مشخص خواهد کرد که آیا این امر در مورد عملیات کره شمالی صحت دارد یا نه، اما سه روند فعلی - سرقت سلاح های سایبری از صنعت، رسانه های اجتماعی به عنوان سلاح، و تاریک شدن جنگ سایبری و اطلاعاتی - منادی خبرهای آینده هستند.
همکاری عمومی و خصوصی برای مدیریت طیف گسترده ای از تهدیدهای سایبری که کشور با آن رو به روست بسیار حیاتی است.
منبع: اسکات شاکلفورد، Indiana University، پائولو شکاریان، Arizona State University
