از حملات DDoS ارتش فناوری اطلاعات اوکراین گرفته تا بدافزارهای سفارشی، این کشور بهطور بیسابقهای به یک قربانی حملات سایبری تبدیل شده است.
هر روز، اغلب حوالی ساعت 5 صبح بهوقت محلی، کانال تلگرامی که ارتش فناوری اطلاعات بیسابقه هکرهای اوکراین را در خود جای داده است، فهرست جدیدی از اهدافی را که مورد هدف قرار داده است، منتشر میکند.
این گروه داوطلبانه از زمان شروع جنگ، وبسایتهای روسی را با استفاده از حملات توزیع شده DDoS آفلاین میکند. DDoS نوعی حمله است که وبسایتها آنقدر درخواستهای ترافیکی دریافت میکنند تا بهطور کلی غیرقابل دسترسی شوند.
خدمات پرداخت آنلاین روسیه، ادارات دولتی، شرکتهای هوانوردی، و شرکتهای تحویل غذا، همگی توسط ارتش فناوری اطلاعات هدف قرار گرفتهاند؛ زیرا هدف این حملات بهطور کلی برهم زدن زندگی روزمره در روسیه است. اپراتورهای کانال تلگرامی تحت حمایت دولت پس از یک حمله سنگین، این خبر را در اواسط آوریل منتشر کردند:
روسها امروز متوجه مشکلات منظم و اذیتکنندهای در سرویسهای پخش تلویزیونی شدهاند.
از زمانی که روسیه در پایان فوریه به اوکراین حمله کرد، این کشور با رگبار بیسابقهای از فعالیتهای هکری مواجه شده است. هکتیویستها، نیروهای اوکراینی و افراد خارجی از سراسر جهان که در ارتش فناوری اطلاعات شرکت میکنند، روسیه و تجارت آن را مورد هدف قرار دادهاند. حملات DDoS بخش اعظم این اقدام را تشکیل میدهند، اما محققان بهتازگی باجافزاری را شناسایی کردهاند که برای هدف قرار دادن روسیه طراحی شده است و بهدنبال باگ در سیستمهای روسی است که میتواند منجر به حملات پیچیدهتری شود.
جالب است که همهی این حملهها در حالی است که بسیاری از مجرمان سایبری و گروههای باجافزار با روسیه دوستی دارند و این کشور را مورد هدف قرار نمیدهند. Stefano De Blasi، تحلیلگر اطلاعات تهدیدات سایبری در شرکت امنیتی Digital Shadows میگوید:
روسیه معمولاً یکی از کشورهایی است که حملات سایبری از آنجا انجام میشود و تا قبل از این اتفاقات، مورد حملهی جدی قرار نگرفته است.
در آغاز جنگ، DDoS بهطرز افسارگسیختهای زیاد بود؛ بر اساس تجزیهوتحلیل شرکت امنیت سایبری روسیه Kaspersky، سطوح بیسابقهای از حملات DDoS در سه ماه اول سال 2022 ثبت شده است. هم روسیه و هم اوکراین از DDoS برای ایجاد اختلال در سرویسهای یکدیگر استفاده کردهاند، اما تلاشها علیه روسیه نوآورانهتر و بسیار طولانیتر بوده است و هنوز که هنوز است ادامه دارد.
شرکتهای فناوری اوکراینی بازی پازل 2048 را به روشی ساده برای راهاندازی حملات DDoS تبدیل کردهاند و ابزارهایی را توسعه دادهاند که به هر کسی اجازه میدهد بدون توجه به هیچ دانش فنی به این عمل بپیوندد. در پیامی که در 24 مارس به کانال تلگرام ارتش فناوری اطلاعات ارسال شد، آمده است:
هرچه بیشتر از ابزارهای اتوماسیون حمله استفاده کنیم، حملاتمان قویتر میشود.
اپراتورهای کانال از مردم میخواهند که از VPN برای پنهان کردن منطقه خود استفاده کنند و از محافظتهای DDoS اهداف خود جلوگیری کنند. شایان ذکر است که در اواخر ماه آوریل، ارتش فناوری اطلاعات وبسایت خود را راهاندازی کرد که شمال لیستی از اهدافی است که هنوز آنلاین هستند و قرار است بهزودی از دسترس خارج شوند.
Dmytro Budorin، مدیر عامل استارتاپ امنیت سایبری اوکراینی Hacken میگوید:
ما موفقیتهای خوبی کسب کردهایم و بسیاری از وبسایتهای مهم را از دسترس خارج کردهایم.
وقتی جنگ شروع شد، Budorin و همکارانش یکی از ابزارهای ضد DDoS شرکتی به نام disBalancer را تغییر دادند تا بتوان از آن برای راهاندازی حملات DDoS گسترده استفاده کرد.
در حالی که تحلیل Kaspersky میگوید که با پیشرفت جنگ، تعداد DDoS در سراسر جهان به سطح عادی بازگشته است، اما حملات اخیر بسیار طولانیتر هستند و بهجای چند دقیقه ساعتها ادامه دارند. محققان متوجه شدهاند که طولانیترین حمله بیش از 177 ساعت در طول یک هفته زمان سپری کرده است. Kaspersky در ادامهی تحلیل خود میگوید:
حملات بدون توجه به اثربخشی ادامه پیدا خواهند کرد.
قابل توجه است که در 25 مارس، دولت ایالات متحده Kaspersky را به لیست تهدیدات امنیت ملی خود اضافه کرد؛ این شرکت بعدا گفت که از این تصمیم ناامید شده است. آژانس امنیت سایبری آلمان نیز در 15 مارس نسبت به استفاده از نرمافزار Kaspersky هشدار داد، اگرچه این کار به این صورت انجام نشد و بهطور کامل از دسترس خارج شد. این شرکت گفت که معتقد است این تصمیم بر مبنای فنی گرفته نشده است.
Budorin میگوید DDoS برای کمک به اوکراینیها برای مشارکت در جنگ از راههای دیگری غیر از جنگ مفید بوده است و ذکر میکند که که هر دو طرف حملات سایبری خود را بهطور چشمگیری بهبود بخشیدهاند. همچنین او اعتراف میکند که DDoS ممکن است تأثیر زیادی بر جنگ نداشته باشد؛ Budorin در اینباره گفت:
این امر تأثیرات زیادی در مورد هدف نهایی ندارد و هدف نهایی متوقف کردن جنگ است.
از زمانی که روسیه تهاجم تمام عیار خود را به اوکراین آغاز کرد، بسیاری از هکرهای این کشور که در تلاش برای ایجاد اختلال در سیستمهای برق در اوکراین، استقرار بدافزار در پایگاههای داده اوکراینی و راهاندازی حملات سایبری علیه دولت اوکراین بودند، دستگیر شدند. با این حال، مقامات اوکراینی اکنون میگویند که شاهد کاهش فعالیتهای سایبری روسیه علیه خود بودهاند. Yurii Shchyhol، رئیس آژانس امنیت سایبری اوکراین و سرویس دولتی ویژه ارتباطات و حفاظت اطلاعات، در بیانیهای در 20 آوریل گفت:
کیفیت حملات اخیراً کاهش یافته است و دلیل آن این است که دشمن نمیتواند آنقدر که لازم است خود را برای حملات آماده کند. دشمن اکنون بیشتر وقت خود را صرف محافظت از خود میکند، زیرا سیستمهای آنها با توجه حملات اخیر بسیار آسیبپذیر هستند.
بودورین میگوید که، فراتر از چرخش فناوری شرکتش برای کمک به راهاندازی حملات DDoS، یک برنامه پاداش برای پیدا کردن باگها نیز ایجاد کرده است تا افراد بتوانند نقصهای امنیتی در سیستمهای روسی را پیدا کرده و گزارش دهند. او میگوید که تاکنون بیش از 3000 گزارش ارائه شده است. او ادعا میکند که این گزارشها شامل جزئیات پایگاههای اطلاعاتی لو رفته، اطلاعات ورود به سیستم و موارد بسیار مهمتری است که در آن کد میتواند از راه دور در سیستمهای روسی اجرا شود. بودورین میگوید که این شرکت آسیبپذیریها را تأیید میکند و آنها را به مقامات اوکراینی منتقل میکند. او میگوید:
شما از در اصلی نمیگذرید، شما از طریق دفاتر منطقهای میروید و در این بین باگهای زیادی وجود دارند که میتوانند در راه شما قرار بگیرند.
در حالی که اثر جنگ سایبری در طول درگیری ممکن است خیلی واضح نبوده باشد یا تأثیری را که برخی پیشبینی میکردند نداشته باشد، اما بسیاری از حوادث ممکن است بدون اطلاعرسانی یا اطلاع خارجی اتفاق بیفتند. De Blasi در اینباره میگوید:
من فکر میکنم پیچیدهترین عملیاتهایی که در حال حاضر انجام میشود، جاسوسی است و دلیل آن این است که میتوانیم متوجه بشویم حریف میخواهد چهکاری انجام دهد. البته بعضی وقتها ممکن است لازم باشد سالها منتظر بمانیم تا چیزی در مورد اقدامات حریف خود کشف کنیم.
واضح است که هکریستها و سایرین افراد که به روسیه حمله میکنند صدها گیگابایت داده روسی و میلیونها ایمیل را بهدستآورده و منتشر کردهاند؛ این فایلها ممکن است به کشف بخشهایی از کشور روسیه کمک کنند. لوتم فینکلشتاین، مدیر اطلاعات و تحقیقات تهدیدات در شرکت امنیت سایبری اسرائیلی چکپوینت تأیید میکند که حملات بسیار بیشتری در راه خواهند بود.
در اوایل ماه مارس، نوع جدیدی از باجافزار کشف شد. در حالی که بیشتر گروههای باجافزار با روسیه دوستی دارند، چیزی که برای گروه باجافزار Conti در هنگام حمایت از پوتین گران تمام شد، باجافزاری جدید برای دنبال کردن سازمانهای روسی بود. بر اساس تجزیهوتحلیل شرکت امنیتی Trend Micro، در یادداشت کد این باجافزار آمده است:
من، خالق RU_Ransom، این بدافزار را برای آسیب رساندن به روسیه ایجاد کردهام. این بدافزار میتواند بهعنوان یک کرم منتشر شود و میتواند سیستمهای داده را پاک کند.
اگرچه تا اوایل ماه مارس، محققان هنوز استفاده از آن را در دنیای واقعی کشف نکرده بودند، فینکلشتاین میگوید:
بسیار نادر است که باجافزاری را ببینیم که بهطور خاص روسیه را هدف قرار میدهد. روسیه اکنون حملاتی را تجربه میکند که عادت به دیدن آنها ندارند.
در حالی که حملات سایبری علیه روسیه افزایش یافته است، اشاراتی وجود دارد که ممکن است این کشور را در مسیر انزوای اینترنتی بیشتر سوق دهد. در چند سال گذشته، مقامات روسیه از ایجاد اینترنت مستقل و جدا شدن از سیستم جهانی صحبت کردهاند. هنگامی که حملات DDoS شروع شد، به نظر میرسید که روسیه به وبسایتهای دولتی حمله میکند و در ابتدای ماه مارس، طبق گزارشهای رسانه ملی، وزارت توسعه دیجیتال این کشور به وبسایتها گفت اقدامات امنیت سایبری خود را بهبود بخشیدهاند و کنترل نام دامنههای خود را حفظ میکنند.
Lukasz Olejnik، محقق و مشاور مستقل امنیت سایبری میگوید:
من معتقدم که قطعی کامل اینترنت حتی در شرایط حاضر نیز یک رویکرد افراطی است. علاوه بر این، دولت ظاهراً همچنان بهطور واضحی انکار میکند و طوری رفتار می کند که گویی هیچ اتفاق مهمی در اثر حملات سایبری و یا حتی به دلیل تحریم های غرب رخ نداده است.
علیرغم گفتهی او، Olejnik میگوید، روسیه همچنان به سمت هدف بلندمدت خود یعنی اینترنت مستقل پیش میرود.