وزارت امور خارجه
اتهامات آمریکا و انگلیس درباره حمله هکرهای وابسته به وزارت اطلاعات به زیرساختهای آلبانی، بیپایه و اساس است.
نادرست
روز چهارشنبه ۱۶ شهریور ۱۴۰۱، ادی راما، نخستوزیر آلبانی اعلام کرد که کشورش روابط خود را با ایران قطع کرده و به دیپلماتهای ایرانی دستور داد که ظرف ۲۴ ساعت خاک این کشور را ترک کنند. او جمهوری اسلامی ایران را متهم کرد که روز ۲۴ تیر ۱۴۰۱ حملهای سایبری علیه نهادهای دولتی آلبانیایی انجام دادهاست:
«این واکنش شدید… کاملاً متناسب با شدت و خطر حمله سایبری است که تهدید به فلج کردن خدمات عمومی، پاک کردن سیستمهای دیجیتال و هک کردن سوابق دولتی، سرقت ارتباطات الکترونیکی داخلی دولت و ایجاد هرج و مرج و ناامنی در کشور کرده بود.»
ساعاتی بعد، وزارت امور خارجه جمهوری اسلامی ایران، با انتشار بیانیهای اعلام کرد که «اقدام ضدایرانی دولت آلبانی را قویا محکوم میکند». در این بیانیه آمدهاست:
«وزارت امور خارجه با مردود شمردن ادعاهای بیاساس مطرحشده از سوی دولت آلبانی علیه جمهوری اسلامی ایران، تصمیم این کشور به قطع روابط سیاسی با کشورمان براساس چنین ادعاهای بیپایهای را اقدامی نسنجیده و فاقد دوراندیشی در روابط بینالمللی دانست.»
ساعاتی بعد، کاخ سفید در بیانیهای شدیداللحن از موضع نخست وزیر آلبانی به عنوان متحد ایالات متحده (در پیمان آتلانتیک شمالی - ناتو) قویا دفاع کرد. در این بیانیه، آدرین واتسون، سخنگوی شورای امنیت ملی آمریکا، گفت:
«ما به درخواست آقای راما، نخستوزیر آلبانی، به روند پاسخگو کردن ایران به این حادثه سایبری بیسابقه میپیوندیم. ایالات متحده اقدامات بیشتری را انجام خواهد داد تا ایران را در قبال اقداماتی که امنیت متحدان ایالات متحده را تهدید میکند و اقدامات مشکلساز، پاسخگو بسازد.»
وزارت خارجه جمهوری اسلامی ایران مجددا در پاسخ به این بیانیه اعلام کرد «اتهامات بیپایه و اساس شورای امنیت ملی آمریکا و وزارت خارجه بریتانیا علیه جمهوری اسلامی ایران در خصوص حمله سایبری ادعایی به آلبانی» مردود است.
یک روز بعد، ناتو با انتشار بیانیهای ضمن محکوم کردن این حملات سایبری، اعلام کرد:
«ناتو و متحدانش از آلبانی در تقویت قابلیتهای دفاع سایبری خود برای مقابله و دفع چنین فعالیتهای مخرب سایبری در آینده حمایت میکنند.»
مطابق ماده ۵ پیمان آتلانتیک شمالی، ناتو:
طرفین توافق می کنند که حمله مسلحانه به یک یا چند عضو از آنها در اروپا یا آمریکای شمالی حمله به همه آنها تلقی میشود و در نتیجه آنها توافق می کنند که در صورت وقوع چنین حمله مسلحانهای، هر یک از آنها در جهت اعمال حق فردی یا دسته جمعی خود که توسط ماده ۵۱ منشور ملل متحد به رسمیت شناخته شده، در مقابل طرف یا طرفهای حملهکننده با انجام اقداماتی که لازم بدانند، از جمله حملات نظامی به صورت انفرادی یا هماهنگ با سایر طرفها برای بازگرداندن امنیت به منطقه اقیانوس آتلانتیک شمالی کمک خواهند کرد.
در مورد اینکه آیا حمله سایبری ذیل حمله مسلحانه قرار میگیرد یا نه، هیچ تعریف حقوقی مشخصی وجود ندارد.
اما واکنشها به این ختم نشد. یک روز بعد از تهدید ناتو علیه جمهوری اسلامی، وزارت خزانهداری ایالات متحده، به بهانه وابستگی گروه هکری APT39 یا شرکت کامپیوتری «محاسبات اطلاعاتی رانا» به وزارت اطلاعات جمهوری اسلامی ایران، اسماعیل خطیب، وزیر اطلاعات دولت ابراهیم رئیسی را در لیست تحریمهای OFAC قرار داد.
پس از اعلام این تحریم، وزارت خارجه جمهوری اسلامی ایران از طریق سخنگوی خود این طور واکنش نشان داد:
اعلام حمایت فوری آمریکا از اتهام واهی دولت آلبانی به جمهوری اسلامی ایران و اقدام سریع بعدی واشنگتن در تحریم مجدد و مکرر وزارت و وزیر اطلاعات جمهوری اسلامی ایران با توسل به همان اتهام واهی و اثبات نشده، به خوبی گویای آن است که طراح این سناریو نه دولت آلبانی، بلکه دولت آمریکاست و تیرانا قربانی سناریوی طراحیشده واشنگتن علیه جمهوری اسلامی ایران شدهاست.
اما آیا مطابق ادعای وزارت امور خارجه جمهوری اسلامی ایران، اتهام مشارکت وزارت اطلاعات در این حمله سایبری به زیرساختهای آلبانی «واهی، اثباتنشده و بیپایه و اساس» است؟ این اتهام چه شواهد و مدارکی به پشتوانه خود دارد؟
خیر! حداقل دو شرکت و تیم امنیتی زبده که این حملات را مستقلانه بررسی کردهاند ردپای دیجیتال حملهکنندگان به آلبانی را شناسایی کردهاند و دو شرکت دیگر نیز در سال گذشته وابستگی این حملهکنندگان را به وزارت اطلاعات جمهوری اسلامی ایران را نشان دادهبودند.
نخستین گزارش در این باره را شرکت امنیتی مندیانت (Mandiant) در تاریخ ۱۳ مرداد ۱۴۰۱ منتشر کرد. شرح دقیق جزئیات حمله سایبری روز ۲۴ تیر ماه و ابزارهای بهکار رفته در این حمله، در این گزارش مفصل دیده میشود.
تیم «تجسس و واکنش» شرکت مایکروسافت (DART) از روز ۲۴ تیرماه مسئولیت تجسس درباره این حمله را برعهده گرفت. زیرساختهای ابری دولت آلبانی را مایکروسافت تامین کرده و حمله اولیه از یک حفره امنیتی در سرور مایکروسافت شیرپوینت متعلق به دولت آلبانی آغاز شدهبود. برای همین مایکروسافت (تیم MSTIC) موظف بود این حمله را پیگیری کند. گزارش مایکروسافت، یک روز بعد از قطع روابط دیپلماتیک ایران و آلبانی در ۱۷ شهریور ۱۴۰۱ منتشر شد.
این گزارش نیز بسیار دقیق، فنی و مفصل است و نشان میدهد که حملات سایبری از اردیبهشت ۱۴۰۰ آغاز شده و بیش از یک سال تا تیرماه ۱۴۰۱ ادامه داشتهاست. در این گزارش، ردپای ۴ گروه هکری مستقل وابسته به وزارت اطلاعات جمهوری اسلامی ایران آشکار شدهاست.
تحقیقات تیم DART مایکروسافت نشان داد که یکی از این گروهها APT34 مشهور به «بچه گربه ملوس» همان گروهی است که تیم امنیتی شرکت IBM (بهنام X-Force) در گزارشی در دو سال گذشته اعلام کرد در حمله به سرورهایی در خاورمیانه (ترکیه، اسرائیل، عربستان، امارات، کویت و اردن) نقش داشتهاست. این گروه همچنین سابقه حمله به سرورهای دولت ایالات متحده را نیز داشتهاست.
چند هفته پس از حمله تیرماه ۱۴۰۱، گوگل در گزارشی از نحوه عملیات فیشینگ «بچه گربه ملوس» و همکار دیگرش APT35 در بهدست گرفتن حسابهای کاربری جیمیل، یاهو میل و مایکروسافت اوتلوک پرده برداشتهبود. ایمیلهای دولتی آلبانی هم روی سرورهایی بوده که مایکروسافت از آنها پشتیبانی میکردهاست.
در روز ۱۳ خرداد ۱۴۰۱، گروه هکری لبدوختگان (ضد جمهوری اسلامی) یکی از روشهای فیشینگ گروه بچهگربه ملوس را در کانال تلگرامش افشا کرد. براساس گزارش تیم DART مایکروسافت، حملهکنندگان به آلبانی از همان نرمافزار jason.exe که گروه لبدوختگان منتشر کردهبود در حمله به آلبانی استفاده کردهاند.
این تیم هکری یکی از پیشرفتهترین تیمهای هکری دنیاست که ابزارهای بهروز برای هک و نفوذ به سیستمهای امنیتی دولتهای مختلف استفاده میکند (لینک۱ و لینک۲). همچنین بنا به تحقیقات گروه مندیانت، گروه APT39 هم روی جاسوسی از طریق اطلاعات شخصی متمرکز است.
مایکروسافت مراحل مختلف این حمله سایبری را اینطور شناسایی کردهاست:
براساس تحلیل مایکروسافت، این فعالیتها از اردیبهشت ۱۴۰۰ با استفاده از رخنه امنیتی CVE-2019-0604 در سرورهای مایکروسافت شیرپوینت آغاز شدهاست:
گروه اول به طور مستقیم و سه گروه بعدی از طریق خوشهای که IBM پیش از این نام آنها را EUROPIUM گذاشتهبود با وزارت اطلاعات مرتبط هستند.
مایکروسافت در مورد ارتباط این گروهها با وزارت اطلاعات مینویسد (این شواهد محدود به موارد زیر نیست):
پس از پایان این حملات، یک گروه هکری با نام Homeland Justice (عدالت وطن) که وبسایتش پسوند ru (روسیه) دارد بخشی از اطلاعات سرقتشده را منتشر کرد. لوگو و گرافیکی که این گروه منتشر کردهاست، یک عقاب را نشان میدهد که به یک گنجشک که درون ستاره شش پر کشور اسرائیل است، حمله کردهاست. این گنجشک در حقیقت لوگو گروه «گنجشک درنده» است که سابقه طولانی در حمله به زیرساختهای جمهوری اسلامی ایران داشتهاست.
پس از نفوذ و حمله سایبری به زیرساختهای کشور آلبانی و از بین رفتن اطلاعات بعضی از سرورهای وابسته به دولت این کشور در ۲۴ تیرماه ۱۴۰۱، آلبانی در ۱۶ شهریور روابط خود را با ایران قطع کرده و به دیپلماتهای ایرانی دستور داد که ظرف ۲۴ ساعت این کشور را ترک کنند.
ایالات متحده آمریکا، بریتانیا و ناتو هم ایران را عامل این حمله دانستند و وزارت خزانهداری آمریکا، به این بهانه، اسماعیل خطیب، وزیر اطلاعات ایران را در لیست تحریمهای OFAC قرار داد.
اما وزارت امور خارجه ایران در چند بیانیه و پاسخ سخنگویش در روزهای ۱۷ تا ۲۰ شهریور این ادعاها را «واهی، اثباتنشده و بیپایه و اساس» دانست.
اما گزارشهای دقیق فنی تیمهای امنیتی مایکروسافت و مندیانت بههمراه گزارشهای قبلی از آیبیام، گوگل و بیتدیفندر و … نشان از وابستگی این گروهها به وزارت اطلاعات دارد.
براساس این گزارشها، هکرها در ۴ گروه مجزا که یکی مستقیما به وزارت اطلاعات وابسته بوده و ۳تای دیگری از طریق خوشهای بهنام EUROPIUM به این وزارت مرتبط هستند، از خارج از ایران، این فعالیتها را انجام میدادند.
کد و نرمافزار فیشینگ، نرمافزار باجافزار، و نرمافزار پاککننده اطلاعات و گواهی امضای دیجیتالی که در این حملات استفاده شده، پیش از این و همزمان توسط چند گروه هکری وابسته به جمهوری اسلامی در حملاتی مشابه به ایالات متحده، ترکیه، عربستان، امارات، اسرائیل، کویت و اردن نیز استفاده شدهاست.
گزارش مایکروسافت و مندیانت، شواهد صریح و انکارناپذیری از وابستگی این هکرها به جمهوری اسلامی را دربر دارد. بنابراین فکتنامه به ادعای وزارت خارجه مبنی بر «واهی، اثباتنشده و بیپایه و اساس ارتباط هکرها به وزارت اطلاعات» نشان نادرست میدهد.