مسئولیت وزارت اطلاعات در حمله به زیرساخت‌های کشور آلبانی

روز چهارشنبه ۱۶ شهریور ۱۴۰۱، ادی راما، نخست‌وزیر آلبانی اعلام کرد که کشورش روابط خود را با ایران قطع کرده و به دیپلمات‌های ایرانی دستور داد که ظرف ۲۴ ساعت خاک این کشور را ترک کنند. او جمهوری اسلامی ایران را متهم کرد که روز ۲۴ تیر ۱۴۰۱ حمله‌ای سایبری علیه نهادهای دولتی آلبانیایی انجام داده‌است:

«این واکنش شدید… کاملاً متناسب با شدت و خطر حمله سایبری است که تهدید به فلج کردن خدمات عمومی، پاک کردن سیستم‌های دیجیتال و هک کردن سوابق دولتی، سرقت ارتباطات الکترونیکی داخلی دولت و ایجاد هرج و مرج و ناامنی در کشور کرده بود.»

ساعاتی بعد، وزارت امور خارجه جمهوری اسلامی ایران، با انتشار بیانیه‌ای اعلام کرد که «اقدام ضدایرانی دولت آلبانی را قویا محکوم می‌کند». در این بیانیه آمده‌است:

«وزارت امور خارجه با مردود شمردن ادعاهای بی‌اساس مطرح‌شده از سوی دولت آلبانی علیه جمهوری اسلامی ایران، تصمیم این کشور به قطع روابط سیاسی با کشورمان براساس چنین ادعاهای بی‌پایه‌ای را اقدامی نسنجیده و فاقد دوراندیشی در روابط بین‌المللی دانست.»

ساعاتی بعد، کاخ سفید در بیانیه‌ای شدیداللحن از موضع نخست‌ وزیر آلبانی به عنوان متحد ایالات متحده (در پیمان آتلانتیک شمالی - ناتو) قویا دفاع کرد. در این بیانیه، آدرین واتسون، سخنگوی شورای امنیت ملی آمریکا، گفت:

«ما به درخواست آقای راما، نخست‌وزیر آلبانی، به روند پاسخگو کردن ایران به این حادثه سایبری بی‌سابقه می‌پیوندیم. ایالات متحده اقدامات بیشتری را انجام خواهد داد تا ایران را در قبال اقداماتی که امنیت متحدان ایالات متحده را تهدید می‌کند و اقدامات مشکل‌ساز، پاسخگو بسازد.»

وزارت خارجه جمهوری اسلامی ایران مجددا در پاسخ به این بیانیه اعلام کرد «اتهامات بی‌پایه و اساس شورای امنیت ملی آمریکا و وزارت خارجه بریتانیا علیه جمهوری اسلامی ایران در خصوص حمله سایبری ادعایی به آلبانی» مردود است.

یک روز بعد، ناتو با انتشار بیانیه‌ای ضمن محکوم کردن این حملات سایبری، اعلام کرد:

«ناتو و متحدانش از آلبانی در تقویت قابلیت‌های دفاع سایبری خود برای مقابله و دفع چنین فعالیت‌های مخرب سایبری در آینده حمایت می‌کنند.»

مطابق ماده ۵ پیمان آتلانتیک شمالی، ناتو:

طرفین توافق می کنند که حمله مسلحانه به یک یا چند عضو از آنها در اروپا یا آمریکای شمالی حمله به همه آنها تلقی می‌شود و در نتیجه آنها توافق می کنند که در صورت وقوع چنین حمله مسلحانه‌‌ای، هر یک از آنها در جهت اعمال حق فردی یا دسته جمعی خود که توسط ماده ۵۱ منشور ملل متحد به رسمیت شناخته شده، در مقابل طرف یا طرف‌های حمله‌کننده با انجام اقداماتی که لازم بدانند، از جمله حملات نظامی به صورت انفرادی یا هماهنگ با سایر طرف‌ها برای بازگرداندن امنیت به منطقه اقیانوس آتلانتیک شمالی کمک خواهند کرد.

در مورد اینکه آیا حمله سایبری ذیل حمله مسلحانه قرار می‌گیرد یا نه، هیچ تعریف حقوقی مشخصی وجود ندارد.

اما واکنش‌ها به این ختم نشد. یک روز بعد از تهدید ناتو علیه جمهوری اسلامی، وزارت خزانه‌داری ایالات متحده، به بهانه وابستگی گروه هکری APT39 یا شرکت کامپیوتری «محاسبات اطلاعاتی رانا» به وزارت اطلاعات جمهوری اسلامی ایران، اسماعیل خطیب، وزیر اطلاعات دولت ابراهیم رئیسی را در لیست تحریم‌های OFAC قرار داد.

پس از اعلام این تحریم، وزارت خارجه جمهوری اسلامی ایران از طریق سخنگوی خود این طور واکنش نشان داد:

اعلام حمایت فوری آمریکا از اتهام واهی دولت آلبانی به جمهوری اسلامی ایران و اقدام سریع بعدی واشنگتن در تحریم مجدد و مکرر وزارت و وزیر اطلاعات جمهوری اسلامی ایران با توسل به همان اتهام واهی و اثبات نشده، به خوبی گویای آن است که طراح این سناریو نه دولت آلبانی، بلکه دولت آمریکاست و تیرانا قربانی سناریوی طراحی‌شده واشنگتن علیه جمهوری اسلامی ایران شده‌است.

اما آیا مطابق ادعای وزارت امور خارجه جمهوری اسلامی ایران، اتهام مشارکت وزارت اطلاعات در این حمله سایبری به زیرساخت‌های آلبانی «واهی، اثبات‌نشده و بی‌پایه و اساس» است؟ این اتهام چه شواهد و مدارکی به پشتوانه خود دارد؟ 

آیا ادعای آلبانی، ایالات متحده، بریتانیا و ناتو، بی‌پایه و اساس است؟

خیر! حداقل دو شرکت و تیم امنیتی زبده که این حملات را مستقلانه بررسی کرده‌اند ردپای دیجیتال حمله‌کنندگان به آلبانی را شناسایی کرده‌اند و دو شرکت دیگر نیز در سال گذشته وابستگی این حمله‌کنندگان را به وزارت اطلاعات جمهوری اسلامی ایران را نشان داده‌بودند.

نخستین گزارش در این باره را شرکت امنیتی مندیانت (Mandiant) در تاریخ ۱۳ مرداد ۱۴۰۱ منتشر کرد. شرح دقیق جزئیات حمله سایبری روز ۲۴ تیر ماه و ابزارهای به‌کار رفته در این حمله، در این گزارش مفصل دیده می‌شود.

تیم «تجسس و واکنش» شرکت مایکروسافت (DART) از روز ۲۴ تیرماه مسئولیت تجسس درباره این حمله را برعهده گرفت. زیرساخت‌های ابری دولت آلبانی را مایکروسافت تامین کرده و حمله اولیه از یک حفره امنیتی در سرور مایکروسافت شیرپوینت متعلق به دولت آلبانی آغاز شده‌بود. برای همین مایکروسافت (تیم MSTIC) موظف بود این حمله را پیگیری کند. گزارش مایکروسافت، یک روز بعد از قطع روابط دیپلماتیک ایران و آلبانی در ۱۷ شهریور ۱۴۰۱ منتشر شد.

این گزارش نیز بسیار دقیق، فنی و مفصل است و نشان می‌دهد که حملات سایبری از اردیبهشت ۱۴۰۰ آغاز شده و بیش از یک سال تا تیرماه ۱۴۰۱ ادامه داشته‌است. در این گزارش، ردپای ۴ گروه هکری مستقل وابسته به وزارت اطلاعات جمهوری اسلامی ایران آشکار شده‌است.

تحقیقات تیم DART مایکروسافت نشان داد که یکی از این گروه‌ها APT34 مشهور به «بچه گربه ملوس» همان گروهی است که تیم امنیتی شرکت IBM (به‌نام X-Force) در گزارشی در دو سال گذشته اعلام کرد در حمله به سرورهایی در خاورمیانه (ترکیه، اسرائیل، عربستان، امارات، کویت و اردن) نقش داشته‌است. این گروه همچنین سابقه حمله به سرورهای دولت ایالات متحده را نیز داشته‌است.

چند هفته پس از حمله تیرماه ۱۴۰۱، گوگل در گزارشی از نحوه عملیات فیشینگ «بچه گربه ملوس» و همکار دیگرش APT35 در به‌دست گرفتن حساب‌های کاربری جی‌میل، یاهو میل و مایکروسافت اوت‌لوک پرده برداشته‌بود. ای‌میل‌های دولتی آلبانی هم روی سرورهایی بوده که مایکروسافت از آنها پشتیبانی می‌کرده‌است.

در روز ۱۳ خرداد ۱۴۰۱، گروه هکری لب‌دوختگان (ضد جمهوری اسلامی) یکی از روش‌های فیشینگ گروه بچه‌گربه ملوس را در کانال تلگرامش افشا کرد. براساس گزارش تیم DART مایکروسافت، حمله‌کنندگان به آلبانی از همان نرم‌افزار jason.exe که گروه لب‌دوختگان منتشر کرده‌بود در حمله به آلبانی استفاده کرده‌اند.

این تیم هکری یکی از پیشرفته‌ترین تیم‌های هکری دنیاست که ابزارهای به‌روز برای هک و نفوذ به سیستم‌های امنیتی دولت‌های مختلف استفاده می‌کند (لینک۱ و لینک۲). همچنین بنا به تحقیقات گروه مندیانت، گروه APT39 هم روی جاسوسی از طریق اطلاعات شخصی متمرکز است.

حمله سایبری به آلبانی چطور انجام شده‌است؟

مایکروسافت مراحل مختلف این حمله سایبری را این‌طور شناسایی کرده‌است:

• نفوذ اولیه
• استخراج داده‌ها
• رمزگذاری و تخریب داده‌ها
• افشای اطلاعات

براساس تحلیل مایکروسافت، این فعالیت‌ها از اردیبهشت ۱۴۰۰ با استفاده از رخنه امنیتی CVE-2019-0604 در سرورهای مایکروسافت شیرپوینت آغاز شده‌است:

• گروه DEV-0861 دسترسی اولیه را در اردیبهشت ۱۴۰۰ به دست آورد و داده‌ها را استخراج کرد. این فعالیت تا دی ماه ۱۴۰۰ ادامه داشته‌است.
• گروه DEV-0133 زیرساخت‌ها قربانی کاوش کرد.
• گروه DEV-0166 داده‌ها را از سرورهای حیاتی آلبانی استخراج کرد.
• گروه DEV-0842 باج‌افزار و بدافزار پاک‌کننده را روی سرورهای آلبانی نصب کرد.

گروه اول به طور مستقیم و سه گروه بعدی از طریق خوشه‌ای که IBM پیش از این نام آنها را EUROPIUM گذاشته‌بود با وزارت اطلاعات مرتبط هستند.

مایکروسافت در مورد ارتباط این گروه‌ها با وزارت اطلاعات می‌نویسد (این شواهد محدود به موارد زیر نیست):

• مهاجمان در خارج از ایران در حال فعالیت بودند.
• مهاجمانی که مسئول نفوذ و نفوذ داده‌ها هستند، از ابزارهایی استفاده می‌کردند که قبلا توسط مهاجمان شناخته‌شده ایرانی استفاده می‌شد.
• مهاجمانی که مسئول نفوذ هستند، بخش‌ها و کشورهایی را هدف قرار داده‌اند که با منافع ایران سازگار هستند.
• کد پاک‌کن (wiper) پیش از این توسط یک گروه هکری سرشناس ایرانی استفاده می‌شد.
• باج‌افزار با همان گواهی دیجیتالی امضا شد که برای امضای سایر ابزارهای مورد استفاده هکرهای ایرانی استفاده می‌شد.

پس از پایان این حملات، یک گروه هکری با نام Homeland Justice (عدالت وطن) که وب‌سایتش پسوند ru (روسیه) دارد بخشی از اطلاعات سرقت‌شده را منتشر کرد. لوگو و گرافیکی که این گروه منتشر کرده‌است، یک عقاب را نشان می‌دهد که به یک گنجشک که درون ستاره شش پر کشور اسرائیل است، حمله کرده‌است. این گنجشک در حقیقت لوگو گروه «گنجشک درنده» است که سابقه طولانی در حمله به زیرساخت‌های جمهوری اسلامی ایران داشته‌است.

پس از نفوذ و حمله سایبری به زیرساخت‌های کشور آلبانی و از بین رفتن اطلاعات بعضی از سرورهای وابسته به دولت این کشور در ۲۴ تیرماه ۱۴۰۱، آلبانی در ۱۶ شهریور روابط خود را با ایران قطع کرده و به دیپلمات‌های ایرانی دستور داد که ظرف ۲۴ ساعت این کشور را ترک کنند.

ایالات متحده آمریکا، بریتانیا و ناتو هم ایران را عامل این حمله دانستند و وزارت خزانه‌داری آمریکا، به این بهانه، اسماعیل خطیب، وزیر اطلاعات ایران را در لیست تحریم‌های OFAC قرار داد.

اما وزارت امور خارجه ایران در چند بیانیه و پاسخ سخنگویش در روزهای ۱۷ تا ۲۰ شهریور این ادعاها را  «واهی، اثبات‌نشده و بی‌پایه و اساس» دانست.

اما گزارش‌های دقیق فنی تیم‌های امنیتی مایکروسافت و مندیانت به‌همراه گزارش‌های قبلی از آی‌بی‌ام، گوگل و بیت‌دیفندر و … نشان از وابستگی این گروه‌ها به وزارت اطلاعات دارد.

براساس این گزارش‌ها، هکرها در ۴ گروه مجزا که یکی مستقیما به وزارت اطلاعات وابسته بوده و ۳تای دیگری از طریق خوشه‌ای به‌نام EUROPIUM به این وزارت مرتبط هستند، از خارج از ایران، این فعالیت‌ها را انجام می‌دادند.

کد و نرم‌افزار فیشینگ، نرم‌افزار باج‌افزار، و نرم‌افزار پاک‌کننده اطلاعات و گواهی امضای دیجیتالی که در این حملات استفاده شده، پیش از این و هم‌زمان توسط چند گروه هکری وابسته به جمهوری اسلامی در حملاتی مشابه به ایالات متحده، ترکیه، عربستان، امارات، اسرائیل، کویت و اردن نیز استفاده شده‌است.

گزارش مایکروسافت و مندیانت، شواهد صریح و انکارناپذیری از وابستگی این هکرها به جمهوری اسلامی را دربر دارد. بنابراین فکت‌نامه به ادعای وزارت خارجه مبنی بر «واهی، اثبات‌نشده و بی‌پایه و اساس ارتباط هکرها به وزارت اطلاعات» نشان نادرست می‌دهد.