نفوذ هکرهای ایرانی به سرورهای وی پی ان

نفوذ هکرهای ایرانی به سرورهای شبکه‌های مجازی خصوصی که در اختصار وی پی اِن نامیده می‌شوند، مسئله‌ای است که باعث نگرانی شرکت‌های بزرگ در سراسر جهان شده است.

هکرهای ایرانی که اغلب آنها توسط حکومت ایران پشتیبانی می‌شوند، VPN وی پی اِن های “Pulse Secure, Fortinet, Palo Alto,Citrix” را مورد هدف قرار داده‌اند تا از این طریق به شرکت‌های بزرگ نفوذ کنند.

سال ۲۰۱۹ به عنوان سالی که بزرگترین باگ‌های امنیتی در مقیاس بسیار وسیع در سرورهای شرکت‌های ارایه دهنده وی پی اِن همانند شرکت‌هایی که در بالا به آنها اشاره شد افشا شدند، شناخته می‌شود.

در گزارش جدیدی که به تازگی منتشر شده، مشخص شده است که واحدهای هک کننده که توسط حکومت ایران پشتیبانی می‌شوند، سال گذشته اولویت مهمی را برای خود برگزیده بودند که طی آن به محض اینکه باگ‌های وی پی ان در دسترس عموم قرار بگیرند و افشا شوند، از آنها در جهت آلوده کردن سرورهای شرکت‌های ارایه دهنده وی پی ان و قرار دادن « در پشتی» در کمپانی‌های بزرگ در سراسر جهان مبادرت ورزند.

بر اساس این گزارش که توسط شرکت امنیت سایبری ClearSky منتشر شده، هکرهای ایرانی شرکت‌های مختلفی در صنایع انفورماتیک، نفت و گاز، هوانوردی، دولتی و بخش‌های امنیتی را مورد هدف قرار داده بودند.

این گزارش یادآوری می‌کند که هکرهای ایرانی سخت و پیچیده نیستند و نسبت به همتایان روسی، چینی و کره شمالی خود استعداد کمتری در این زمینه دارند.

گزارش کمپانی کلیِراِسکای می‌افزاید که گروه‌های هکر ایرانی توانایی‌های هجومی فنی خود را بهبود داده‌اند و قادر هستند تا در مدت زمان کوتاهی حمله‌های از نوع ”روز اول“  (باگ‌هایی که پس از ارائه یک برنامه شناسایی می‌شود و استفاده کنندگان برنامه‌ها را آپدیت نمی‌کنند) را به سیستم‌های کامپیوتری وارد کنند.

کلیراسکای می‌گوید که در برخی موارد شاهد عملیات هکرهای ایرانی بوده که ظرف چند ساعت پس از افشای عمومی باگ‌های امنیتی باعث بروز نقص فنی در وی پی ان‌ها شده‌اند.

حمله به سیستم سرورهای شرکت‌های ارایه دهنده وی پی ان تابستان گذشته شروع شده، زمانی که جزییات درباره این باگ‌ها به آگاهی عموم رسید، اما در سال ۲۰۲۰ نیز همچنان ادامه دارد.

بنابر گزارش کلیراسکای، هدف از این حملات هکرهای ایرانی، نفوذ به شبکه شرکت‌های بزرگ و حرکت به عمق سیستم‌های داخلی آنها و قرار دادن « در پشتی» برای آسیب زدن به سیستم در آینده بوده است.

در حالی که مرحله اول یا نفوذ، وی پی ان ها را هدف خود قرار داده بود، مرحله دوم یا حرکت به عمق سیستم، نیاز به دارا بودن ابزار و تکنیک‌های پیشرفته‌ای دارد، که نشان دهنده این است که هکرهای ایرانی در سالیان اخیر چگونه پیشرفت کرده‌اند.

مورد دیگری که در گزارش کلیراسکای به آن اشاره شده این است که به نظر می‌رسد گروه‌های ایرانی با یکدیگر همکاری می‌کنند و به عنوان یک فرد یا گروه واحد عمل می‌کنند، مسئله‌ای که در گذشته مشهود نبوده است.

گزارش‌های پیشین درباره فعالیت هکرهای ایرانی نشان از این داشتند که آنها معمولاً به صورت یک گروه منفرد و تک رو عمل می‌کردند.

در این گزارش مشخص شده که حمله اخیرعلیه سرورهای وی پی ان‌ها در سراسر جهان توسط سه گروه هکر ایرانی به نام‌های: اِلفین شَمون، چاه نفت و سوسک علفخوار انجام شده است.

در حال حاضر به نظر می‌رسد که هدف اصلی این حملات، عملیات شناسایی و قرار دادن  « در پشتی» در سیستم برای انجام عملیات نظارت و مراقبتی باشد. با این حال، کلیراسکای از این واهمه دارد که دسترسی به شبکه‌های این شرکت‌های بزرگ می‌توانند در آینده برای ارسال بدافزارهای پاک کننده اطلاعات استفاده شوند و از این طریق باعث خرابکاری در شبکه این شرکت‌ها شده و عملیات تجاری آنها را تعطیل کنند.

امکان وجود چنین سناریویی کم نیست، چراکه از ماه سپتامبر ۲۰۱۹ تاکنون دو حمله بدافزاری برای پاک کردن اطلاعات کشف شده که با هکرهای ایرانی در ارتباط بوده‌اند.      

اوایل همین ماه،  اف بی آی ( پلیس فدرال آمریکا) یک هشدار امنیتی صادر کرد که در آن به بخش خصوصی آمریکا درباره حملات مداوم علیه شرکت‌های نرم‌افزاری مدیریت زنجیره تامین، از جمله شرکت‌های پشتیبانی انرژی و حمل و نقل بین‌المللی هشدار داده بود. در گذشته شرکت‌های بخش زنجیره تامین مورد هدف حملات گروه‌های هکر ایرانی قرار گرفته بودند.

گزارش کمپانی امنیت سایبری کلیراسکای به شرکت‌های ارایه دهنده وی پی ان هشدار می‌دهد که سرورها و شبکه‌های داخلی خود را جهت شناسایی هرگونه آسیب پذیری و وجود هرگونه علامت غیر عادی بررسی کنند.

این گزارش همچنین یادآور شده که ممکن است هکرهای ایرانی هم اکنون نیز منتظر فرصت مناسب باشند تا با افشا شدن نقص فنی وی پی ان‌ها در سطح عموم، مجدداً به آنها حمله کنند.