مجموعه‌های تروریستی پشت حملات سایبری به ایران

حمله سایبری این روزها در سطح جهان تا حدودی تبدیل به ابزاری برای جنگ شده است؛ ابزاری که دیگر نمی‌توان آن را نو نامید، اما شگردهایی که برای این جنگ مجازی به کار گرفته می‌شود، روزبه‌روز جدیدتر می‌شوند. حمله اخیر سایبری که هفته گذشته، شبکه اینترنت کشور را نزدیک به دو ساعت درگیر کرده بود، هرچند در اخبار در دو موج عنوان شد، اما سجاد بنابی، نایب‌رئیس هیئت‌مدیره شرکت ارتباطات زیرساخت، در گفت‌وگو با «شرق» موج دوم آن را رد کرد و گفت که این حمله در قالب یک موج بوده و تا حدود 8 صبح روز بیست‌ویکم بهمن‌ هم ادامه یافت. هرچند این حمله به گفته سردار غلامرضا جلالی، رئیس سازمان پدافند غیرعامل کشور، از سوی آمریکا ساماندهی می‌شد، اما بنابی معتقد است تنها می‌توان از ابزارهایی که مورد استفاده قرار گرفته دریافت که این حملات با پشتوانه دولتی بوده است. او مطرح می‌کند که اغلب این حملات در سال‌های اخیر به سبب مدل حمله و نوع رفتارها و حجم سرمایه‌گذاری واضح است که از سوی یک حکومت پشتیبانی می‌شوند و تأکید می‌کند: «حتی حجم سرمایه‌گذاری و هزینه بالایی که در حمله اخیر DDOS وجود داشت هم نشان‌دهنده این بود که یک یا چند کشور پشت آن هستند». او عمده این حملات را هم از سوی «رژیم صهیونیستی، آمریکا، عربستان و مجموعه‌های تروریستی در این سایز» معرفی کرده، اما از توضیحات بیشتر در مورد مجموعه‌های تروریستی خودداری می‌کند. او همچنین اتفاقات آبان‌ماه و قطع کامل اینترنت و بهره‌گیری از شبکه ملی اطلاعات را تجربه خوبی نمی‌داند، اما می‌گوید خارج از اختیار وزارت ارتباطات است و امیدوار است که دوباره تکرار نشود. بنابی دراین‌باره به‌ نوعی وعده می‌دهد: «دغدغه‌ مقام معظم رهبری هم حضور جریان‌ساز در فضای مجازی است. فضای مجازی که فقط بستر ارتباطی ایرانی‌ها با ایرانی‌ها نیست. بنابراین سیاست نظام هم این نیست که اینترنت کشور را قطع کند».

  اوایل هفته گذشته شاهد یک حمله سایبری و به گفته شما، بزرگ‌ترین حمله سایبری بودیم و بعدا هم اعلام شد که با موج دوم این حمله نیز روبه‌رو بوده‌ایم. کمی بیشتر درباره این حمله توضیح دهید.

حمله DDOS یا همان حمله منع سرویس توزیع‌شده، یک مقصد مشخص (یک سایت، اپلیکیشن یا یک سرویس خاص) از یک‌سری آپی‌های گسترده‌، مورد حمله قرار می‌گیرد. این حملات هم از چند جنس هستند؛ یا دیتای زیادی به آن مقصد ارسال می‌کنند یا درخواست‌های زیادی از آن می‌کنند که ترافیک زیادی را در مقصد ایجاد می‌کند. اتفاقی که در این حملات می‌افتد آن است که سرویس، سرور یا تجهیزات شبکه آن، نمی‌تواند به این حجم از تقاضا پاسخ دهد و از کار می‌افتد. به‌ تبع آن در شرکت زیرساخت، در سرویس‌هایی که به مردم می‌دهیم، ابزارهای دفاعی و مقابله‌ای داریم. حمله DOS یا منع سرویس معمولی، چون از یک آی‌پی مبدأ صورت می‌گیرد، به‌راحتی می‌توان جلوی آن را گرفت و با بلوکه‌کردن آن دیگر دسترسی ندارد که دوباره حمله کند، اما در DDOS که حمله منع سرویس توزیع‌شده است، چون آی‌پی‌های مبدأ بسیار زیاد هستند، نمی‌توان جلوی همه آنها را گرفت. با ابزارهای دفاعی ما که در سامانه سپر دژفا وجود دارد و یک‌سری روش‌ها و تجربیاتی که در شرکت زیرساخت برای مدیریت شبکه داریم، می‌توانیم جلوی حملات DDOS را بگیریم. این حمله اخیر، یک تفاوت عمده با حملات قبلی داشت؛ مقاصد آن نیز بسیار توزیع‌شده بود. این‌طور نبود که به یک سایت مشخص یا سرویس مشخص حمله کنند، بلکه به کل شبکه ترافیک اینترنت ایران حمله می‌کرد. اتفاقی که در این بین افتاد آن بود که تجهیزات شبکه‌ای که ما در گیت‌وی کشور داریم هم از کار می‌افتادند. نتیجه آن بود که کاربرانی که در داخل شبکه بودند، همدیگر را می‌دیدند، اما ارتباطشان با بیرون کشور قطع می‌شد؛ شبیه به قطعی اینترنت. با این تفاوت که در قطعی اینترنت این اتفاق برای کل کشور رخ می‌داد، اما این حمله، محدود بود. تقریبا پس از حمله در 11:44 روز یکشنبه 20 بهمن‌ماه، تقریبا یک ساعت زمان برد تا توانستیم در ساعت 12:40 با این حمله شروع به مقابله کنیم. از ساعت 16:20 بعدازظهر هم اکثر سرویس‌های اینترنتی کاربران نرمال شده بود، اما حمله ادامه داشت و ما هم در حال مقابله بودیم، اما سرویس‌ها برقرار شده بود. 

  موج دوم حمله سایبری بسیار گستره رسانه‌ای داشت، اما شما آن را رد می‌کنید؟

موج دوم نبود، همان حمله تا ساعت 8:40 روز دوشنبه ادامه داشت.

  هم‌زمانی این اتفاق با پرتاب ماهواره ظفر، این گمانه را ایجاد کرده بود که ارتباطی بین این حمله و این رخداد وجود دارد. این گمانه درست است؟

نه هم‌زمانی این دو اتفاق، ارتباطی به یکدیگر ندارد.

  آیا حملاتی داشته‌ایم که با پشتوانه دولت بوده باشد؟

بله. حملات مختلفی داشتیم که برخی از جنس DDOS نیست و از نوع حملات هکری با هدف سرقت اطلاعات و همچنین از‌کار‌اندازی سرویس‌های مختلف است. البته ممکن است برخی حملات با هدف ازکاراندازی نباشد و به دنبال دسترسی هستند که آن دسترسی آسیب‌زاست. تقریبا از سال گذشته تاکنون، دو یا سه حمله داشتیم که توانستیم همه آنها را شناسایی و دفع کنیم.

  ممکن است در این بین اطلاعاتی از سیستم خارج شده باشد؟

این شناسایی‌ها زمانی بوده که هکر در حال شناسایی آسیب‌پذیری‌های ما برای نفوذ بوده است، اما نتوانسته آسیب‌پذیری پیدا کند.

  ما قبلا شاهد چنین دسترسی‌هایی بودیم...

بله حمله هکری به وزارت نفت را داشتیم که برای دسترسی به اطلاعات و نفوذ نبوده، بلکه حمله ازکاراندازی سخت‌افزاری بود که موجب شد دیتابیس‌های وزارت نفت از کار بیفتد. اما حمله‌ای که اتفاق افتاده باشد و ما به‌عنوان شرکت ارتباطات زیرساخت از آن مطلع باشیم و با هدف نفوذ باشد به ما گزارش نشده است. ممکن است یک کسب‌وکار از‌سوی کسب‌وکاری دیگر مورد نفوذ قرار گیرد که در حیطه اختیارات پلیس فتا است. برخی حملات دولتی هم ممکن است صورت گیرد که در اختیارات مرکز راهبردی مدیریت افتا است که زیرمجموعه ریاست‌جمهوری است. در کل چیزی که جدی باشد و منجر به نفوذ در لایه زیرساخت ارتباطات کشور شده باشد، نداشته‌ایم.

  عمده این حملات دولتی از ناحیه کدام کشورها بوده است؟

کشورهای متخاصم. مشکل اصلی آن است که مبدأ اصلی این حملات چندان قابل اثبات نیست. مهم‌ترین فیچر یک هکر آن است که طوری خود را پنهان کند که نتوانید هویت آن را شناسایی کنید. ما به‌واسطه ردپاهایی که در این حملات به جا می‌ماند، ابزارهایی که استفاده می‌شود و اینکه مشابه این ابزارها در حملاتی که بعدها مشخص شده از سوی کدام کشورها بوده است، حدس‌هایی می‌زنیم. اینکه بگوییم مدارک مستندی وجود دارد که حمله از ناحیه کدام کشور بوده است، وجود ندارد. زمان‌هایی که این مستندات وجود داشته، اعلام شده و وزارت امور خارجه در مراجع بین‌المللی از آن کشورها شکایت کرده است. اما اکثر این حملات از مدل حمله و نوع رفتارهای حجم سرمایه‌گذاری واضح است که از سوی یک حکومت پشتیبانی می‌شوند. حتی حجم سرمایه‌گذاری و هزینه بالایی که در حمله اخیر DDOS وجود داشت هم نشان‌دهنده این بود که یک یا چند کشور پشت آن است.

  تشابهاتی که در شیوه رفتاری این حمله دیدید، نشان می‌داد که کدام کشور پشت حمله باشد؟

رژیم صهیونیستی، آمریکا، عربستان و مجموعه‌های تروریستی در این سایز.

  مجموعه‌های تروریستی؟

توضیح بیشتری ندارم.

  شما در توضیحاتی که پیش‌تر دادید تأکید کردید که زیرساخت‌ها آسیب چندانی ندیده. این یعنی شاهد آسیب بوده‌ایم. در کدام بخش‌ها؟

در لایه شبکه، آسیب یعنی یک تجهیز شبکه‌ای از کار بیفتد یا ارتباطی غیرقابل استفاده شود. این اتفاق هیچ‌وقت رخ نداده است، اما وقتی کیفیت اینترنت کاهش می‌یابد، برای کسب‌وکارها و مردم آسیب است. آسیبی که اشاره کردم از نوع دوم است.

  ایران با تحریم مواجه است که امکان بهره‌گیری از تجهیزات به‌روز را به ما نمی‌دهد. در چنین شرایطی چقدر سپر دژفا توانایی مقابله با این حملات را دارد؟

در حوزه امنیت شبکه و تجهیزات امنیت شبکه، تحریمی بسیار جدی داریم. این تحریم در حدی جدی است که می‌توان ادعا کرد به اندازه تحریم‌های نظامی، موشکی، انرژی هسته‌ای و ماهواره‌ای ایران است. ممکن است تجهیز امنیت شبکه آمریکایی در کشور پیدا کنید، اما تجهیز امنیت شبکه‌ای را که در لایه زیرساخت باشد، هیچ‌وقت پیدا نمی‌کنید. تقریبا در همه حوزه‌های امنیت شبکه، چه در حوزه تجهیزات دفاعی و چه در حوزه تجهیزات مقابله‌ای (دفاع فعالانه) همه مبتنی بر تولید داخل است. امروز سامانه دژفا مجموعه‌ای از یک‌سری پروژه‌های ایرانی است که در حوزه‌های مختلف امنیت شبکه کار می‌کنند و شبکه کشور را در مقابل تهدیدات بین‌المللی و حتی داخلی، محافظت می‌کنند. در واقع ممکن است حمله زامبی در داخل کشور شکل بگیرد و سیستم به ویروسی آلوده شده باشد و بدون آنکه کاربر مطلع باشد، به سرویس‌های دیگر حمله کند. دژفا از این موارد هم محافظت می‌کند.

  وقتی شبکه‌های مجازی را رصد می‌کنید در زمان حمله، کاربران می‌گفتند چه کاری است، سامانه دژفا هم همان کاری را می‌کند که شبکه ملی در آبان‌ماه با مردم کرد؛ قطع ارتباط با اینترنت جهانی. واقعا چه فرقی وجود دارد؟

از جهت فنی، تفاوت ماهوی بین اینکه به‌ دلایلی از داخل دسترسی به شبکه بین‌المللی اینترنت قطع شود یا از خارج، وجود ندارد. وقتی دری قفل می‌شود، فرقی نمی‌کند از داخل قطع شده باشد یا خارج. اما در اتفاقات چند روز گذشته یا حمله قبلی که حدود یک‌ماه‌ونیم گذشته دو، سه ‌ساعتی دسترسی به اینترنت جهانی را قطع کرده بود، تفاوت جدی که وجود دارد این است که در هر دوی این نمونه‌ها، اختلال را طوری مدیریت کنیم که کمترین قطعی برای کاربر داخلی به وجود بیاید. اتفاقی که در حال رخ‌دادن بود این بود که IP یک‌سری کاربرها از بیرون کشور مورد حمله قرار می‌گرفت، برای آنکه دسترسی کاربر به شبکه داخلی لااقل باقی بماند، مجبور بودیم یک پورت آن کاربر را به شبکه بین‌الملل محدود و جابه‌جا کنیم تا وقتی که بتوانیم جلوی آن حمله را بگیریم که این اتفاق حدود یک‌ساعتی به‌طول انجامید. بین ساعت 11:45 تا 12:40، نزدیک به 15 درصد کاربران دسترسی به اینترنت نداشتند.

  این قطع دسترسی 25 درصد اعلام شد.

دسترسی تمام 25 درصد به‌صورت کامل قطع نشده بود، بلکه یک‌سری دسترسی‌های آنها محدود شده بود، اما ارتباط حدود 15 درصد کاربران به شبکه بین‌المللی اینترنت به‌کل قطع شده بود، اما شبکه ملی را می‌دیدند. 

  در حال حاضر حمله به مرکز حساسی مثل تأسیسات هسته‌ای نطنز بیشتر ممکن است یا اختلال کلی در فضای اینترنت؟

مشخصا در دو حمله‌ای که در یک سال اخیر صورت گرفت، اهداف مشخصی وجود داشته است. مثلا می‌خواستند یک پایگاه اطلاعاتی در کشور یا یک سرویس دولتی یا عمومی مردم را از کار بیندازند. حمله دولتی همین یک ‌ماه پیش بود که به شبکه دولت انجام شد و اعلام شد، اما یک سال پیش حملات مشخصی روی آژانس‌های مسافرتی انجام شده بود. با این حال، حمله اخیر از این جنس نبود. تلاش می‌شد دسترسی عموم مردم به اینترنت را متأثر کند. می‌خواستند روی تجربه آبان‌ماه کشور سوار شوند و نارضایتی عمومی ایجاد کنند.

  آیا می‌توان مدرک متقنی برای حمله سایبری اخیر ارائه داد؟

سایت‌های داخلی هستند که وضعیت مشاهده شبکه از داخل کشور را نشان می‌دهند. مثلا یکی از این سایت‌ها، بخش رادار شرکت ابرآروان است. این شرکت خصوصی سایتی راه انداخته که در آن، دیتاسنترها در اپراتورهای مختلف چه داخلی و چه خارجی را مانیتور می‌کند. در یکی از توییت‌هایم عکسی از نمودار رادار ابرآروان هم گذاشتم. مدرکی از این روشن‌تر؟

  به‌تازگی در برخی نقاط کشور با قطعی تلفن همراه اول و همین‌طور اینترنت آن روبه‌رو بودیم که با پیگیری مشخص شد ارتباطی با اپراتورها ندارد و به زیرساخت بازمی‌گردد. مشکل چه بود؟

موارد مختلفی در ماه‌های اخیر بوده که قطعی‌های مختلفی در لایه‌های مختلف شبکه پیش آمده ولی از یک سال پیش تاکنون شرکت زیرساخت همه اختلالاتی که کاربران را تحت تأثیر قرار داده است، اطلاع‌رسانی کرده و اگر مورد دیگری بوده، در لایه اپراتور بوده است نه زیرساخت.

  از این بعد که یک‌سری داده‌ها باید روی شبکه ملی اطلاعات برود مثل داده‌های سامانه شفافیت دارایی مسئولان، فیش حقوقی کارکنان دولت و ...، منطقی است، اما نگرانی کنونی عموم مردم آن است که دوباره بستر اینترنت را روی بستر شبکه ملی اطلاعات ببرید. این اتفاق می‌افتد؟

همین الان هم مردم روی شبکه ملی اطلاعات هستند. قطع اینترنت در آبان‌ماه، ناشی از الزامات امنیتی بین مسئولان امنیتی کشور بوده و شورای امنیت کشور تصمیم گرفته درباره این دغدغه اقدامی انجام دهد و دسترسی اینترنت اپراتورها را ببندد که البته اقدامی موقتی بود. این‌طور نیست که در شرایط عمومی، اینترنت کشور را قطع کنیم. شبکه ملی اطلاعات، به‌معنای قطع اینترنت و اینترانت و محدودسازی نیست. شرایط امنیتی‌ای که رخ داد، شرایط امنیتی خاص است و مشابه آن هم در همه دنیا رخ داده است.

  اگر یادتان باشد، اعلام شد اتفاقی نادر در جهان و اولین نمونه کامل قطع اینترنت در سطح جهان بود...

نه در فرانسه، در آمریکا و جاهای دیگر هم رخ داده است. مثلا وقتی در فرانسه اینترنت یک استان را قطع می‌کردند، از سرویس‌های داخلی خودشان هم نمی‌توانستند استفاده کنند. بله، از این منظر نمونه خاص بودیم که وقتی به دلایل امنیتی اینترنت کشور قطع شده بود، شبکه داخلی کشور برقرار بود. دغدغه‌ مقام معظم رهبری هم حضور جریان‌ساز در فضای مجازی است. فضای مجازی که فقط بستر ارتباطی ایرانی‌ها با ایرانی‌ها نیست. بنابراین سیاست نظام هم این نیست که اینترنت کشور را قطع کند.

  رجوع به بستر شبکه ملی اطلاعات به نظر شما تجربه موفقی بود؟

بالاخره نیازهای کاربران به ارتباطات بین‌المللی برآورده نمی‌شد. به همان دلایلی که همه می‌گفتند، کاربران نمی‌توانستند جست‌وجویی ساده داشته باشند. افراد دانشگاهی نمی‌توانستند به مقالات خود دسترسی داشته باشند. مردم عادی نمی‌توانستند به شبکه‌های اجتماعی دسترسی داشته باشند. این دغدغه را می‌فهمم که عده‌ای می‌خواهند در تنور این اتفاق بدمند برای آنکه این آتش روشن بماند. تجربه خوبی برای مردم نبود و کسی در آن شکی ندارد و آن را انکار نمی‌کنیم. هرچند دست ما نیست.

  اگر بخواهید به بستر شبکه ملی اطلاعات نگاه کنید، از آغاز به فعالیت آن تاکنون، چه امتیازی به آن می‌دهید؟

پاسخ به آن سخت است، زیرا امتیاز کمی‌ دادن، محل مناقشه است. شبکه ملی اطلاعات گفتمان انقلاب اسلامی در فضای مجازی است. رویکرد آن نیز رویکردی مشخص است. سند آن نیز یکی از اولین اسنادی است که شورای عالی فضای مجازی تصویب کرده است. طبق اسناد بالادستی، وزارت ارتباطات تا چند ماه پیش متولی زیرساخت شبکه ملی اطلاعات بوده است و باید یک‌سری ابزارهای فنی را پیاده‌سازی می‌کرد که شبکه ملی در لایه زیرساخت شکل بگیرد. در این حوزه ادعا می‌کنیم اکثر کارها را از حدود سال‌های 90-91 انجام داده‌ایم. آن چیزی که در آن پیشرفت کمتری داشته‌ایم، لایه خدمات و لایحه محتوا بوده است؛ خدمات بانکی، دولت الکترونیک، کسب‌وکارهای آنلاین، سرویس‌های نقشه، ایمیل و... . موضوع محتوا نیز مشخصا فیلم، عکس و بسترهای شبکه‌های اجتماعی است؛ مثل روبیکا، فیلیمو، نماوا و... . در این دو حوزه، از جهت سیاست‌گذاری، سیاست‌ها دیرتر تدوین شده است و توسعه کمتری داشته‌ایم. در مصوبه‌ای که دو، سه ‌هفته پیش در شورای عالی مجازی، کلیات و چارچوب سند معماری و طرح کلان نوین شبکه ملی تصویب شد،  به این لایه‌ها هم نگاهی داشته‌ایم. در واقع در آن بررسی کردیم سیاست‌‌هایی که باید پیگیری شود تا کاربران تجربه کاربری خوبی داشته باشند، چیست و آنها را تدوین کردیم و در سال‌های آینده اجرائی می‌شود.

  در لابه‌لای صحبت‌ها، شما به سرویس‌های ارزش افزوده هم اشاره کردید. این موردی بود که وزیر هم به دنبال آن بود و شکایت‌هایی درباره آن شکل گرفته بود. این شکایت‌ها در چه مرحله‌ای است؟

در حال پیگیری هستیم. کمیسیون تنظیم مقررات رادیویی باید در این موضوع، مصوبه‌ای داشته باشد. حدود یک هفته پیش، وزیر در جواب توییت یکی از کاربران گفتند دو هفته وقت بدهید که گزارش دهم.

  فکر می‌کنم دیده باشید بارها در فضای مجازی گفته‌اند چرا اینترنت در ایران از کشورهای همسایه مثل جمهوری آذربایجان و ارمنستان ضعیف‌تر است، چه پاسخی دارید؟

واقعا این‌طور نیست. توسعه شبکه موبایل در جمهوری آذربایجان و ارمنستان که هیچ، حتی ترکیه هم به اندازه ایران نیست. در ایران در صد درصد شهرهای کشور، پوشش 4G داریم، اما در جمهوری آذربایجان در دو شهر و در ارمنستان هم فقط در دو شهر پوشش 4G وجود دارد.

  پس چرا خلاف آن حس می‌شود؟

اینکه ادعا شود آنجا آزادی هست پس اینترنت بیشتر است، فقط یک حس است. آمارها چیز دیگری می‌گویند. سرانه پهنای باند، میانگین سرعت دسترسی فیکس و موبایل، سطح پوشش جاده‌ای و شهری، میزان دسترسی روستایی به‌مراتب بیشتر از این کشورهاست. این حس، مبنای آماری ندارد.