ایالات متحده و متحدانش هم میپنداشتند که تحریمهای گسترده بهطور قابلتوجهی اقتصاد روسیه را تحت فشار قرار خواهد داد. و عملاً همه در حوزه امنیت سایبری و امنیت ملی بر این باور بودند که جنگ سایبری همراه با هجوم در میدان نبرد میتواند آسیبهای جانبی گستردهای به بار آورد. اما اکنون روشن شده است که همه طرفها در این موارد –دستکم از نظر شدت و سطح– در اشتباه بودهاند.
اما صِرف اینکه اینگونه پیشبینیهای کلی غلط از آب درآمدهاند، به این معنی نیست که در هیچ موضوعی حق با متخصصان نبوده است. در بُعد سایبری، روسیه از تسلیحات سایبری در مقیاسی استفاده کرده است که قبلاً دیده نشده بود. حملات مخرّب از مرزهای اوکراین فراتر رفته و بر تعداد فزایندهای از کشورها تأثیر گذاشته است، البته با شدتی کمتر از پیشبینیها. اکنون زمان احساس اعتماد به نفس کاذب نیست. بلکه زمان آن است که برای آنچه ممکن است در آینده رخ دهد آماده شویم.
در این نوشته به بررسی مواردی میپردازیم که ما را شگفتزده کرد و همچنین آنچه درست پیشبینی کرده بودیم؛ و نیز از این سخن خواهیم گفت که در آینده برای کاهش ریسک چه کارهایی میتوانیم انجام دهیم. آیا شکستهای سایبری روسیه در این درگیری به دلیل بیکفایتی است یا –همانطور که برخی نشان میدهند– بازیِ عمدی خویشتنداری است؟ آیا مدافعان سایبری ایالات متحده میتوانند شبها بهتر بخوابند یا بدترین وضعیت هنوز در راه است؟ پاسخ به سؤال دوم احتمالاً بستگی به این دارد که چقدر به پاسخ سؤال اول اطمینان داریم. بیایید کندوکاو را آغاز کنیم.
آنچه ما را شگفتزده کرد
تعداد حملات تاثیرگذار کمتر از پیشبینیها بود
قبل از شروع تهاجم روسیه، کارشناسان امنیتی و سازمانهای دولتی از احتمال استفاده روسیه از ابزارهای سایبری تهاجمی برای پشتیبانی از نبرد نظامی خود سخن میگفتند. این یک پیشبینی شهودی بود، زیرا رویدادهای سالهای اخیر –ازجمله تعطیلی شبکه برق اوکراین در موارد متعدد و حملات ناتپتیا[۱] در سال ۲۰۱۷– به وضوح نشان داده بود که روسیه توانایی ایجاد اختلال در زیرساختهای حیاتیِ اوکراین را دارد. با این حال، گذشته از حملهای که در ساعات آغازینِ جنگ انجام شد –که در آن هکرهای روسی ارتباط فرماندهان نظامی اوکراینی را با سیستم ویاسات[۲] که مجرای ارتباطات میدانی آنها بود قطع کردند– پیشبینیهایی که درمورد حجم اینگونه حملات میشد، در ۱۲ ماه گذشته با واقعیت مطابقت نداشته است.
این به دلیل عدم تلاش [روسیه] نیست. زیرساختهای اوکراین هدف اصلی نیروهای روسیه بوده است. شبکه برق دائماً مورد هجمه قرار گرفته است؛ بهویژه در ماههای سرد سال که بیشترین نیاز به انرژی وجود دارد. اما سلاح مورد استفاده برای انجام این وظیفه اغلب موشک بوده است تا بدافزارها!
بدافزارها در اوایل جنگ مشاهده شد، زمانی که در 8 آوریل، اوکراین گزارش داد که با کمک مایکروسافت یک حمله سایبری روسیه که هدف آن از بین بردن شبکه برق این کشور بوده را خنثی کرده است. پس از این شکست، نیروهای روسی به گلولهباران پستهای برق متوسل شدند که اهداف بسیار در معرض دیدتری نسبت به نیروگاهها بوده و شبیه زیرساختهای ساختهشده در روسیه در دوران شوروی بودند. اما هرچه جلوتر آمدیم، حملات بیشتر متوجه خود نیروگاهها شد.
بنابراین، این فرض که روسیه زیرساختهای حیاتی در اوکراین را هدف قرار میدهد دقیقاً نادرست نبود، اما تعجبآور است که ببینیم آنها تا چه اندازه به سلاحهای قدیمی برای انجام این کار متکی بودهاند.
سرریز نشدنِ فاجعه به ایالات متحده
کارشناسان مدتهاست در مورد رابطه عجیب دولت روسیه با مجرمان سایبری خود نوشتهاند. حکومت با آنها مدارا میکند، اما به شرط پایبندی به مقرراتی که دامنه فعالیت آنها را خارج از مرزهای کشور نگه داشته و علاوهبراین، آنها را متعهد به پاسخگویی به درخواستهای حکومت میکند. در آغاز جنگ، سازمان امنیت سایبری و زیرساخت (سیسا)[۳] به شرکتهای آمریکایی هشدار داد که باید برای حملات سایبری تلافیجویانه روسیه در پاسخ به تحریمهای اقتصادی ایالات متحده آماده شوند.
پیشبینیها حاکی از این بود که با همکاری هکرهای روسی با دستورالعملهای حکومتی، حملات باجافزاری در سال ۲۰۲۲ به سطوح بیسابقهای خواهد رسید و هکرهای روسی –که حالا حمایت کرملین را نیز پشت سر خود احساس میکنند– دنیا را بر سر کسبوکارها و شرکتهای آمریکایی و همچنین زیرساختهای این کشور خراب خواهند کرد. اما در عمل، عکس. این اتفاق افتاد و حملات باجافزاری در سال ۲۰۲۲ حتی از سال 2021 نیز کمتر بود. حتی فراتر از این، اوضاع به ضرر باجافزارهایی شد که از روسیه حمایت کردند. بارزترین مثال در این مورد، گروه باجافزاری کانتی[۴] بود که بهسرعت بیانیهای در حمایت از روسیه و تهدیدِ دشمنان به انتقام در صورت عمل خصمانه سایبری علیه روسیه صادر کرد.
نتیجه این بیانیه لو رفتن بخشهای حساسی از چتهای داخلی، کد منبع و اطلاعات عملیاتی این باجافزار بود؛ اتفاقی که برای این باجافزار بسیار ویرانگر بود. بسیاری بر این باور بودند که خزانه داری ایالات متحده این گروه را تحریم خواهد کرد. پرداخت باج [به این باجافزار] تا حد زیادی از طریق اقدام جمعی متوقف شد و این گروه علیرغم تلاشی که برای ادامه کار خود انجام داد، چند ماه منحل شد.
گذشته از گروه کانتی و سایر باندهایی که از حمله روسیه در اوکراین حمایت کردند، فعالیتهای باجافزاری بسیار پایینتر از سطح سال ۲۰۲۱ باقی مانده است.
آنچه آموختیم
اوکراین از حملات سایبری گذشته روسیه درس گرفته است
کارشناسان ممکن است تعدادی از عوامل، از جمله قابلیتهای سایبری خود اوکراین را دست کم گرفته باشند. میتوان حملات سایبریِ تقریباً پیوسته روسیه به اوکراین در چند سال اخیر را بهعنوان یک نمونه واقعی برای قابلیتهای سایبری تهاجمیِ این کشور در نظر گرفت؛ و همین نمونه بود که منجر به پیشبینیهای نگرانکنندهای در مورد [ابعاد] جنگ سایبری در اوکراین شده بود. مشکل اینجاست که اگرچه همه این اقدامات ممکن است به روسیه کمک کرده باشد تا درکی از سیستمها و قابلیتهای دفاعی اوکراین پیدا کند، اما «حمله» یک خیابان دو طرفه است. هر حمله مساوی بود با تبادل [متقابل] اطلاعات، و مدافعان اوکراینی [به کمک همین اطلاعات] دستورالعملهایی برای مقابله با حملات سایبری روسیه تدوین کردند. بنابراین شاید تعجبآور نباشد که اوکراین برای مقابله با تهدیدات آماده بود، و ما از این تجربه آموختیم که اوکراین میتواند در حوزه سایبری حریف خوبی برای روسیه باشد.
دفاع جمعی
کمکهای غرب نیز احتمالاً تأثیر زیادی داشته است. علاوه بر میلیاردها دلار کمکهای نقدی و کالایی، جامعه بینالمللی برای دفاع از شبکههای اوکراین نیز پیشنهاد کمک کرده است. منابع دولتی از ایالات متحده به تنهایی شامل سازمان سیسا (CISA)، افبیآی، و فرماندهی سایبری ایالات متحده است. اتحادیه اروپا [نیز] تیمهای واکنش سریع سایبری را برای حمایت از خط دفاع اوکراین مستقر کرده است.
غولهای فناوری – مانند مایکروسافت – [نیز] به خنثیکردن حملات علیه زیرساختهای حیاتی و همچنین اهداف دولتی و رسانهای [اوکراین] کمک کردهاند.
ایالات متحده و شرکای سایبری بینالمللی آن استراتژی «حمله رو به جلو»[۵] را برای دفاع از شبکههای اوکراین در پیش گرفتند. اپراتورها به طور فعال نفوذها را شناسایی و شکار کردند و با شرکای صنعتی برای تجزیه و تحلیل بدافزارها و تکنیکهای دشمن همکاری کردند و یافتهها را به بانک دانش دفاعی مشترک اضافه کردند. در حالی که تواناییهای سایبری روسیه یکی از پیشرفتهترینها در نظر گرفته میشود، این ائتلاف بینالمللی دفاعی از نظر کثرت برتری خود را دیکته کرده است. سازمان ارتباطات حکومتی بریتانیا اعلام کرده است که دفاع جمعی از شبکههای اوکراین «موثرترین فعالیت سایبری دفاعی در تاریخ» بوده است.
اشتباه در توصیف استراتژی سایبری روسیه
از سوی دیگر، تلاشهای غرب برای توصیف دکترین سایبری روسیه ممکن است از درجهای از خودمحوری رنج برده باشد. دکترین سایبری روسیه گستردهتر از ایالات متحده است؛ بعنوان مثال، روسیه برخلاف ایالات متحده که بر تواناییهای تهاجمی تأکید دارد، تمرکز خود را بر عملیات تأثیرگذاری گذاشته است. همانطور که یکی از تحلیلگران میگوید، «ظرفیتهای اصلی و برترِ سایبری تهاجمی روسیه – به جای جنگ تسلیحات ترکیبی – در سازمانهایی قرار دارند که بر اطلاعات و براندازی متمرکز هستند – از جمله «کیتهای ابزار کلیدی» که از سال ۲۰۱۴ علیه اوکراین استفاده میشوند». آنچه را که غربیها ممکن است عملیات روانی بنامند، روسیه در قابلیتهای سایبری خود گنجانده است.
این امر برخی از وقایع در طول جنگ را کمی متفاوت نشان میدهد. در اوایل مارس ۲۰۲۲، ویدیویی ظاهر شد که ظاهراً رئیس جمهور زلنسکی را نشان میداد که تسلیم شده و از اوکراینیها میخواهد که سلاحهای خود را زمین بگذارند. این ویدئو در رسانههای اجتماعی منتشر شد و هکرها تصاویر ثابت و خلاصه آن را در وب سایت یک ایستگاه تلویزیونی اوکراین قرار دادند. این ویدیو یک دیپفیکِ تولید شده توسط هوش مصنوعی بود و اگرچه به سرعت حذف شد، اما هدف آن – که اختلال در روال سنتی فرماندهی و کنترل بود – کاملاً ویژگی متخاصمانه و جنگی داشت. در حالی که بسیاری انتظار داشتند که بر علمیات تهاجمی تاکید بیشتری شود، روسیه اغلب از قابلیتهای سایبری خود برای براندازی استفاده میکرد.
آنجا که حق با ما بود
استفاده از جنگ هیبریدی
همانطور که پیش بینی میشد، جنگِ ۲۰۲۲ نقش برجسته بُعد سایبری در جنگ دولت-ملتها در قرن بیست و یکم را نشان داد. علیرغم شکستهایی که قبلاً مورد بحث قرار گرفت، روسیه از سلاحهای سایبری برای هدف قرار دادن زیرساختهای حیاتی، تکنولوژیهای ارتباطی، رسانههای جمعی و سازمانهای دولتی استفاده کرده است. آنها ماشه را رو به سوی همان اهدافی کشیدند که اکثر ما از قبل پیشبینی میکردیم.
افزایش حجم حملات
حجم حملات نیز بسیار زیاد بوده است و اوکراین از تلاشهای «بیوقفه» برای به خطر انداختن وزارتخانههای دفاع و دولت گزارش میدهد. گروه تحلیل تهدید گوگل گزارش داده است که هکرهای تحت حمایت دولت روسیه در سال ۲۰۲۲ حملات خود را به کاربران اوکراینی تا ۲۵۰ درصد افزایش دادند و دولت اوکراین اعلام کرد که سه برابر بیشتر از قبل از جنگ، علیه سیستمهایش هجمه انجام شده است.
استفاده از بدافزارهای مخرّب
بسیاری از حملات هدفمند و به ویژه مخرب بودهاند، حتی اگر آنطور که پیشبینی میشد بر نتیجه جنگ تأثیری نداشته باشند. در این مدت، بدافزار ویژهای به نام وایپر[۶] برای از بین بردن دائمی دادهها به کار گرفته شد. در چهار ماه اول سال ۲۰۲۲، مرکز ماندیانت تعداد بیشتری از این حملات سایبری مخرب را در اوکراین نسبت به هشت سال گذشته مشاهده کرد. آزمایشگاههای فورتیگارد همین روند را با هفت نوع جدید بدافزار وایپرِ مخرب که تنها در نیمه اول سال ۲۰۲۲ در حملات مورد استفاده قرار گرفتند، نشان داد، که همگی به موازات تهاجم اوکراین به کار گرفته شدند. حملات وایپرها بین سه ماهه سوم و چهارم [سال ۲۰۲۲] ۵۳ درصد افزایش یافت.
گسترش حملات فراتر از اوکراین
وایپرها و سایر حملات تهاجمی به کشورهای دیگر سرایت کردند، البته نه در حدی که [پیش از این] بیمِ آن میرفت. حمله ۲۴ فوریه که ماهوارههای ویاسات را ساقط کرد، ۵۸۰۰ توربین بادیِ آلمان را نیز از دسترس خارج کرد. از آن زمان، کادر «هکتیویست» روسیه عمدتاً علیه اهداف اوکراینی بسیج شده است، اما به طور فزایندهای به اهدافی در کشورهای ناتو حمله میکند. این دسته از حملات عمدتاً شامل حملات سطح پایینی مانند تخریب یا حملات منع دسترسی به خدمات میشوند؛ اما نصب وایپرها نیز گسترش یافته است که در برخی موارد باجافزار را تقلید میکنند، اما امیدی به بازیابی دادهها ندارند. درحالیکه حملات وایپرهاه در روزهای اولیه تهاجم بیشتر در داخل مرزهای اوکراین باقی ماند، تا پایان سال ۲۰۲۲ به ۲۴ کشور دیگر گسترش یافت.
افق پیشِرو
تشدید و تسرّیِ سوءاستفادههای سایبری
با نگاهی به آینده، باید به دو خطر توجه کرد.
نخست، ناامیدی نوآوری میآورد. با افزایش شکستهای استراتژیک روسیه، فشار برای پیشرفت در جبهه سایبری وجود دارد. هرچه شرایط [برای روسیه] سختتر شود، انگیزه آن برای توسعه و استقرار سلاحهای سایبری مخربتر بیشتر میشود.
دوم، از آنجا که روسیه به توسعه ابزارهایی برای حمله به شبکههای اوکراین ادامه میدهد، ابزارهای تهاجمی که ایجاد میکند بدون شک به دست بزهکاران سایبریِ معمولی نیز میرسد تا علیه کسبوکارها به کار گرفته شود. از جمله این موارد، حملات بدافزار وایپر است که قبلاً به خارج از مرزهای اوکراین گسترش یافته است. با در انتظار تشدید حملات وایپرها و تسرّیِ فعالیتهای مخرب سایبری به سطوح پایینتر باشیم.
چه باید کرد
همکاری بین المللی و عملیات «حمله به جلو»یِ ایالات متحده به شرکای غربی اطلاعات ارزشمندی در مورد عملیات تهاجمی سایبری روسیه داده است. تهاجم سایبری روسیه علیه اوکراین متکی به همان محورهایی است که توسط سایر مجرمان سایبری مورد بهرهبرداری قرار میگیرد؛ از جمله سوءاستفاده از آسیبپذیریهای نرمافزارهای کاربردی و فیشینگ. حتی حمله مشهور نتپاتیا که روسیه علیه شبکههای اوکراینی در سال 2017 آغاز کرد، از یک آسیبپذیری نرمافزاری سوءاستفاده کرد که یک ماه قبل از آن، پَچی برای آن منتشر شده بود. کسبوکارهای غربی میتوانند از این موضوع درس بگیرند و اقدامات پیشگیرانه و امنیتی لازم را انجام دهند؛ از جمله اطمینان از پچکردنِ منظم و پیوسته نرمافزارهای خود، و محافظت در برابر حملات فیشینگ با MFAهای مقاوم در برابر فیشینگ. با از بین رفتن ابزارهای مخرب روسیه، این اقدامات میتواند به جلوگیری از ورود مهاجمان به شبکه کمک کند.