شناسهٔ خبر: 5685263 - سرویس بین‌الملل
نسخه قابل چاپ منبع: خبرآنلاین | لینک خبر

وال استریت ژورنال: ویروس با منشأ اسرائیلی هتل‌های محل مذاکرات هسته‌ای ایران را هدف قرار داد

بین الملل > دیپلماسی - تسنیم نوشت:

صاحب‌خبر -

یک شرکت معتبر امنیت سایبری اعلام کرد یک ویروس با منشأ اسرائیلی سه هتل محل مذاکرات هسته‌ای ایران در اروپا را هدف قرار داده است.

به گزارش گروه بین‌الملل خبرگزاری تسنیم، شرکت امنیتی کاسپر‌اسکای، یکی از بزرگترین شرکت‌های نرم‌افزاری در حوزه امنیت سایبری، اعلام کرد سه هتل میزبان مذاکرات هسته‌ای ایران و گروه 1+5 هدف ویروسی قرار گرفته‌اند که به نظر می‌رسد توسط جاسوسان اسرائیلی استفاده می‌شدند.

وال‌استریت ژورنال گزارش داد زمانی که این شرکت امنیتی، سال گذشته میلادی، متوجه شد توسط ویروسی که اعتقاد بر این است جاسوسان اسرائیلی آن را مورد استفاده قرار می‌دهند، هک شده است، سعی کرد اماکن دیگری که هدف قرار گرفته‌اند را شناسایی کند. این شرکت میلیون‌ها رایانه را در سراسر جهان مورد بررسی قرار داده و متوجه شد سه هتل لوکس در اروپا نیز مورد حمله قرار گرفته‌اند. هیچ هتل دیگری تحت حمله قرار نگرفته بود.

مسؤولین کاسپراسکای در تحقیقاتی که برای کشف ارتباط بین این هتل‌ها انجام دادند متوجه شدند که هر سه هتل در گذشته محل برگزاری مذاکرات هسته‌ای بین ایران و گروه 1+5 بوده‌اند.

این ویروس نسخه‌ بهبودیافته ویروسی به نام «دوقو» (Duqu) بود که برای اولین بار توسط کاسپراسکای در سال 2011 کشف شد. مقامات کنونی و سابق آمریکا و بسیاری از کارشناسان امنیت سایبری بر این باور هستند که دوقو برای انجام پیچیده‌ترین عملیات‌ جمع‌آوری اطلاعات توسط رژیم صهیونیستی مورد استفاده قرار می‌گرفت.

یافته‌های کاسپراسکای، که قرار است امروز (چهارشنبه) به صورت علنی منتشر شوند، مدرکی عینی هستند که نشان می‌دهند مذاکرات هسته‌ای ایران توسط چه کسانی مورد جاسوسی قرار گرفته‌اند.

کاسپراسکای بر اساس خط‌مشیی که دارد رژیم صهیونیستی را به عنوان عامل این حملات معرفی نکرده است اما محققین در شرکت می‌گویند که از روی نشانه‌ها می‌توان گفت اسرائیل در این حمله نقش داشته است. برای مثال، شرکت در این گزارش از عنوان «دوقو بت» (The Duqu Bet) استفاده کرده است. Bet دومین حرف در الفبای عبری است.

محققین کاسپراسکای می‌گویند سؤالات بدون جواب بسیاری درباره اینکه ویروس چگونه استفاده شده و چه اطلاعاتی ممکن است ربوده باشد، وجود دارند. یکی از احتمالات این است که ویروس توانسته مکالمات را استراق سمع کرده و از طریق تسلط بر سیستم‌های هتل که به رایانه‌ها، تلفن‌ها، آسانسورها و سیستم‌های هشدار وصل هستند فایل‌های الکترونیکی را ربوده و آنها را روشن و خاموش کنند تا اطلاعات جمع‌آوری کنند.

افراد مطلع می‌گویند پلیس فدرال آمریکا تحلیل‌های کاسپراسکای را بررسی می‌کند و هنوز نتیجه‌گیری‌های این شرکت را تأیید نکرده است. با این حال مقامات آمریکایی می‌گویند از این گزارش متعجب نشده‌اند.

یکی از دستیاران ارشد نمایندگان کنگره تأیید کرده که یافته‌های کاسپراسکای معتبر هستند. وی گفت: «ما این مسأله را جدی می‌گیریم».

کاسپراسکای، که صدها میلیون رایانه در سراسر جهان را تحت محافظت قرار دارد، تا شش ماه پس از حمله متوجه نشد که رایانه‌های این شرکت تحت حمله قرار گرفته‌اند. هکرها و نهادهای جاسوسی سابقه‌ای طولانی در حمله به شرکت‌های امنیتی دارند، خاصه به خاطر اطلاعات ذی‌قیمتی که می‌توانند در مورد شیوه‌های دفاعی و حفاظتی در اینترنت به دست آورند.

«کاستین رایو»، مدیر تحقیقات و تحلیل جهانی کاسپراسکای گفت که مهاجمان ابتدا کارکنان این شرکت را در دفاتر اقماری آن در ناحیه آسیا-پاسیفیک هدف قرار داده‌اند، حملاتی که احتمالا از طریق ایمیل‌های حاوی ضمیمه‌هایی که ویروس در آن‌ها پنهان شده بود، انجام شده است.

با بازکردن این ضمیمه، پرسنل این شرکت نا آگاهانه به ویروس اجازه می‌داد تا رایانه وی با آن چیزی که به باور کاسپراسکای یک ابراز هک موسوم به «شاهکار روز صفر» است، آلوده شود. چنین ابزارهایی می‌توانند از حفره‌های امنیتی که شناخته نشده‌اند، استفاده کنند و نرم‌افزارهای شرکت فرصتی برای ممانعت از نفوذ مخفیانه آن‌ها به درون سیستم‌های کاسپراسکای ندارند. کاسپراسکای گفته است که هکرها از دو ابراز هک برای نفوذ بیشتر به درون سیستم‌های این شرکت استفاده کرده‌اند.

کاسپراسکای و کارشناسان خارج از این شرکت می‌گویند که این امر به تنهایی نشان دهنده پیچیده بودن عملیات هکرها است. تولید این نوع از ابزارها بسیار گران است و کارایی آن‌ها تنها برای بار اولی که به کار گرفته می‌شوند، تضمین شده است. پس از آن، شرکت‌ها می‌توانند از طریق وصله‌های امنیتی، ضدویروس‌هایی دیجیتال را (علیه آن) تولید کنند.

پژوهشگران امنیتی همچون کاستین رایو اغلب نه تنها به دنبال یافتن هکرها هستند بلکه به دنبال یافتن ارتباط بین نفوذهای صورت گرفته از طریق تحقیقات کارآگاهی هستند. این کار ترکیبی از علوم رایانه، غریزه و شانس است. در این مورد، رایو ارتباطی را بین این ویروس جدید و دوقو مشاهده کرد.

به گفته یک مقام سابق آمریکایی، از دید نهادهای اطلاعاتی آمریکایی، آلودگی دوقو یک عملیات جاسوسی اسرائیلی است. کاسپراسکای در گزارش خود نوشت، در حالی که ویروس جدید نشانه آشکاری از ارتباط با اسرائیل ندارد، اما بسیار پیچیده بوده و به میزان زیادی وامدار دوقو است به گونه‌ای که «نمی‌توانسته به دست کسی بدون دسترسی به سورس‌کدهای اصلی دوقو ایجاد شود».

رایو برای حصول اطمینان از نتیجه‌گیری خود چند هفته پیش یک ایمیل به یکی از دوستان خود به نام «بولیدژار بنکساث»، که پژوهشگر آزمایشگاه رمزنگاری و سیستم‌های امنیتی در دانشگاه فناوری و اقتصاد بوداپست است، فرستاد. بنکساث در سال 2011 از جمله کسانی است که در کشف ویروس اصلی دوقو همکاری داشته است.

بنکساث روز سه‌شنبه در یک گفتگو عنوان داشت که «آن‌ها خیلی شبیه به هم بودند». ارزیابی وی این است که تیمی متشکل از 10 نفر و به مدت دوسال نیاز است تا بتوانند چنین سیستم (ویروس) تمیزی را تولید کنند، مگر اینکه آن‌ها همان نویسندگان اصلی کد ویروس دوقو باشند.

در اوایل بهار، کاسپراسکای متوجه شد که هدف نفوذهای دیجیتال متعددی که خود به دنبال کشف آن‌ها است، می‌باشد.

یکی از کارکنان کاسپراسکای در مسکو هنگامی که یک برنامه امنیتی نوین را روی رایانه یکی از شرکت‌هایی که به زعم وی بدون رخنه بود، نصب می‌کرد، ویروس را یافت. کاسپراسکای به جای آنکه به دنبال بیرون راندن هکرها باشد، یک تیم ویژه را برای نظارت بر ویروس - هنگام فعالیت آن - ایجاد کرد تا بتوانند چگونگی فعالیت ویروس و هدف مدنظر از طراحی آن را متوجه شوند.

راهی که ویروس از طریق آن عمل می‌کرد برای اعضای این تیم شگفت‌آور بود. این ویروس از یک سیستم به یک سیستم دیگر جهش می‌کرد، و به آرامی تعداد فزاینده‌ای از رایانه‌ها را مورد هدف قرار می‌داد. ویروس در راستای مخفی کردن مسیر خود، رایانه‌هایی را که برای هکرها دیگر ارزش خاصی نداشت را ترک می‌کرد، آن‌هم در شرایطی که فایل کوچک را در آن‌ها به جای می‌گذاشت که به آن‌‌ها اجازه می‌داد در فرصت و زمانی دیگر بتوانند به این رایانه بازگردند.

رایو عنوان داشت که شرکت آماده روبه‌رو شدن با نفوذها و جاسوسی‌های سایبری است،‌ اما انتظار چیزی به این پیچیدگی را نداشت. مهاجمان به آرامی از طریق سیستم‌های کاسپراسکای حرکت می‌کردند تا از جلب توجه خودداری کنند. رایو نتیجه گرفت که آن‌ها احتمالا برای پنهان ماندن بیش از هر چیز دیگری ارزش قائل بودند. این شرکت نام این ویروس جدید و بهبود یافته را دوقو 2.0 (Duqu 2.0) نهاده است.

کاسپراسکای در یک بیانیه مکتوب که همراه این گزارش منتشر کرد، عنوان داشت که فکر نمی‌کند این حادثه مشتریانش را به میزان بیشتری در مقابل مهاجمان آسیب‌پذیر کرده باشد. این شرکت اعلام کرد «آزمایشگاه کاسپراسکای مطمئن است که مشتریان و شرکای آن ایمن هستند و هیچ تأثیری بر محصولات، فناوری‌ها و خدمات آن نداشته است».

این شرکت برای تشخصیص اینکه اینکه کدام یک از 270 هزار مشتری آن در سرتاسر جهان آلوده شده است، آزمایش‌هایی را انجام داده است. فهرست مشتریان کاسپراسکای شامل شرکت‌های بزرگ انرژی، بانک‌های اروپایی و هزاران هتل است.

این شرکت متوجه شد که تعداد محدودی از مشتریان آن در اروپای غربی، آسیا و خاورمیانه آلوده شده‌اند. هیچ کدام از مشتریان این شرکت در ایالات متحده هدف قرار نگرفته‌اند. انجام حملات سایبری علیه یک هتل هرچند برای محققان این شرکت غیرمعمول به نظر می‌آمد اما غیرمسبوق نبوده است.

هتل‌های محل مذاکرات هسته‌ای دو تا سه هفته پیش از برگزاری نشست‌ها آلوده شده‌اند

رایو گفت که اولین هتلی که رایانه‌های آن به دوقو 2.0 آلوده شده بودند نظر وی را جلب کرد، خاصه زیر سایه افشاگری‌هایی که نشریات در مورد تلاش‌های جاسوسی اسرائیل انجام داده‌اند. این هتل، به گفته وی، یک محل مشهور برای برگزاری مذاکرات هسته‌ای بود. اما وی مطمئن نبود که این یک مورد یکتا و جدا از بقیه باشد.

کمی پس از آن، کاسپراسکای، ویروس یکسانی را در یک هتل لوکس دیگر یافت. در ابتدا، رایو هیچ ارتباطی بین این هتل و مذاکرات هسته‌ای نیافت. اما، چند هفته پس از اینکه متوجه وجود این ویروس در هتل دوم شد، وی فهمید که مذاکرات هسته‌ای قرار است در آنجا برگزار شود. رایو به یاد می‌آورد که تیم وی «شوکه» شدند. در هر دو مورد، هتل‌ها حدود دو تا سه هفته پیش از برگزاری مذاکرات آلوده شده بودند.

کاسپراسکای اطلاعاتی در مورد دوقو 2.0 را به یکی از شرکای خود ارائه کرد، که این شرکت نیز تست‌های خود را انجام داده بود. این تست‌ها یک هتل سوم آلوده شده را نشان داد که میزبان مذاکرات هسته‌ای بوده است. رایو گفت که هتل سوم که آلودگی آن آخر از همه کشف شده است، اما پیش از همه و در سال 2014 آلوده شده بود.

هتل‌هایی که میزبان برگزاری مذاکرات هسته‌ای بودند شامل هتل بوریواژ پالایس در لوزان، هتل اینترکانتیننتال در ژنو، هتل پاله کوبورگ در وین، هتل پرزیدنت ویلسون در ژنو، هتل بای‌ریشر هوف در مونیخ، و هتل رویال پلازای مونترو در مونتروی سوئیس بودند.

سخنگوی هتل بوریواژ گفت که هتل از این بابت که هک شده است آگاه نبوده است. یک مدیر موظف در هتل اینترکانتیننتال گفت که وی از چنین حادثه‌ای آگاهی نداشته است. تیم مدیریت هتل رویال پلازا نیز گفت: «سیاست داخلی ما اجازه نمی‌دهد که هیچ اطلاعاتی را ارائه کنیم».

علاو بر سه هتلی که طبق این گزارش هک شده‌اند، این ویروس روی رایانه‌های یک سایت که برای بزرگداشت هفتادمین سالگرد آزادسازی اردوگاه مرگ آشویتس استفاده شده بود نیز یافت شده است. برخی از رهبران جهان در این مراسم شرکت کرده بودند.

یک مقام سابق اطلاعاتی ایالات متحده گفت که هدف گرفتن چنین تجمعات بین‌المللی برای اسرائیل و دیگر کشورها عادی است. وی گفت: «تنها چیزی که اکنون غیرعادی به شمار می‌رود این است که شما چیزی در مورد آن بشنوید».

رایو گفت که کاسپراسکای نمی داند که چه چیزی از این سه هتل و یا دیگر اماکن دزدیده شده است. وی گفت که این ویروس با بیش از 100 «ماژول» مجزا همراه بوده است که مهاجمان را قادر می‌ساخته تا رایانه‌های آلوده شده را تحت کنترل درآورند.

یک ماژول برای فشرده کردن فیدهای ویدئویی طراحی شده بود، که احتمالا هدف آن دوربین‌های نظارتی هتل‌ها بوده است. ماژول‌های دیگر نیز (انواع) ارتباطات را از تلفن‌های همراه گرفته تا شبکه‌های وای‌-فای هدف گرفته بودند. در این صورت مهاجمان می‌توانستند بفهمند که چه کسی به سیستم‌های آلوده متصل شده‌اند و به آن‌ها اجازه می‌داد تا مکالمات را شنود کرده و فایل‌های الکترونیکی را به سرقت ببرند. این ویروس می‌توانست آن‌ها را قادر سازد تا میکروفون‌های دوطرفه را در آسانسورها، رایانه‌ها و سیستم‌های هشدار فعال کنند.

علاوه بر آن، هکرها ظاهرا به رایانه‌های بخش رزور هتل‌ها نیز نفوذ کرده‌اند. که به آن‌ها اجازه می‌داد تا شماره اتاق اعضای یک هیئت خاص را تشخیص دهند.

این ویروس همچنین فایل‌های کوچک شناسایی و نظارت را روی رایانه‌هایی که از آن‌ها عبور کرده‌اند به جای می‌گذاشتند تا مهاجمان بتوانند آن‌ها را نظارت کرده و در فرصتی دیگر محتوای آن رایانه‌ها را مورد استفاده قرار دهند.

4949