تصور کنید یک روز صبح از خواب بیدار شوید و ساعتهای همه کشور اشتباه وقت را نشان دهند. قطارها به موقع حرکت نکنند، تراکنشهای بانکی مختل شوند، شبکه برق فلج شود و حتی پرتاب ماهوارهها با شکست مواجه شوند. شاید این سناریو مثل یک فیلم علمی-تخیلی به نظر برسد، اما به گفته چین، این دقیقاً […]
تصور کنید یک روز صبح از خواب بیدار شوید و ساعتهای همه کشور اشتباه وقت را نشان دهند. قطارها به موقع حرکت نکنند، تراکنشهای بانکی مختل شوند، شبکه برق فلج شود و حتی پرتاب ماهوارهها با شکست مواجه شوند. شاید این سناریو مثل یک فیلم علمی-تخیلی به نظر برسد، اما به گفته چین، این دقیقاً همان چیزی بود که آژانس امنیت ملی آمریکا (NSA) قصد داشت به واقعیت تبدیل کند.
یکشنبه گذشته، وزارت امنیت دولتی چین (MSS) در یک افشاگری تکاندهنده اعلام کرد که NSA حمله سایبری “از پیش برنامهریزی شدهای” را علیه مرکز ملی خدمات زمانسنجی (NTSC) این کشور انجام داده است. حملهای که هدفش نه سرقت اطلاعات ساده، بلکه به هم ریختن کل زیرساخت زمانی یک کشور بود.
این ماجرا فقط یک اتهام سیاسی نیست. این داستان نشان میدهد که در عصر دیجیتال، حتی مفهومی به ظاهر ساده مثل “زمان” میتواند به یک سلاح سایبری تبدیل شود. وقتی همه چیز – از سیستمهای مالی گرفته تا شبکههای برق – به زمان دقیق متکی است، کنترل یا مختل کردن این زمان میتواند یک کشور را فلج کند.
حالا بیایید ببینیم چه اتفاقی واقعاً افتاده است، چرا مرکز زمانسنجی چین این قدر مهم است و این حمله چه درسهایی برای امنیت سایبری جهانی دارد.
قبل از اینکه وارد جزئیات حمله شویم، باید بفهمیم که چرا اصلاً یک مرکز زمانسنجی میتواند هدف یک حمله سایبری پیچیده باشد. آیا واقعاً این قدر مهم است؟
جواب کوتاه: بله، بسیار مهم است.
مرکز ملی خدمات زمانسنجی چین (NTSC) در سال ۱۹۶۶ تاسیس شد و زیر نظر آکادمی علوم چین (CAS) فعالیت میکند. وظیفه این مرکز ساده به نظر میرسد: تولید، نگهداری و انتقال استاندارد ملی زمان – یعنی همان “زمان پکن” که ما همه میشنویم.
اما این سادگی ظاهری فریبنده است. در دنیای مدرن، همه چیز به زمان دقیق وابسته است:
سیستمهای مالی: هر تراکنش بانکی، هر معامله بورس، هر انتقال پول نیاز به timestamp دقیق دارد. اگر ساعتها اشتباه باشند، میتوانید پول را دو بار برداشت کنید یا یک تراکنش را انکار کنید. فوضای مالی کامل.
شبکههای ارتباطی: تلفن همراه، اینترنت، ماهوارهها همگی برای همگامسازی به زمان دقیق نیاز دارند. بدون این همگامسازی، شبکهها فرو میریزند.
شبکه برق: نیروگاهها و شبکههای انتقال برق باید کاملاً همزمان کار کنند. اختلاف چند میلیثانیه میتواند باعث قطعی گسترده شود.
سیستمهای حملونقل: قطارها، هواپیماها، حتی GPSها همه به زمان دقیق متکی هستند. بدون آن، آشوب حملونقل رخ میدهد.
عملیات فضایی: پرتاب ماهوارهها، کنترل فضاپیماها، همه نیاز به زمانبندی دقیق دارند. اشتباه در زمان یعنی شکست ماموریت.
MSS در بیانیه خود هشدار داد: “هر حمله سایبری که به این تاسیسات آسیب برساند، عملکرد امن و پایدار ‘زمان پکن’ را به خطر میاندازد و عواقب شدیدی مثل اختلال در ارتباطات شبکه، اختلال در سیستم مالی، قطعی برق، فلج شدن حملونقل و شکست پرتاب فضایی را به دنبال دارد.”
به زبان ساده: کنترل زمان یعنی کنترل یک کشور.
حالا که اهمیت هدف را فهمیدیم، بیایید ببینیم چطور NSA قصد داشت آن را مختل کند. MSS یک timeline دقیق از حمله منتشر کرده که نشان میدهد این یک عملیات چند ساله و بسیار پیچیده بوده است.
فاز اول: نفوذ اولیه – مارس ۲۰۲۲
همه چیز از ۲۵ مارس ۲۰۲۲ شروع شد. NSA با هوشمندی تصمیم گرفت که از درب اصلی وارد نشود – بلکه از ضعفترین حلقه استفاده کرد: انسانها.
مهاجمان آسیبپذیریهای امنیتی در یک سرویس SMS یک برند خارجی (که نامش افشا نشده) را exploit کردند تا به طور مخفیانه به گوشیهای همراه چند نفر از کارکنان NTSC نفوذ کنند. این یک تاکتیک هوشمندانه بود: به جای حمله مستقیم به زیرساخت امنیتی قوی مرکز، ابتدا دستگاههای شخصی کارمندان را هدف قرار دادند.
وقتی به این گوشیها دسترسی پیدا کردند، شروع به سرقت دادههای حساس کردند. MSS جزئیات دقیقی از نوع آسیبپذیریهای استفاده شده منتشر نکرده، اما واضح است که این یک zero-day یا حداقل یک vulnerability کمشناخته بوده است.
فاز دوم: گسترش دسترسی – آوریل ۲۰۲۳
یک سال بعد، در ۱۸ آوریل ۲۰۲۳، حمله وارد فاز خطرناکتری شد. NSA با استفاده از credentials سرقتی (احتمالاً از همان گوشیهای آلوده) شروع به نفوذ مکرر به کامپیوترهای مرکز کرد.
هدف چه بود؟ reconnaissance – یعنی شناخت دقیق زیرساخت. مهاجمان میخواستند بفهمند که سیستمها چطور به هم متصل هستند، کجا آسیبپذیر هستند و چطور میتوانند به سیستمهای حیاتی دسترسی پیدا کنند.
این فاز نشان میدهد که NSA عجله نداشت. آنها صبورانه داشتند نقشه میدان نبرد را رسم میکردند.
فاز سوم: حمله اصلی – آگوست ۲۰۲۳ تا ژوئن ۲۰۲۴
بین آگوست ۲۰۲۳ و ژوئن ۲۰۲۴، حمله وارد فاز اصلی خود شد. MSS میگوید که NSA یک “پلتفرم جنگ سایبری جدید” را مستقر کرد که به ۴۲ ابزار تخصصی مجهز بود.
این عدد – ۴۲ ابزار – خیلی چیزها را میگوید. این یعنی یک arsenal کامل برای انواع مختلف حملات: از ابزارهای نفوذ گرفته تا ابزارهای exfiltration، از malwareهای مخفیکاری گرفته تا exploitهای تخصصی.
پلتفرم شروع به اجرای حملات با شدت بالا علیه چندین سیستم شبکه داخلی NTSC کرد. اما هدف نهایی چه بود؟
مهاجمان سعی داشتند به یک سیستم timing زمینی با دقت بالا دسترسی پیدا کنند – همان قلب تپنده مرکز که زمان پکن را تولید و توزیع میکند. اگر موفق میشدند، میتوانستند آن را مختل کنند یا حتی دستکاری کنند.
تصور کنید اگر میتوانستید ساعت یک کشور را چند ثانیه یا دقیقه جلو یا عقب ببرید. اوضاع ایجاد شده غیرقابل تصور است.
آنچه این حمله را از حملات معمولی متمایز میکند، سطح پیچیدگی و تلاش برای مخفی ماندن است. MSS جزئیات جالبی از تکنیکهای استفاده شده منتشر کرده که نشان میدهد NSA چقدر جدی این عملیات را پیگیری کرده است.
timing حملات: عملیات شبانه
مهاجمان هوشمندانه حملات خود را بین دیرِ شب و اوایل صبح به وقت پکن انجام میدادند. چرا؟ چند دلیل:
این نشان میدهد که مهاجمان دقیقاً میدانستند چه وقتی بهترین زمان برای حمله است.
استفاده از VPSهای پراکنده
برای پنهان کردن منبع حملات، NSA از serverهای مجازی خصوصی (VPS) واقع در آمریکا، اروپا و آسیا استفاده کرد تا traffic مخرب را مخفی کند و منشاء واقعی را پنهان کند.
این تاکتیک مثل استفاده از چند نقاب پشت سر هم است. حتی اگر یکی را کشف کنید، هنوز نمیدانید کی واقعاً پشت آن است.
جعل گواهیهای دیجیتال
یکی از هوشمندانهترین تکنیکها، جعل digital certificateها بود تا از antivirusها عبور کنند. معمولاً antivirusها به فایلهایی که certificate معتبر دارند اعتماد میکنند. با جعل این certificateها، malware میتواند بدون شناسایی وارد سیستم شود.
رمزنگاری قوی و پاک کردن ردپا
مهاجمان از الگوریتمهای رمزنگاری با قدرت بالا استفاده کردند تا رد حملات را کاملاً پاک کنند. MSS میگوید: “آنها هیچ سنگی را روی سنگ دیگر باقی نگذاشتند در تلاشهایشان برای انجام حملات سایبری و فعالیتهای نفوذ.”
این نشان میدهد که NSA میدانست که چین محققان امنیتی ماهری دارد و باید بسیار دقیق عمل کند.
MSS ادعا میکند که آژانسهای امنیت ملی چین موفق شدند این حمله را خنثی کنند و اقدامات امنیتی اضافی را پیادهسازی کنند. وزارت میگوید: “این عملیات تلاشهای آمریکا برای سرقت اسرار و خرابکاری از طریق حملات سایبری را خنثی کرد و به طور کامل از امنیت ‘زمان پکن’ محافظت کرد.”
اما چطور این کار را کردند؟ MSS جزئیات زیادی منتشر نکرده، احتمالاً به دلایل امنیتی. اما واضح است که:
نکته مهم این است که چین “شواهد غیرقابل انکار” از دخالت NSA پیدا کرده ادعا میکند. این ممکن است شامل:
اما این ماجرا فقط درباره یک حمله نیست. MSS از این فرصت استفاده کرد تا اتهامات گستردهتری علیه آمریکا مطرح کند.
وزارت امنیت دولتی چین آمریکا را “امپراتوری هکرها” و “بزرگترین منبع آشوب در فضای سایبری” توصیف کرد. ادعاهای چین شامل موارد زیر است:
حملات پایدار علیه چین – MSS میگوید که آمریکا به طور مداوم حملات سایبری علیه چین راهاندازی میکند.
حملات جهانی – چین ادعا میکند که آمریکا نه فقط چین، بلکه کشورهای جنوبشرقی آسیا، اروپا و آمریکای جنوبی را هم هدف قرار میدهد.
استفاده از کشورهای منطقه – چین میگوید که آمریکا از پایگاههای تکنولوژیک در فیلیپین، ژاپن و تایوان برای راهاندازی این حملات و پنهان کردن دخالت خودش استفاده میکند.
اما جالبتر از همه، این بخش از بیانیه MSS است:
“همزمان، آمریکا به گرزن زدن روی آجر متوسل شده، بارها و بارها تئوری ‘تهدید سایبری چین’ را دامن زده، کشورهای دیگر را مجبور میکند تا به اصطلاح ‘حوادث هک چینی’ را بزرگنمایی کنند، شرکتهای چینی را تحریم میکند و شهروندان چینی را تحت پیگرد قانونی قرار میدهد – همه اینها در تلاشی بیهوده برای گیج کردن افکار عمومی و تحریف حقیقت.”
این بیانیه نشان میدهد که جنگ سایبری بین آمریکا و چین فقط یک نبرد تکنولوژیک نیست – بلکه یک جنگ روایت هم هست. هر طرف سعی دارد طرف مقابل را به عنوان مهاجم اصلی معرفی کند.
حالا سوال مهم این است: آیا باید حرفهای چین را باور کنیم؟ این یک سوال پیچیده است که جواب ساده ندارد.
از یک طرف، تاریخ نشان داده که NSA واقعاً توانایی و انگیزه برای چنین عملیاتی را دارد. افشاگریهای Edward Snowden در ۲۰۱۳ نشان داد که NSA برنامههای جاسوسی گستردهای علیه دوست و دشمن داشته است. ابزارهایی که در WikiLeaks Vault 7 افشا شدند هم نشان داد که NSA arsenalی پیشرفته از malwareها و exploitها دارد.
از طرف دیگر، چین هم سابقه طولانی از حملات سایبری دارد. گروههای APT چینی مثل APT1، APT10، APT40 و دیگران سالهاست که شرکتها و دولتهای غربی را هدف قرار میدهند. بسیاری از کارشناسان امنیتی میگویند که چین بزرگترین تهدید سایبری برای غرب است.
پس چه کسی راست میگوید؟ احتمالاً هر دو.
در دنیای جاسوسی سایبری، هیچ دولت بزرگی “بیگناه” نیست. همه دارند این کار را میکنند – آمریکا، چین، روسیه، ایران، اسرائیل و دیگران. تفاوت فقط در این است که چه کسی گیر میافتد و چه کسی جرات افشاگری دارد.
آنچه این ماجرا را مهم میکند، نه لزوماً صحت یا عدم صحت اتهامات، بلکه نشان دادن این واقعیت است که جنگ سایبری بین قدرتهای بزرگ در حال تشدید است و هیچ زیرساختی – حتی چیزی به ظاهر بیضرر مثل یک مرکز زمانسنجی – در امان نیست.
فارغ از سیاست و اتهامات، این ماجرا درسهای مهمی برای امنیت سایبری دارد که همه ما – از سازمانهای دولتی گرفته تا شرکتهای خصوصی – باید یاد بگیریم.
۱. هیچ هدفی خیلی “غیرجذاب” نیست
اگر فکر میکنید که سازمان شما برای هکرها جالب نیست، اشتباه میکنید. یک مرکز زمانسنجی شاید مثل یک بانک یا شرکت دفاعی جذاب به نظر نرسد، اما اگر به زیرساخت حیاتی متصل باشد، میتواند هدف باشد.
۲. حمله از ضعیفترین نقطه شروع میشود
NSA مستقیماً به زیرساخت اصلی حمله نکرد. ابتدا گوشیهای کارمندان را هدف قرفت. این یک درس کلاسیک است: مهاجمان همیشه از ضعیفترین حلقه – معمولاً انسانها – شروع میکنند.
۳. حملات APT صبور هستند
این حمله بیش از دو سال طول کشید. از مارس ۲۰۲۲ تا ژوئن ۲۰۲۴. این نشان میدهد که مهاجمان پیشرفته عجله ندارند – آنها صبورانه گام به گام پیش میروند.
راهکار: سیستمهای تشخیص نفوذ بلندمدت، threat hunting منظم، تحلیل رفتاری کاربران و سیستمها.
۴. مخفی ماندن اولویت است
استفاده از VPSهای پراکنده، جعل certificateها، پاک کردن ردپا – همه اینها نشان میدهند که مهاجمان میخواستند تا جایی که ممکن است مخفی بمانند.
راهکار: سیستمهای logging جامع و غیرقابل دستکاری، نظارت ۲۴/۷، استفاده از threat intelligence feeds.
۵. زیرساختهای حیاتی نیاز به حفاظت ویژه دارند
سیستمهایی که کل کشور به آنها وابسته است – مثل شبکههای زمانسنجی، شبکه برق، سیستمهای آب – نباید مثل یک شبکه معمولی تلقی شوند.
راهکار: air-gapping سیستمهای حیاتی، استفاده از شبکههای جدا، redundancy و backupهای مستقل.
این ماجرا فقط یک حادثه منفرد نیست – بلکه نشانهای از روندی بزرگتر است. جنگ سایبری بین قدرتهای بزرگ در حال تشدید است و میتوانیم انتظار داشته باشیم:
۱. حملات به زیرساختهای حیاتی بیشتر شود وقتی یک دولت میخواهد به کشور دیگری فشار بیاورد، حمله به زیرساختهای حیاتی یک گزینه جذاب است. خطرناک هم هست، اما موثر.
۲. استفاده بیشتر از “living off the land” مهاجمان بیشتر از ابزارهای موجود سیستم استفاده میکنند تا malwareهای سفارشی که راحتتر شناسایی میشوند. این شناسایی را بسیار سختتر میکند.
۳. افشاگریهای عمومی بیشتر دولتها دیگر حملات سایبری را مخفی نمیکنند. آنها برای اهداف سیاسی و دیپلماتیک، حملات را افشا و طرف مقابل را متهم میکنند – درست مثل این ماجرا.
۴. هدف قرار دادن زیرساختهای “غیرنظامی“ خط بین اهداف نظامی و غیرنظامی محو میشود. یک مرکز زمانسنجی، یک سیستم آب، یک شبکه برق – همه میتوانند هدف باشند.
۵. جنگ روایتها جنگ سایبری دیگر فقط در سرورها نیست – در رسانهها و افکار عمومی هم جریان دارد. هر طرف سعی میکند خودش را قربانی و طرف مقابل را مهاجم نشان دهد.
کارشناسان امنیت سایبری در مورد این ماجرا نظرات مختلفی دارند:
گروه اول میگویند این یک افشاگری واقعی است و نشان میدهد که NSA تا چه حد پیشرفته است و حاضر است به زیرساختهای حیاتی حمله کند. آنها معتقدند که این باید یک wake-up call برای همه کشورها باشد.
گروه دوم شک دارند و میگویند این میتواند یک عملیات propaganda چینی باشد برای منحرف کردن توجه از حملات خود چین. آنها به تاریخچه طولانی حملات APT چینی اشاره میکنند.
گروه سوم (که احتمالاً واقعبینترین هستند) میگویند که احتمالاً هر دو سناریو تا حدی درست است. NSA واقعاً این کار را کرده، اما چین هم از آن برای اهداف سیاسی استفاده میکند.
جان همبلین، کارشناس امنیت سایبری، در مورد این نوع حملات میگوید: “وقتی زیرساختهای زمانی هدف قرار میگیرند، ما وارد قلمرو خطرناکی میشویم. این دیگر فقط درباره سرقت اطلاعات نیست – درباره توانایی فلج کردن یک جامعه است.”
بروس اشنایر، رمزنگار معروف، همیشه تاکید میکند: “در دنیای امنیت سایبری، هیچ دولتی دستهای پاک ندارد. همه دارند جاسوسی میکنند، همه دارند حمله میکنند. تفاوت فقط در سطح پیچیدگی و اهداف است.”
تا زمان نگارش این خبرنامه، هیچ واکنش رسمی از سوی دولت آمریکا یا NSA به این اتهامات منتشر نشده است. این خود گویای چیزهایی است.
معمولاً در چنین مواردی چند سناریو پیش میآید:
سکوت کامل که معمولاً به معنای “نه تایید، نه تکذیب” است. این حالت برای عملیاتهای جاسوسی رایج است.
تکذیب عمومی که معمولاً خیلی قانعکننده نیست چون همه میدانند که جاسوسی سایبری واقعیت دارد.
حمله متقابل یعنی متهم کردن چین به حملات مشابه یا بدتر. این احتمالاً محتملترین واکنش است.
کشورهای دیگر هم معمولاً در این نوع مواجهات بین قدرتهای بزرگ ترجیح میدهند سکوت کنند. هیچ کس نمیخواهد وارد یک جنگ سایبری بین آمریکا و چین شود.
ماجرای حمله گفتهشده NSA به مرکز زمانسنجی چین – چه کاملاً واقعی باشد، چه تا حدی تحریف شده – یک حقیقت مهم را به ما یادآوری میکند: در عصر دیجیتال، جنگ دیگر فقط در میدانهای نبرد فیزیکی نیست.
امروزه، یک حمله سایبری موفق میتواند خسارات مشابه یک حمله نظامی ایجاد کند – بدون شلیک یک گلوله، بدون کشتن کسی، اما با فلج کردن کل یک جامعه. تصور کنید اگر واقعاً کسی بتواند زمان یک کشور را مختل کند: قطارها تصادف میکنند، پروازها cancel میشوند، تراکنشهای مالی به هم میریزد، شبکه برق میافتد.
این نه یک فیلم علمی-تخیلی است – این واقعیت امنیت سایبری در سال ۲۰۲۵ است.
درس اصلی برای همه ما – چه سازمانهای دولتی، چه شرکتهای خصوصی، چه حتی افراد عادی – این است که:
۱. امنیت سایبری دیگر یک گزینه نیست، یک ضرورت است. نمیتوانید بگویید “ما کوچک هستیم، کسی به ما حمله نمیکند.” اگر بخشی از زنجیره تامین یا زیرساخت حیاتی باشید، هدف هستید.
۲. دفاع چندلایه ضروری است. یک firewall یا یک antivirus کافی نیست. باید لایههای مختلف دفاعی داشته باشید: از endpoint security گرفته تا network monitoring، از employee training گرفته تا incident response.
۳. آمادگی برای بدترین سناریو. فرض کنید که همین الان هم ممکن است نفوذگری در شبکهتان باشد. این فرض pessimistic نیست – واقعبینانه است. با این فرض، چه کار باید بکنید؟
۴. همکاری و اشتراک اطلاعات. هیچ سازمانی نمیتواند به تنهایی با APTهای دولتمحور مقابله کند. باید اطلاعات threat intelligence را با دیگران به اشتراک بگذارید.
۵. سرمایهگذاری روی امنیت هزینه نیست، سرمایهگذاری است. خسارت یک حمله سایبری موفق میتواند صدها برابر بودجه امنیتی باشد. هزینه کنید قبل از اینکه دیر شود.
در پایان، بیایید این واقعیت را بپذیریم: جنگ سایبری بین قدرتهای بزرگ واقعی است و در حال تشدید. ما – سازمانهای کوچکتر، شرکتهای خصوصی، زیرساختهای حیاتی – در وسط این جنگ قرار داریم، چه بخواهیم چه نخواهیم.
تنها راه بقا این است که آگاه باشیم، آماده باشیم و همیشه هوشیار. چون در فضای سایبری، یک لحظه غفلت میتواند سالها تلاش را نابود کند.
Phantom Taurus، NSA، گروههای APT چینی، حملات به زیرساختهای حیاتی – اینها دیگر افسانه نیستند. واقعیتاند. و ما باید با آنها زندگی کنیم و خودمان را محافظت کنیم.
سوال این نیست که آیا حمله بعدی خواهد آمد. سوال این است: آیا ما آمادهایم؟
منبع: هکر نیوز
برای دریافت آخرین تحلیلها و اخبار امنیت سایبری، خبرنامه ما را دنبال کنید. در دنیای دیجیتال، آگاهی یعنی امنیت.
