واحد اطلاعات تهدید آمازون، فعالیت گروههای ایرانی را با حملات موشکی انصارالله مرتبط کرده و میگوید مدلسازی تهدیدات فناوری اطلاعات باید سناریوهای حملات فیزیکی بالقوه را نیز شامل شود. فعالیتهای سایبری دو بازیگر تهدیدکنندۀ مرتبط با ایران، نقشی کلیدی در حملات موشکی مهمی که پس از آن اتفاق افتاد ایفا کردند؛ همانطور که تیم گزارش تهدید آمازون اعلام کرده است و این رویدادها را نشانۀ افزایش استفاده از عملیات سایبری برای پشتیبانی از حملات فیزیکی دانسته است.
«ما معتقدیم که هدفگیری فیزیکی به واسطۀ فضای سایبر، بهطور فزاینده در میان متخاصمان متعدد رایج خواهد شد»، سیجی موزس، مدیر ارشد امنیت اطلاعات آمازون، در پست وبلاگ خود با مستندسازی این دو حادثه نوشت. «کنشگران دولت-ملتی به اثر چندبرابرکنندۀ ترکیب شناسایی دیجیتال با حملات فیزیکی پی بردهاند. این روند، نمایانگر تحولی بنیادین در جنگ است؛ جایی که مرزهای سنتی میان عملیات سایبری و فیزیکی در حال محو شدن است.»
اگرچه این رویداد در عصر جنگ ترکیبی پدیدهای نوظهور نیست، اما مستندات ارائهشده توسط آمازون، نگاه تازهای به چگونگی پشتیبانی مستقیم حملات موشکی در دریای سرخ و اسرائیل توسط عملیات جاسوسی سایبری برای گردآوری اطلاعات شناسایی اهداف ارائه میدهد.
گروه «امپریال کیتن» به سامانۀ ردیابی کشتیهای دریایی نفوذ کرد. یکی از حملات فیزیکی که آمازون توانست با عملیات سایبری مرتبط کند، اوایل فوریۀ ۲۰۲۴ روی داد؛ زمانی که حوثیهای یمن موشکهایی را به سوی یک کشتی تجاری در دریای سرخ شلیک کردند که بخشی از یک کمپین برای مختل کردن کشتیرانی در منطقه به شمار میرفت.
این حمله ناموفق بود و فرماندهی مرکزی ایالات متحده در ۱ فوریه گزارش داد که دو موشک شلیکشده توسط حوثیها به آب برخورد کرد بدون آنکه به کشتی اصابت کند و هیچ جراحت یا آسیبی گزارش نشد. اما دادههای اطلاعات تهدید آمازون اکنون نشان میدهد که یک گروه با تهدید پیشرفته و پایدار معروف به «امپریال کیتن» روزها پیش از آن حادثه دادههای مکانی سامانۀ شناسایی خودکار همان کشتی را جستوجو کرده بود.
این گروه سایبری که حداقل از سال ۲۰۱۷ فعال است و با نامهای «پوستۀ لاکپشت» یا «TA456» نیز شناخته میشود، بازیگر تهدیدمحوری است که گمان میرود بخشی از سپاه پاسداران انقلاب اسلامی ایران باشد. این گروه در طول سالها صنعت دریایی، از جمله کشتیسازی و سازمانهای لجستیک کشتیرانی را در کنار صنایع دیگری همچون دفاعی، فناوری، مخابرات و انرژی هدف قرار داده است.
بنا به گزارش آمازون، این گروه در دسامبر ۲۰۲۱ به پلتفرم سامانۀ شناسایی یک کشتی نفوذ کرد و در سال ۲۰۲۲ حملات خود را علیه سامانههای اضافی کشتیها دنبال کرد که از جمله دسترسی به دوربینهای مداربسته داخل یکی از کشتیها را نیز شامل میشد. این پلتفرم سامانۀ ردیابی خودکاری است که از رادیو برای تبادل اطلاعات دربارۀ شناسایی، موقعیت، سرعت و مسیر یک کشتی با ایستگاههای ساحلی و سایر کشتیها استفاده میکند. دستیابی به پلتفرم سامانۀ ردیابی خودکار یک کشتی، به هکرها این امکان را میدهد که کشتیهای دیگر را نیز جستوجو کنند.
از آنجا که حوثیها از سوی ایران حمایت میشوند و گروه مذکور نیز که مرتبط با دولت ایران شناختهشده، روزها پیش از حملۀ موشکی حوثیها به دنبال دادههای ردیابی یک کشتی خاص بوده، آمازون معتقد است ارتباط «غیرقابل انکار» تلقی میشود. موزس یکی از همکاران آمازون در این باره گفت: «این مورد نشان میدهد چگونه عملیاتهای سایبری میتوانند اطلاعات دقیقی را که برای انجام حملات فیزیکی هدفمند علیه زیرساختهای دریایی به عنوان جزء حیاتی تجارت جهانی و لجستیک نظامی مورد نیاز است، در اختیار متخاصمان قرار دهند».
گروه «آب گلآلود»، دوربینهای مداربسته و وعدۀ صادق ۳
آمازون همچنین شواهد اطلاعاتی پشتیبانی برای حادثۀ دیگری مرتبط با ایران که شامل جاسوسی سایبری و حملات موشکی بود، کشف کرد؛ حادثهای که تاییدیۀ رسمی نیز دریافت کرده است.
پس از حملات آمریکا به تاسیسات هستهای ایران در ژوئن، جمهوری اسلامی با پرتاب رگباری از موشکها علیه اسرائیل واکنش نشان داد که شهرهایی چون تلآویو و قدس را هدف قرار داد. یک مقام پیشین امنیت سایبری اسرائیل ادعا کرد که عوامل ایرانی تلاش کردند به دوربینهای نظارتی خصوصی دسترسی پیدا کنند تا اثرات حملات خود را ارزیابی و دقت آنها را بهبود بخشند.
مدیریت ملی فضای سایبری اسرائیل نیز تقریبا در همان زمان به بلومبرگ تایید کرد که سامانههای مداربسته بهطور فزاینده توسط هکرهای ایرانی هدف قرار گرفتهاند. دادههای آمازون نشان میدهد که گروه «آب گلآلود» تهدیدی مرتبط با شرکتی ایرانی که نقاب وزارت اطلاعات و امنیت ایران است، روزها پیش از حملۀ موشکی گستردۀ ایران علیه اسرائیل، به سرور بهخطرافتادهای حاوی تصاویر زندۀ مداربسته از قدس دسترسی پیدا کرد. دسترسی به سرور مداربستۀ بهخطرافتاده از طریق زیرساخت سروری که این گروه در ماه می برای عملیات سایبری خود راهاندازی کرده بود، حاصل شد که پیوند مستقیم هر دو حمله را نشان میدهد.
هدف قرار دادن دوربینهای مداربسته برای گردآوری اطلاعات در حمایت از عملیات نظامی، منحصر به ایران نیست. در می ۲۰۲۴، آژانسهای اطلاعاتی آمریکا و چندین کشور ناتو در هشداری مشترک اعلام کردند که آژانس اطلاعات نظامی روسیه، به دوربینها در مکانهای کلیدی مانند نزدیکی گذرگاههای مرزی، پایگاههای نظامی و ایستگاههای راهآهن در اوکراین و کشورهای همسایه نفوذ کرده و هدف ردیابی حرکت مواد به اوکراین در چارچوب محمولههای کمک بوده است.
یکی از همکاران آمازون در این باره اشاره داشت: «برای جامعۀ امنیت سایبری، این پژوهش هم بهعنوان یک هشدار و هم فراخوانی برای اقدام عمل میکند. مدافعان باید راهبردهای خود را برای رسیدگی به تهدیداتی که هم حوزۀ دیجیتال و هم فیزیکی را در بر میگیرند، تطبیق دهند. سازمانهایی که معتقد بودند برای بازیگران تهدیدکننده جالب نیستند، اکنون میتوانند برای جمعآوری اطلاعات تاکتیکی هدف قرار گیرند.»
هدفگیری حملۀ فیزیکی با پشتوانۀ سایبری
آمازون به سازمانها پیشنهاد میکند که مدلسازی تهدیدات خود را گسترش دهند تا در نظر بگیرند چگونه سامانههای فناوری اطلاعات بهخطرافتادۀ آنها میتوانند برای پشتیبانی از حملات فیزیکی استفاده شوند؛ بهویژه برای اپراتورهای زیرساختهای حیاتی، سامانههای دریایی، شبکههای نظارتی شهری و دیگر منابع دادهای که میتوانند برای کمک به هدفگیری در عملیات فیزیکی بهکار روند. آمازون برای عملیات سایبریای که هدف آن تسهیل و ارتقای عملیات نظامی معمول است، اصطلاح «هدفگیری فیزیکی با پشتوانۀ سایبری» را ابداع کرده است.
آیا نیاز به تهیه نسخه چاپی مجلات دارید؟
شما میتوانید با خرید اشتراک به نسخه چاپی مجلات ما دسترسی داشته باشید.
