- تاریخ: آبان ۹, ۱۴۰۰
- شناسه خبر: 24646
نقش گروه «INDRA» در حملات سایبری به کشور!/سامانه هوشمند سوخت چگونه هک شد؟
طبق مطالبی که گروه «INDRA» در توئیتر خود منتشر کرده، هدف هایشان شرکتهایی بوده که با نیروی قدس سپاه پاسداران انقلاب اسلامی و حزب الله لبنان همکاری داشتهاند.
یادداشت؛ علی برموده– رسانهها در ایران روز سه شنبه ۴ آبانماه، از قطع توزیع بنزین در جایگاههای سوخت سراسر کشور به دلیل حمله سایبری به سامانه هوشمند سوخت خبر دادند. در پی این حمله سایبری سامانه هوشمند سوخت به صورت کلی قطع و اختلال جایگاههای سوخت در شهرهای مختلف باعث ایجاد صفهای طولانی در پمپ بنزینها و نارضایتی عمومیگردید.
برای بررسی منشا این حمله بایستی به حدود ۴ ماه پیش، یعنی تیر ماه سال جاری که خبر هک شدن شرکت راه آهن جمهوری اسلامیایران منتشر شد مراجعه کنیم. در پی این حمله سایبری، حرکت کلیه قطارها متوقف شد، سیستم کلیه کارمندان شرکت راه آهن قفل و مسافران با پیام «حمله سایبری | تماس با ۶۴۴۱۱» در تابلو اعلانات ایستگاههای راه آهن مواجه شدند.
در آن زمان هیچ گروه یا ارگانی مسئولیت حمله سایبری به شرکت راه آهن ایران را نپذیرفت. ولی با بررسیهای فنی میشد متوجه گردید که حمله از طریق اجرای یک فایل آلوده به نام msapp.exe که به طریقی به سیستمهای شرکت راه آهن وارد شده بود صورت گرفته است. حال بایستی جهت بررسی بیشتر به سراغ کدگشایی این بدافزار برویم.
پس از کدگشایی این بدافزار میتوان متوجه شد که عبارت «INDRA» بارها در داخل کدهای این بدافزار استفاده شده است که این احتمال وجود داشت که چنین عبارتی تنها به امضای هکر مربوط شود. اما بررسیهای تکمیلی مشخص میکرد که این بدافزار از نوع «وایپر» بوده و هدف آن تخریب و حذف اطلاعات است و برای سرقت اطلاعات طراحی نشده است.
این بدافزار ۳ عملیات اصلی را انجام میداد: اول، تلاش برای جلوگیری از تشخیص آنتی ویروس جهت مخفی ماندن. دوم، از بین بردن دادههای پیکربندی «بوت» جهت طولانی کردن فرآیند تعمیر و بازگردانی و سوم، قفل و پاک کردن کامل کامپیوترهای شبکه جهت اختلال.
اما ماجرای حمله سایبری به سامانه هوشمند سوخت کشور چه بود؟! نخستین خبری که در رسانهها منتشر گردید، این بود که پمپ بنزینها دچار اختلال شدهاند و بر روی نمایشگر نازلها عبارت «حمله سایبری ۶۴۴۱۱» نمایش داده میشود. تشابه پیام حمله سایبری به سامانه سوخت با حمله سایبری به سیستم راه آهن نشان میداد، این حمله نیز توسط تیم واحدی انجام شده است.
نکته جالباینجاست که تا ۳ روز گذشته هیچ گروهی، مسئولیت حمله سایبری به شرکت راه آهن و سامانه هوشمند سوخت را برعهده نگرفته بود تا اینکه یک گروه جدید با نام «گنجشک درنده» با انتشار بیانیهای مسئولیت هر دو حمله راه آهن و سامانه هوشمند سوخت را اعلام کرد.
آنچه با خواندن این بیانیه متوجه میشوید این است که این گروه یقینا ایرانی نیست و در بیانیه خود احتمالا از یک مترجم آنلاین استفاده کردهاند!
حال سوال این است آیا واقعا گروه گنجشک درنده وجود خارجی دارد؟ برای پاسخ به این سوال بایستی دوباره به هک سیستم راه آهن رجوع و بدنبال سرنخ اصلی یا همان «INDRA» باشیم.
طبق بررسیهایی انجام شده، در سالهای گذشته برخی شرکتهای خاص سوری که با ایران همکاری داشتند هدف حمله این گروه بودند! برای مثال، سپتامبر ۲۰۱۹: حمله به Alfadelex Trading، یک شرکت مبادله ارز و خدمات انتقال پول واقع در سوریه. ژانویه ۲۰۲۰: حمله به خطوط هوایی Cham Wings، یک شرکت هواپیمایی خصوصی مستقر در سوریه. فوریه ۲۰۲۰ و آوریل ۲۰۲۰: در اختیار گرفتن زیرساخت شبکه Afrada و Katerji Group، که هر دو شرکت در سوریه مستقر هستند. نوامبر ۲۰۲۰: تهدید حمله به پالایشگاه نفت بنیاس سوریه، اگرچه مشخص نیست که این تهدید عملی شده یا خیر؟
اما گروه INDRA کیست؟ طبق مطالبی که این گروه در توئیتر خود منتشر کرده، هدف هایشان همگی شرکتهایی بوده که با نیروی قدس سپاه پاسداران انقلاب اسلامیو حزب الله لبنان همکاری داشتهاند. اما با اندکی تامل متوجه خواهیم شد که زبان اصلی آنان عربی و انگلیسی نیست و بازهم از مترجم آنلاین استفاده کرده اند.
اکنون بایستی منتظر اعلام نظر رسمیمراجع مسئول باشیم تا مشخص شود گروهی که شرکت راه آهن جمهوری اسلامیایران، سامانه هوشمند سوخت کشور و شرکتهای سوری که با ایران در ارتباط بودهاند را هک کرده و حضور مقتدرانه جمهوری اسلامیایران در سوریه را در تضاد با اهداف خود میبیند به کدام سازمان یا دولت متخاصم وابسته است.
انتهای پیام/