گزارش تحلیلی یک شرکت اسراییلی از حمله سایبری به شبکه راه‌آهن ایران

گروه تحقیقاتی شرکت «چک‌پوینت» (Check Point Research) مستقر در اسراییل، ازجمله شرکت‌های معتبر در حوزه امنیت سایبری گزارشی خصوص چگونگی نفوذ هکرها به سیستم‌های کامپیوتری خطوط راه‌آهن ایران در هجدهم تیرماه سال جاری منتشر کرده است.

چک‌پوینت، گروه «ایندرا» (Indra) که خود را مخالف جمهوری اسلامی معرفی می‌کند، مسئول این حمله‌ دانسته و گفته است که سال‌های ۲۰۱۹ و ۲۰۲۰ گروهی با همین نام، حملاتی را به برخی اهداف در کشور سوریه صورت داده که از آن جمله، دو شرکت سوری تحریم شده توسط ایالات متحده، «گروه بین‌المللی کاترجی» (Katerji Group) و شرکت نفت «عرفادا» (Arfada Petroleum) بودند.

هجدهم تیرماه ۱۴۰۰، تصویری بر تابلو‌های اعلان حرکت قطارها نقش بست که حکایت از یک حمله سایبری به شبکه‌ کامپیوتری راه‌آهن ایران داشت. هکرها در پیام خود، شماره تلفن «۶۴۴۱۱» را برای کسب اطلاعات بیشتر در اختیار مسافران قرار داده بودند. اما این شماره تلفن، شماره روابط عمومی دفتر «علی خامنه‌ای»، رهبر جمهوری اسلامی بود. یک روز پس از این هرج و مرج گسترده در نظام خدمات خطوط ریلی ایران، حمله دیگری به وزارت حمل و نقل ایران صورت گرفت که به مسدود شدن وب‌سایت و زیرمجموعه‌های این وزارت‌خانه منتهی شد.

بررسی‌ محققان شرکت چک‌پوینت نشان داد، اگرچه در ظاهر هیچ شباهتی بین رفتار و عملکرد هکرهای حمله‌کننده به شبکه راه‌آهن و وزارت حمل و نقل ایران و هکرهای مهاجم به اهداف سوریه‌ای وجود ندارد؛ اما شاخصه‌های فنی، شیوه‌ و ابزارهای استفاده شده در هر دو حمله مشترک هستند.

گروه هکری ایندرا در حملات خود از شیوه‌ای بی‌رحمانه‌ استفاده کرده است که در صنعت سایبری با اصطلاح «برف پاک‌کن» (wiper) از آن یاد می‌شود. به این معنا که هکرها داده‌های قربانی را بدون امکان بازیابی حذف و نابود کرده‌اند. گروه ایندرا در این سال‌ها دست‌کم سه نوع از بدافزار موسوم به برف‌ پاک‌کن، به نام‌های «مترو» (Meteor)، «استارداس» (Stardust) و «کومت» (Comet) را در حملات خود به‌کار گرفته‌اند.

شرکت امنیت سایبری «امن‌پرداز» در ایران، گزارشی را در خصوص یک بدافزار به‌نام (Trojan.Win32.BreakWin) منتشر کرده که در حمله‌های اخیر این گروه مورد استفاده قرار گرفته بود. شرکت «سنتل وان» (SentinelOne) نیز گزارش مفصلی را در خصوص این تروجان منتشر کرده است.

محققان شرکت چک‌پوینت یافته‌های شرکت نرم‌افزاری امن‌پرداز را مبنای تحقیقات قرار داده و دریافته‌اند که این حمله‌ها با پنهان‌سازی از چشم آنتی‌ویروس‌ها آغاز شده، با نابودسازی تنظیمات مربوط به بوت کامپیوتر ادامه یافته و سرانجام با قفل کردن و حذف داده‌های قربانی به پایان رسیده است.

حمله با اجرای یک فرایند زمان‌بندی شده، تحت عنوان «تحلیل سیستم» (AnalyzeSystem) آغاز می‌شود که تقلیدی است از (Windows Power Efficiency Diagnostics). هکرها ابتدا با فایل (setup.bat) اقدام به جدا کردن سیستم‌های WSUSPROXY ، PIS-MOB PIS-APP، PIS-DB از دیگر دستگاه‌های شبکه می‌کنند. (PIS) در ابتدای نام این سیستم‌ها مخفف (Passenger Information System) یا «سیستم اطلاع‌رسانی به مسافر» است که معمولا در مکان‌هایی مانند فرودگاه‌ها، ایستگاه‌های قطار و اتوبوس استفاده می‌شود. هکرها با استفاده از سیستم‌های «پی آی اس» پیام خود را روی صفحه نمایش تابلوهای اعلان ایستگاه قطار به نمایش در آورده‌اند.

مرحله دوم  حمله بارگیری فایل‌های مخرب از راه دور است که با بارگیری فایلی به نام «env.cab» آغاز می‌شود. بارگیری این فایل در مسیر (\\railways.ir\sysvol\railways.ir\scripts\env.cab) نشانگر این موضوع است که هکرها پیش از حمله، به خوبی به محیط هدف آشنا بوده و به نحوه پیکربندی آن نیز مسلط بودند. ابزارهای دیگری مانند ،update.bat hackemall، msrun.bat، cache.bat، bcd.bat در این مرحله بارگیری می‌شود که هرکدام وظیفه‌ای را در مراحل بعدی حمله بر عهده می‌گیرد.

اسکریپت (cache.bat) ضمن غیرفعال کردن تمامی آداپتورهای شبکه، در صورت عدم نصب «آنتی‌ویروس کسپرسکی» (Kaspersky Antivirus)، ابزارهای بارگیری شده را به فهرست فایل‌های مجاز (Windows Defender) اضافه می‌کند.

وظیفه ابزار (bcd.bat) تخریب پیکربندی (boot) از طریق (BCDEdit) داخلی ویندوز و همچنین حذف تمامی آثار (Security، System and Application Event Viewer) با استفاده از (wevtutil) است.

آسیب اصلی، یعنی پاک‌سازی اطلاعات از طریق اسکریپت (msrun.bat) صورت می‌گیرد. این اسکریپت فایل (Wiper) را در مسیر (C: \ temp) رها کرده و یک برنامه با عنوان (mstask) ایجاد می‌کند که تنها یک بار، آن هم در ساعت (23:55:00) فعال می‌شود و عمل پاک کردن دیتا‌های قربانی را انجام می‌دهد.

در مرحله حذف داده‌ها، بار اصلی بر دوش فایل اجرایی (msapp.exe) است که وظیفه‌اش خارج کردن قربانی از سرویس، از طریق قفل کردن و حذف اطلاعات موجود بر روی سیستم است. این فرایند توسط یک فایل پیکربندی رمزنگاری شده به نام (msconf.conf) انجام می‌شود که به مهاجم امکان می‌دهد، نوع و میزان حمله را بر اهداف خاص تنظیم کند. این فایل همچنین از یک اسکریپ کمکی بهره می‌برد که برای رمزگشایی به کار می‌رود.

اگر تا این مرحله، فرایند پیکربندی به درستی انجام نشود، ابزار (Meteor) وارد عمل شده و پیکربندی لازم را برای آلوده‌سازی سیستم قربانی تکمیل می‌کند. بدافزار برای جلوگیری از توقف فرایند پیکربندی توسط قربانی، ابتدا ارتباط کامپیوتر هدف را با استفاده از (WinAPI) و یا (WMI) از (Active Directory domain) می‌کند تا هیچ ابزار و یا وصله ترمیمی به کامپیوتر قربانی منتقل نشود. سپس ویژگی (boot) ویندوز را تخریب و یا در ویندوزهای نسخه هفت به بعد، ورودی‌های (BCD) را حذف می‌کند. بعد از این مرحله، بدافزار رمز‌ عبور کاربرهای محلی را تغییر داده و با استفاده از الگوی «دنباله تصادفی» برای آنها رمزی جدید تعریف می‌کند. از کار انداختن محافظ صفحه ویندوز و جایگزینی تصاویر سفارشی به جای تصویر پس زمینه پیش‌فرض ویندوز، اقدام بعدی بدافزار است که  تصاویر فرمت (JPEG) و (BMP) بر صفحه کامپیوترهای  خطوط ریلی و وزارت حمل و نقل ایران نمونه این جایگزینی است.

بعد از جایگزینی تصویر پس‌زمینه صفحه ویندوز، بدافزار همه کاربران محلی را از ویندوز حذف کرده و از طریق فایل اجرایی (mssetup.exe) اقدام به قفل کردن موس و صفحه کلید، و همچنین بستن ورودی های کامپیوتر قربانی می‌کند. این بدافزار قادر است خود را در کامپیوتر هدف به شکلی ماندگار کند که با هر بار شروع به کار کامپیوتر، همین مرحل دوباره اجرا شده و عملکرد عادی قربانی مختل شود.

بدافزار برای حذف داده‌های قربانی (Prefix Suffix wiper)، از پیکربندی (paths_to_wipe) بهره برده و فهرستی از پیشوند و پسوند فایل‌های موجود در سیستم تهیه می‌کند. رشته‌ای به نام (Middle Wiper) وظیفه حذف فایل‌های این فهرست و همچنین کپی‌های سایه را بر عهده دارد. مشابه این روش حذف، در بسیاری از باج‌افزارهای اینترنتی نیز دیده می‌شود.

گروه تحقیقاتی چک‌پوینت حمله سایبری به سیستم ریلی ایران را به نمونه‌ای از حملات خطرناک سایبری به زیرساخت‌های حیاتی کشورها دانسته که می‌توان جان انسان‌ها را در هر گوشه از جهان به خطر بیندازد. چک‌پونت به این حقیقت اشاره می‌کند که «هیچ سپر جادویی وجود ندارد». بنا بر این داشتن نسخه پشتیبان و برنامه بازیابی اطلاعات، به روزرسانی نرم‌افزارها و نصب وصله‌های امنیتی و استفاده از برنامه‌های حفاظتی مانند فایروال و آنتی‌ویروس‌ها مواردی است که دولت‌ها باید قویا آن‌ها را مد نظر داشته باشند. چک‌پوینت همچنین آموزش و بالا بردن سطح آگاهی کاربران فضای مجازی را برای کاهش خطرات ناشی از این حمله‌ها مهم دانسته است.