هکرهای ایرانی، مظنون اول حمله به یک شرکت مخابراتی بزرگ در اسرائیل

روز شنبه ۲۷ شهریور ۱۴۰۰، هکرهایی در خارج از خاک اسرائیل با استفاده از تعطیلات عید «سوکوت»، جشن هشت‌ روزه‌ یهودیان به مناسبت آزادی اجدادشان از بردگی مصری‌ها، به شبکه ‌داخلی و سرورهای شرکت «وُیسِنتر» (Voicenter) حمله کرده و به احتمال قوی، اطلاعات و سرمایه‌های معنوی این شرکت را که یکی از بزرگ‌ترین شرکت‌های مخابراتی اسرائیل محسوب می‌شود، به سرقت برده‌اند.

شرکت وُیسِنتر به صورت رسمی هدف قرار گرفتن شبکه ‌داخلی و سرور‌های خود را تایید کرده و مدعی شده که در خلال این حمله، هیچ اطلاعات و یا سرمایه معنوی از این شرکت به سرقت نرفته است.

با این وجود، یک گروه از هکرهای ناشناس که خود را گروه «دئوس» (Deus) معرفی کرده‌، بخشی از اطلاعات محرمانه وُیسِنتر، از جمله فایل صوتی گفت‌وگوی کارکنان این شرکت در نرم‌افزار پیام‌رسان واتس‌اپ را در یکی از وب‌سایت‌های مخصوص فروش اطلاعات سرقت شده در اینترنت منتشر کرده است.

این گروه هکری ناشناس اعلام کرده است که حدود ۱۵ ترابایت از اطلاعات محرمانه شرکت وُیسِنتر را در اختیار دارد که آن را به صورت مجازی، به قیمت یک‌ونیم میلیون دلار به فروش می‌رساند.

نشریه «هاآرتص»، چاپ اسرائیل، در گزارش خود در خصوص این حمله سایبری به نظر یک کارشناس حملات باج‌افزاری که در زمینه واسطه‌گری بین گردانندگان باج‌افزارها و قربانیان فعالیت دارد، اشاره کرده و گفته است به نظر نمی‌رسد حمله انجام شده به شرکت مخابراتی وُیسِنتر صرفا با انگیزه مالی رخ داده باشد.

کارشناسان امنیت سایبری نیز در اظهار نظرهای مختلف در فضای مجازی به این موضوع اشاره دارند که درصورت صحت ادعای مهاجمان مبنی بر سرقت ۱۵ ترابایت از اطلاعات محرمانه شرکت وُیسِنتر، دامنه عواقب این هک و نفوذ می‌تواند از انگیزه‌های مالی فراتر باشد و تهدید‌های جدی تری را متوجه این شرکت، مشتریان آن و حتی فراتر از آن‌ها کند.

کارشناسان هم‌چنین احتمال خراب‌کاری در زیرساخت‌های وُیسِنتر را مطرح کرده‌ و نسبت به خطرات ناشی از آن هشدار داده‌اند.

هر روزه چند میلیون شهروند اسرائیلی به صورت مستقیم و یا به واسطه شرکت‌های بزرگ مانند شرکت تلفن همراه «پارتنر»، «موبایل‌آی»، «ای‌تورو»، «اکسپون»، «سیمیلار وب»، «گِت» و «وی‏۴جی» از شرکت وُیسنتر خدمات دریافت می‌کنند.

شرکت وُیسنتر حتی به شرکت‌های مطرح امنیت سایبری نظیر شرکت امریکایی-اسرائیلی «چک‌پوینت» (Checkpoint) که خود یکی از شرکت‌های پیشتاز در شکار مجرمان سایبری در سراسر دنیا است، خدمات ارایه می‌دهد.

چک‌پوینت شرکتی بود که ماه مهر سال گذشته حملات باج‌افزاری هکرهای ایرانی به اهدافی در اسرائیل و اروپا را کشف و گزارش کرده بود. در آن حمله‌ها، هکرها با استفاده از باج‌افزاری به نام «Pay2key»، بسیاری از شرکت‌ها را گرفتار خود کرده و مبالغ هنگفتی را از آن‌ها خواسته بودند. چک‌پوینت با ره‌گیری باج درخواست ‌شده توسط هکرها، در نهایت به یکی از کیف‌​های اینترنتی در وب‌​سایت ایرانی «www.excoino.com»، متعلق به «شرکت دانش​‌بنیان اکسکوینو» رسیده بود که ثابت می‌کرد عوامل پشت پرده این باج‌افزار در ایران هستند.

شرکت اکسکوینو از جمله شرکت‌​های فعال در حوزه پول اینترنتی است که از سال ۱۳۹۶ کار خود را به صورت رسمی در ایران آغاز کرده و در حوزه دور زدن تحریم​‌های ایالات متحده از طریق تبدیل پول به «بیت‌کوین»، نقش پررنگی داشته است.

اگرچه «نیتزان گوتمن»، بنیان‌گذار شرکت وُیسنتر گفته است داده‌های شرکتش در«پتح‎‌تیکوا»، واقع در شهر «تل‌آویو» در حال واکاوی هستند و تحقیقات در خصوص رد پاهای به جا مانده از هکرها کماکان ادامه دارد اما رسانه‌های اسرائیلی و هم‌چنین کارشناسان امنیت سایبری انگشت اتهام را به سوی هکرهای ایرانی گرفته‌اند.

آخرین تهاجم موفق به زیرساخت‌های خدماتی اسرائیل در این مقیاس، به آذر سال گذشته و هک شبکه‌ داخلی و سرورهای شرکت بیمه «شیربیت» باز می‌گردد. در آن حمله، یک گروه هکری به نام «سایه سیاه» (Black Shadow) ادعای سرقت اطلاعات و نابودی داده‌های شیربیت، یکی از بزرگ‌ترین شرکت‌های فعال در حوزه بیمه املاک و مستغلات، خودرو و بیمه‌​های مسافرتی در اسرائیل را مطرح کرده بودند. اگرچه  شیربیت در ابتدا ادعای هکرها را رد کرده و از محفوظ بودن اطلاعات مشتریان خود سخن گفته بود اما هکرهای سایه سیاه در کانال تلگرامی خود ده‌ها سند مرتبط با مناسبات مالی این شیربیت، مناسبات مالی مشتریان، تصویر گذرنامه شهروندان اسرائیلی، اطلاعات شخصی افراد بیمه شده، فایل صوتی گفت‌وگو​ی کارکنان شرکت شیربیت، محتو​ای ایمیل‌​های اداری، مدارک مربوط به خرید و فروش خودروهای دسته دوم و مواردی از این را در اینترنت در معرض دید عموم قرار دادند.

در میان این اسناد، اطلاعات مهمی هم‌چون اطلاعات شخصی یک قاضی فدرال مشغول به خدمت در اسرائیل و هم‌چنین شرکت‌های وابسته به ارتش اسرائیل به چشم می‌خورد؛ اطلاعاتی که از جانب دولت اسرائیل محرمانه تلقی شده‌اند و انتشار آن می‌توانست به قیمت جان افراد فعال در موقعیت‌های حساس دولتی تمام شود.

ضربه وارد شده به زیرساخت‌های شیربیت به حدی بود که حتی پس از این که «زویکا لیبوشور»، مدیر ارشد این شرکت از دفع حمله و کنترل شرایط سخن گفت، هکرهای سایه سیاه در کانال تلگرامی خود تصویر ایمیل‌های او در لحظه مطرح کردن این موضوعات را منتشر کردند.

اما داستان حمله‌های کلان سایبری به اهداف اسرائیلی به همین ‌جا ختم نشد. تنها دو روز پس از هک شرکت شیربیت، گروهی از هکرهای ایرانی ویدیویی را که نشان می‌داد اعضای این گروه توانسته‌​اند با استفاده از ضعف امنیتی موجود در سیستم کنترل صنعتی (ICS)، یک مخزن بازیافت آب  ( (Reclaimed waterدر اسرائیل را هک کنند و از بخش مدیریت و کنترل عملکرد این مرکز دسترسی بگیرند.

شرکت امنیت سایبری «اوتریو» (OTORIO)، کاشف این حمله در گزارشی به تشریح عملکرد هکرها پرداخته و گفته بود مهاجمان با استفاده از ضعف امنیتی موجود در سیستم رابط انسان و ماشین (HMI) این مخزن، توانسته‌​ بودند از طریق اینترنت جهانی و بدون برخورد به هیچ سیستم تایید اعتبار، به این مجموعه نفوذ کنند و از بخش​‌های مهم آن دسترسی بگیرند.

شرکت اوتریو گفته بود این دسترسی به حدی جدی و عمیق بوده است که مهاجمان توانسته‌اند به هر میزان که مایل بوده، تنظیمات حیاتی سیستم، مانند فشار آب و یا میزان دمای سیستم را تغییر داده و حتی یک فاجعه به بار بیاورند.

هکرهای این مخزن بازیافت آب که خود را با عنوان گروه «Unidentified TEAM» معرفی​ می​‌کنند، برای اولین بار ویدیوی این نفوذ را در کانال تلگرامی فارسی‌زبان خود منتشر کردند.

این گروه چند روز پیش از این نیز به عنوان انتقام قتل «محسن فخری​‌زاده مهابادی»، معاون وزیر دفاع و رییس سازمان پژوهش‌​های نوین دفاعی ایران، در هفتم آذر ۱۳۹۹، حملاتی را به چند وب‌سایت حاشیه‌​ای امریکایی، از جمله وب‌سایت آموزشی دولت محلی ایالت تگزاس انجام داده بودند.

شرکت اوتریو هکرهای ایرانی را فاقد دانش عمیق صنعتی دانسته و گفته بود که آن‌ها توانایی چندانی برای بهره‌برداری حداکثری از این ضعف امنیتی نداشته‌اند. 

دولت اسرائیل پس از این حمله سایبری، به طور رسمی جمهوری اسلامی را عامل حمله معرفی کرده و گفته بود که رژیم حاکم بر ایران با هدف مسموم کردن عمدی شهروندان اسرائیلی در خلال عالم‌گیری ویروس کرونا، این تهاجم را سازمان‌دهی کرده است.

گفته می‌شود حمله سایبری سال گذشته به اسکله بندر رجایی در جنوب ایران پاسخی بود که اسرائیل به تلافی این حمله انجام داد.