واحدهای سایبری روسیه

روسیه از قابلیت‌های سایبری پیچیده‌ای برای انجام اطلاعات نادرست، تبلیغات، جاسوسی و حملات سایبری مخرب در سطح جهان استفاده‌ کرده‌ است. برای انجام این عملیات، روسیه واحدهای متعددی را تحت نظارت سازمان های مختلف امنیتی و اطلاعاتی خود ایجاد کرده است. با این حال، سازمان‌های امنیتی روسیه با یکدیگر رقابت می‌کنند ولی اغلب عملیات‌های مشابهی را بر روی اهداف مشابه انجام می‌دهند. این یادداشت به بررسی اجمالی واحدهای سایبری روسیه می‌پردازد. چرا که با شناخت واحدها و آژانس‌های روسی،  بهتر می‌توان از چرایی و نحوه انجام عملیات سایبری این کشور با خبر شد.

عملیات سایبری اولیه روسیه

بر اساس گزارش‌های رسانه‌ای و دولتی، عملیات سایبری اولیه روسیه عمدتاً شامل حملات انکار سرویس توزیع‌شده (DDoS-Distributed Denial of Service ) بود و اغلب به همکاری یا استخدام هکرهای جنایتکار و غیرنظامی متکی است. در این نوع از عملیات‌ها، بازیگران سعی در تخریب داده‌ها را  ندارند، بلکه سعی می‌کنند ترافیک سیستم عامل‌ها را از کار بیاندازند. [1]

در سال 2007، استونی هدف یک حمله سایبری در مقیاس بزرگ قرار گرفت که اکثر ناظران آن را به گردن روسیه انداختند. اهداف روسیه از بانک های آنلاین و رسانه‌ها گرفته تا وب‌سایت‌های دولتی و سرویس‌های ایمیل را شامل می‌شد.

اندکی پس از آن، روسیه دوباره از حملات DDoS در جنگ اوت 2008 با گرجستان استفاده کرد. اگرچه روسیه مسئولیت آن را نپذیرفت، اما گرجستان قربانی یک حمله سایبری در مقیاس بزرگ شد که با اقدامات نظامی روسیه مطابقت داشت. تحلیلگران 54 هدف بالقوه را شناسایی کردند (به عنوان مثال، رسانه های دولتی، مالی و رسانه ای)، از جمله بانک ملی گرجستان، که تمام عملیات الکترونیکی این نهادها به مدت 12 روز به حالت تعلیق درآمده بود.

آژانس های امنیتی و اطلاعاتی روسیه

هیچ سازمان امنیتی یا اطلاعاتی روسیه به تنهایی مسئولیت عملیات سایبری این کشور را ندارد. البته این تکثر باعث دامن زدن به رقابت بین آژانس‌ها روسیه می شود. رقابتی بر سر منابع، پرسنل و قدرت.

به نظر می‌رسد برخی از آژانس‌ها، توسعه قابلیت‌های داخلی را در اولویت قرار می‌دهند، در حالی که برخی دیگر به دنبال قرارداد با بازیگران خارجی برای عملیات‌های سایبری هستند. اما جالب است بدانید که واحدهای سایبری روسیه، عملیات‌های مشابه انجام می‌دهند تا باعث سختی در شناسایی مرجع حملات سایبری شوند.

سازمان‌های امنیتی- سایبری ارتش روسیه

اداره اصلی ستاد کل، که معمولاً GRU نامیده می‌شود، آژانس اطلاعاتی-نظامی روسیه است. GRU در برخی از مشهورترین و مخرب‌ترین عملیات‌های سایبری روسیه دخیل بوده است. گزارش‌های رسانه‌ای و کیفرخواست‌های دولت ایالات متحده دو واحد اصلی سایبری GRU را شناسایی می‌کنند. وزارت دادگستری ایالات متحده (DOJ) پرسنل هر دو واحد را به دلیل اقداماتی چون دخالت در انتخابات ریاست جمهوری 2016 ایالات متحده تا حملات سایبری مخرب متعدد متهم کرده است.

GRU همچنین چندین مؤسسه تحقیقاتی را کنترل می‌کند که به توسعه ابزارهای هک و بدافزار کمک می‌کنند.

گاهی اوقات به این واحدهایGRU، تهدید پایدار پیشرفته 28 یا APT28 (Advanced Persistent Threa) ، خرس فانتزی(Fancy Bear)، خرس وودو(Voodoo Bear)، کرم شنی(Sandworm) و تیم تزار(Tsar Team) نیز گفته می شود. اما دو واحد اصلی سایبری GRU شامل موارد زیر می‌شوند:

واحد 26165 (Unit 26165): واحد 26165 یکی از دو گروه سایبری روسی است که توسط دولت ایالات متحده به عنوان مسئول هک کمیته دموکرات‌ها در مبارزات انتخاباتی کنگره، کمیته ملی دموکرات و کمپین ریاست جمهوری هیلاری کلینتون شناسایی شده است. رسانه‌ها و دولت‌های غربی همچنین واحد 26165 را به عملیات سایبری علیه اهداف سیاسی، دولتی و بخش خصوصی در ایالات متحده و اروپا نیز مرتبط کرده اند.

واحد 74455 (Unit 74455): واحد 74455 با برخی از  مخرب‌ترین حملات سایبری روسیه مرتبط است. دولت ایالات متحده واحد 74455 را به عنوان مسئول انتشار هماهنگ ایمیل‌ها و اسناد دزدیده شده در جریان انتخابات ریاست جمهوری 2016 ایالات متحده شناسایی کرده است. برخلاف تمرکز اولیه [این واحد] بر روی  نفوذ کردن بر سیستم‌ها و جمع‌آوری اطلاعات، به نظر می‌رسد واحد 74455 دارای قابلیت‌های سایبری تهاجمی قابل توجه‌ی باشد. DOJ ادعا می‌کند که واحد 74455 مسئول حملات سایبری مخرب متعددی است. در اکتبر 2020، DOJ اعضای GRU Unit 74455 را به دلیل حملات سایبری متعدد، از جمله حمله بدافزار NotPetya در سال 2017متهم کرد. شرکت ضد ویروس اِی سِت (ESET) در 28 ژوئن 2017 تخمین زد که 80٪ از کل سیستم‌های درگیر این بدافزار در اوکراین بوده است، و آلمان با حدود 9٪  نیز در رتبه دوم قرار داشته است. [2]این بدافزار به زودی در سطح جهانی گسترش یافت و خسارت قابل توجهی به کشورها و کسب‌و‌کار هایی فراتر از اوکراین وارد کرد. در آن روز، آزمایشگاه کسپرسکی(Kaspersky Lab) موارد ویروسی را نیز در فرانسه، ایتالیا، لهستان، بریتانیا و ایالات متحده گزارش کرد، با این حال اکثریت عوامل ویروسی، اوکراین را مورد هدف قرار دادند، که در  ابتدا امر،  بیش از 80 شرکت از جمله بانک ملی اوکراین را مورد حمله قرار گرفتند. [3]

سرویس اطلاعات خارجی روسیه (Foreign Intelligence Service)

سرویس اطلاعات خارجی (SVR) سرویس اصلی اطلاعات خارجی غیرنظامی روسیه است.  SVR همچنین به داشتن سطح بالایی از تخصص فنی معروف است. این سازمان مسئول جمع‌آوری اطلاعات خارجی با استفاده از روش‌های انسانی، سیگنالی، روش‌های الکترونیکی و سایبری است.. اکثر ناظران اذعان دارند که SVR با تاکید شدید بر حفظ مخفی‌کاری و اجتناب از شناسایی عمل می‌کند. اغلب عملیات های سایبری مرتبط با SVR بر گردآوری اطلاعات متمرکز بوده‌اند لذا در مقابل GRU قرار می‌گیرد که ایجاد خسارت از طریق حملات سایبری شهرت بیشتری دارد.

گاهی اوقات به  آنها هکرهای APT29، Cozy Bear و  دوک‌ها (  Dukes) نیز گفته می‌شود. دولت ایالات متحده SVR را یکی از دو واحد سایبری روسیه معرفی کرد که مسئول هک کمپین‌های سیاسی در طول انتخابات ریاست جمهوری سال 2016 ایالات متحده بود.

با وجود تمرکز بر عملیات مخفیانه، در سال 2018، یک روزنامه هلندی گزارش داد که اطلاعات هلند زیرساخت های SVR را به خطر انداخته و اطلاعات مهمی را در اختیار دولت ایالات متحده قرار داده است. بر اساس گزارش‌ها، فعالیت SVR از آن زمان افزایش یافته و این واحد با عملیات‌های جاسوسی سایبری متعددی مرتبط بوده است.

اخیراً، گزارش‌ها SVR را به جاسوسی سایبری در تحقیقات واکسن کووید-19 و ابزارهای شرکت امنیت سایبری FireEye مرتبط می‌کنند. گزارش‌ها همچنین SVR  متهم به حمله‌ی  SolarWinds می‌کنند. SolarWinds  یک شرکت آمریکایی است که به مدیریت شبکه ها، سیستم ها و زیرساخت های فناوری اطلاعات شرکت های دیگر کمک کند.

سرویس امنیت فدرال (Federal Security Service)

سرویس امنیت فدرال (FSB) آژانس اصلی  امنیت داخلی روسیه است که مسئولیت امنیت داخلی و ضد جاسوسی را بر عهده دارد. ماموریت‌های آن شامل محافظت از روسیه در برابر عملیات سایبری خارجی و نظارت بر هکرهای جنایتکار داخلی است. ماموریتی که به طور مشترک با ساختمان K وزارت کشور انجام می‌شود. در سال‌های اخیر، FSB مأموریت خود را به جمع‌آوری اطلاعات خارجی و عملیات سایبری تهاجمی گسترش داده است.

گزارش‌های رسانه‌ای، ارتباط نزدیک بین FSB و هکرهای جنایی و غیرنظامی را گزارش کرده‌اند، که طبق گزارش‌ها، FSB از آنها برای تقویت و کارکنان واحدهای سایبری خود استفاده می‌کند. FSB می‌تواند هکرهای غیرنظامی و جنایتکار را با تهدید به زندان مجبور به کار کردن به عنوان پیمانکار کند یا برای آنها زمنیه‌ی تجارت آزاد را فراهم آورد.

گاهی اوقات به هکرهای FSB با نام های Berserk Bear، Energetic Bear، Gamaredon، TeamSpy، Dragonfly، Havex، Crouching Yeti و Koala نیز گفته می‌شود.

گزارش شده است که یکی از تیم های FSB بر روی نفوذ به زیر ساخت‌ها  و  بر بخش های مربوط به انرژی متمرکز است.  برخلاف سایر تیم‌های هکری، اکثر عملیات‌های مرتبط با این تیم به ‌نظر می‌رسد ناظر به شناسایی مخفیانه باشد. هدف قرار دادن بخش انرژی باعث نگرانی دولت ایالات متحده شده است.  دولت ایالات متحده همچنین این واحد را به تلاش برای نفوذ به شبکه های دولتی و محلی در سال 2020 مرتبط کرده است.

گزارش رسانه‌ای نشان می‌دهد که یکی دیگر از واحدهای فعال و پیچیده FSB، قادر به ساخت ابزارهای بدافزار پیشرفته است. هم چنین گزارش شده است که این واحد به تقلید از سایر تیم‌های هکری، در حال دستکاری بدافزارهای رها شده است و سعی در  پنهان کردن فعالیت خود دارد.

سرویس حفاظتی فدرال (Federal Protective Service)

سرویس حفاظتی فدرال (FSO) مسئول امنیت فیزیکی و الکترونیکی دولت و پرسنل دولتی است. به این ترتیب، قابلیت‌های الکترونیکی گسترده‌ای برای تضمین امنیت ارتباطات دولت روسیه دارد. به نظر می‌رسد FSO در درجه اول نگران دفاع از شبکه‌های دولتی روسیه است و هیچ نشانه‌ای وجود ندارد که عملیات تهاجمی را آغاز کرده باشد.

آژانس تحقیقات اینترنتی (Internet Research Agency)

آژانس تحقیقات اینترنت یک سازمان خصوصی است که توسط یوگنی پریگوژین یکی از نزدیکان پوتین تامین مالی می‌شود و از اطلاعات نادرست و عملیات تبلیغاتی دولت روسیه حمایت می‌کند.

این گروه که اغلب تحت عنوان کارخانه ترول(troll factory)، مزرعه ترول(troll farm) شناخته می‌شود، با جعل هویت فعالان داخلی و مردم، عمدتاً از طریق کانال‌های مختلف رسانه‌های اجتماعی، بر اطلاعات نادرست متمرکز شده است.

در سال 2018، دولت ایالات متحده آژانس تحقیقات اینترنت و کارکنان آن را به دلیل تلاش برای ایجاد اختلاف و نفوذ بر نظام سیاسی ایالات متحده، از جمله در جریان انتخابات ریاست جمهوری 2016، متهم کرد.

بر اساس گزارشی از :
https://crsreports.congress.gov/product/pdf/IF/IF11718
[1]https://www.sciencedirect.com/topics/computer-science/distributed-denial-of-service#:~:text=F%20DDoS%20Agents,where%20normal%20work%20cannot%20proceed.
[2] https://www.bbc.com/news/technology-40428967
[3]https://www.bloomberg.com/news/articles/2017-06-27/ukraine-russia-report-ransomware-computer-virus-attacks