روسیه از قابلیتهای سایبری پیچیدهای برای انجام اطلاعات نادرست، تبلیغات، جاسوسی و حملات سایبری مخرب در سطح جهان استفاده کرده است. برای انجام این عملیات، روسیه واحدهای متعددی را تحت نظارت سازمان های مختلف امنیتی و اطلاعاتی خود ایجاد کرده است. با این حال، سازمانهای امنیتی روسیه با یکدیگر رقابت میکنند ولی اغلب عملیاتهای مشابهی را بر روی اهداف مشابه انجام میدهند. این یادداشت به بررسی اجمالی واحدهای سایبری روسیه میپردازد. چرا که با شناخت واحدها و آژانسهای روسی، بهتر میتوان از چرایی و نحوه انجام عملیات سایبری این کشور با خبر شد.
عملیات سایبری اولیه روسیه
بر اساس گزارشهای رسانهای و دولتی، عملیات سایبری اولیه روسیه عمدتاً شامل حملات انکار سرویس توزیعشده (DDoS-Distributed Denial of Service ) بود و اغلب به همکاری یا استخدام هکرهای جنایتکار و غیرنظامی متکی است. در این نوع از عملیاتها، بازیگران سعی در تخریب دادهها را ندارند، بلکه سعی میکنند ترافیک سیستم عاملها را از کار بیاندازند. [1]
در سال 2007، استونی هدف یک حمله سایبری در مقیاس بزرگ قرار گرفت که اکثر ناظران آن را به گردن روسیه انداختند. اهداف روسیه از بانک های آنلاین و رسانهها گرفته تا وبسایتهای دولتی و سرویسهای ایمیل را شامل میشد.
اندکی پس از آن، روسیه دوباره از حملات DDoS در جنگ اوت 2008 با گرجستان استفاده کرد. اگرچه روسیه مسئولیت آن را نپذیرفت، اما گرجستان قربانی یک حمله سایبری در مقیاس بزرگ شد که با اقدامات نظامی روسیه مطابقت داشت. تحلیلگران 54 هدف بالقوه را شناسایی کردند (به عنوان مثال، رسانه های دولتی، مالی و رسانه ای)، از جمله بانک ملی گرجستان، که تمام عملیات الکترونیکی این نهادها به مدت 12 روز به حالت تعلیق درآمده بود.
آژانس های امنیتی و اطلاعاتی روسیه
هیچ سازمان امنیتی یا اطلاعاتی روسیه به تنهایی مسئولیت عملیات سایبری این کشور را ندارد. البته این تکثر باعث دامن زدن به رقابت بین آژانسها روسیه می شود. رقابتی بر سر منابع، پرسنل و قدرت.
به نظر میرسد برخی از آژانسها، توسعه قابلیتهای داخلی را در اولویت قرار میدهند، در حالی که برخی دیگر به دنبال قرارداد با بازیگران خارجی برای عملیاتهای سایبری هستند. اما جالب است بدانید که واحدهای سایبری روسیه، عملیاتهای مشابه انجام میدهند تا باعث سختی در شناسایی مرجع حملات سایبری شوند.
سازمانهای امنیتی- سایبری ارتش روسیه
اداره اصلی ستاد کل، که معمولاً GRU نامیده میشود، آژانس اطلاعاتی-نظامی روسیه است. GRU در برخی از مشهورترین و مخربترین عملیاتهای سایبری روسیه دخیل بوده است. گزارشهای رسانهای و کیفرخواستهای دولت ایالات متحده دو واحد اصلی سایبری GRU را شناسایی میکنند. وزارت دادگستری ایالات متحده (DOJ) پرسنل هر دو واحد را به دلیل اقداماتی چون دخالت در انتخابات ریاست جمهوری 2016 ایالات متحده تا حملات سایبری مخرب متعدد متهم کرده است.
GRU همچنین چندین مؤسسه تحقیقاتی را کنترل میکند که به توسعه ابزارهای هک و بدافزار کمک میکنند.
گاهی اوقات به این واحدهایGRU، تهدید پایدار پیشرفته 28 یا APT28 (Advanced Persistent Threa) ، خرس فانتزی(Fancy Bear)، خرس وودو(Voodoo Bear)، کرم شنی(Sandworm) و تیم تزار(Tsar Team) نیز گفته می شود. اما دو واحد اصلی سایبری GRU شامل موارد زیر میشوند:
واحد 26165 (Unit 26165): واحد 26165 یکی از دو گروه سایبری روسی است که توسط دولت ایالات متحده به عنوان مسئول هک کمیته دموکراتها در مبارزات انتخاباتی کنگره، کمیته ملی دموکرات و کمپین ریاست جمهوری هیلاری کلینتون شناسایی شده است. رسانهها و دولتهای غربی همچنین واحد 26165 را به عملیات سایبری علیه اهداف سیاسی، دولتی و بخش خصوصی در ایالات متحده و اروپا نیز مرتبط کرده اند.
واحد 74455 (Unit 74455): واحد 74455 با برخی از مخربترین حملات سایبری روسیه مرتبط است. دولت ایالات متحده واحد 74455 را به عنوان مسئول انتشار هماهنگ ایمیلها و اسناد دزدیده شده در جریان انتخابات ریاست جمهوری 2016 ایالات متحده شناسایی کرده است. برخلاف تمرکز اولیه [این واحد] بر روی نفوذ کردن بر سیستمها و جمعآوری اطلاعات، به نظر میرسد واحد 74455 دارای قابلیتهای سایبری تهاجمی قابل توجهی باشد. DOJ ادعا میکند که واحد 74455 مسئول حملات سایبری مخرب متعددی است. در اکتبر 2020، DOJ اعضای GRU Unit 74455 را به دلیل حملات سایبری متعدد، از جمله حمله بدافزار NotPetya در سال 2017متهم کرد. شرکت ضد ویروس اِی سِت (ESET) در 28 ژوئن 2017 تخمین زد که 80٪ از کل سیستمهای درگیر این بدافزار در اوکراین بوده است، و آلمان با حدود 9٪ نیز در رتبه دوم قرار داشته است. [2]این بدافزار به زودی در سطح جهانی گسترش یافت و خسارت قابل توجهی به کشورها و کسبوکار هایی فراتر از اوکراین وارد کرد. در آن روز، آزمایشگاه کسپرسکی(Kaspersky Lab) موارد ویروسی را نیز در فرانسه، ایتالیا، لهستان، بریتانیا و ایالات متحده گزارش کرد، با این حال اکثریت عوامل ویروسی، اوکراین را مورد هدف قرار دادند، که در ابتدا امر، بیش از 80 شرکت از جمله بانک ملی اوکراین را مورد حمله قرار گرفتند. [3]
سرویس اطلاعات خارجی روسیه (Foreign Intelligence Service)
سرویس اطلاعات خارجی (SVR) سرویس اصلی اطلاعات خارجی غیرنظامی روسیه است. SVR همچنین به داشتن سطح بالایی از تخصص فنی معروف است. این سازمان مسئول جمعآوری اطلاعات خارجی با استفاده از روشهای انسانی، سیگنالی، روشهای الکترونیکی و سایبری است.. اکثر ناظران اذعان دارند که SVR با تاکید شدید بر حفظ مخفیکاری و اجتناب از شناسایی عمل میکند. اغلب عملیات های سایبری مرتبط با SVR بر گردآوری اطلاعات متمرکز بودهاند لذا در مقابل GRU قرار میگیرد که ایجاد خسارت از طریق حملات سایبری شهرت بیشتری دارد.
گاهی اوقات به آنها هکرهای APT29، Cozy Bear و دوکها ( Dukes) نیز گفته میشود. دولت ایالات متحده SVR را یکی از دو واحد سایبری روسیه معرفی کرد که مسئول هک کمپینهای سیاسی در طول انتخابات ریاست جمهوری سال 2016 ایالات متحده بود.
با وجود تمرکز بر عملیات مخفیانه، در سال 2018، یک روزنامه هلندی گزارش داد که اطلاعات هلند زیرساخت های SVR را به خطر انداخته و اطلاعات مهمی را در اختیار دولت ایالات متحده قرار داده است. بر اساس گزارشها، فعالیت SVR از آن زمان افزایش یافته و این واحد با عملیاتهای جاسوسی سایبری متعددی مرتبط بوده است.
اخیراً، گزارشها SVR را به جاسوسی سایبری در تحقیقات واکسن کووید-19 و ابزارهای شرکت امنیت سایبری FireEye مرتبط میکنند. گزارشها همچنین SVR متهم به حملهی SolarWinds میکنند. SolarWinds یک شرکت آمریکایی است که به مدیریت شبکه ها، سیستم ها و زیرساخت های فناوری اطلاعات شرکت های دیگر کمک کند.
سرویس امنیت فدرال (Federal Security Service)
سرویس امنیت فدرال (FSB) آژانس اصلی امنیت داخلی روسیه است که مسئولیت امنیت داخلی و ضد جاسوسی را بر عهده دارد. ماموریتهای آن شامل محافظت از روسیه در برابر عملیات سایبری خارجی و نظارت بر هکرهای جنایتکار داخلی است. ماموریتی که به طور مشترک با ساختمان K وزارت کشور انجام میشود. در سالهای اخیر، FSB مأموریت خود را به جمعآوری اطلاعات خارجی و عملیات سایبری تهاجمی گسترش داده است.
گزارشهای رسانهای، ارتباط نزدیک بین FSB و هکرهای جنایی و غیرنظامی را گزارش کردهاند، که طبق گزارشها، FSB از آنها برای تقویت و کارکنان واحدهای سایبری خود استفاده میکند. FSB میتواند هکرهای غیرنظامی و جنایتکار را با تهدید به زندان مجبور به کار کردن به عنوان پیمانکار کند یا برای آنها زمنیهی تجارت آزاد را فراهم آورد.
گاهی اوقات به هکرهای FSB با نام های Berserk Bear، Energetic Bear، Gamaredon، TeamSpy، Dragonfly، Havex، Crouching Yeti و Koala نیز گفته میشود.
گزارش شده است که یکی از تیم های FSB بر روی نفوذ به زیر ساختها و بر بخش های مربوط به انرژی متمرکز است. برخلاف سایر تیمهای هکری، اکثر عملیاتهای مرتبط با این تیم به نظر میرسد ناظر به شناسایی مخفیانه باشد. هدف قرار دادن بخش انرژی باعث نگرانی دولت ایالات متحده شده است. دولت ایالات متحده همچنین این واحد را به تلاش برای نفوذ به شبکه های دولتی و محلی در سال 2020 مرتبط کرده است.
گزارش رسانهای نشان میدهد که یکی دیگر از واحدهای فعال و پیچیده FSB، قادر به ساخت ابزارهای بدافزار پیشرفته است. هم چنین گزارش شده است که این واحد به تقلید از سایر تیمهای هکری، در حال دستکاری بدافزارهای رها شده است و سعی در پنهان کردن فعالیت خود دارد.
سرویس حفاظتی فدرال (Federal Protective Service)
سرویس حفاظتی فدرال (FSO) مسئول امنیت فیزیکی و الکترونیکی دولت و پرسنل دولتی است. به این ترتیب، قابلیتهای الکترونیکی گستردهای برای تضمین امنیت ارتباطات دولت روسیه دارد. به نظر میرسد FSO در درجه اول نگران دفاع از شبکههای دولتی روسیه است و هیچ نشانهای وجود ندارد که عملیات تهاجمی را آغاز کرده باشد.
آژانس تحقیقات اینترنتی (Internet Research Agency)
آژانس تحقیقات اینترنت یک سازمان خصوصی است که توسط یوگنی پریگوژین یکی از نزدیکان پوتین تامین مالی میشود و از اطلاعات نادرست و عملیات تبلیغاتی دولت روسیه حمایت میکند.
این گروه که اغلب تحت عنوان کارخانه ترول(troll factory)، مزرعه ترول(troll farm) شناخته میشود، با جعل هویت فعالان داخلی و مردم، عمدتاً از طریق کانالهای مختلف رسانههای اجتماعی، بر اطلاعات نادرست متمرکز شده است.
در سال 2018، دولت ایالات متحده آژانس تحقیقات اینترنت و کارکنان آن را به دلیل تلاش برای ایجاد اختلاف و نفوذ بر نظام سیاسی ایالات متحده، از جمله در جریان انتخابات ریاست جمهوری 2016، متهم کرد.
بر اساس گزارشی از :
https://crsreports.congress.gov/product/pdf/IF/IF11718
[1]https://www.sciencedirect.com/topics/computer-science/distributed-denial-of-service#:~:text=F%20DDoS%20Agents,where%20normal%20work%20cannot%20proceed.
[2] https://www.bbc.com/news/technology-40428967
[3]https://www.bloomberg.com/news/articles/2017-06-27/ukraine-russia-report-ransomware-computer-virus-attacks