«کلاه سبزها»؛ نیروی سایبری مقاومت چگونه شکل گرفت؟

به گزارش حلقه وصل: به انتقام کودکان غزه؛ جمله کوتاهی که به گفته روزنامه عبری «هاآرتص» عنوان پرونده‌هایی بود که حاوی داده‌های مفصل و مشروح از بیش از دو هزار نظامی نیروی هوایی اسرائیل بود که توسط حماس در ماه ژوئیه گذشته هک شد.

هاآرتص از این این عملیات سایبری با عنوان «کابوس سایبری» یاد کرد، چون طول پرونده‌های هک شده در آن به بیش از 200 صفحه می‌رسید و عملیات در چند مرحله انجام شده بود.

به نظر می‌رسد، اولین مرحله این عملیات دسامبر 2023 انجام شده بود و آخرین مرحله آن به ژوئیه گذشته باز می‌گردد. اطلاعات هک شده هر فایل اطلاعات دقیق درباره هر نظامی از جمله نام کامل، محل خدمت، کد شناسایی، شماره تلفن همراه، آدرس ایمیل، حساب‌های شبکه‌های اجتماعی، نام اعضای خانواده، رمز عبور و شماره پلاک خودرو و اطلاعات حساب‌های بانکی را شامل می‌شد.

این حمله سایبری و فایل‌های هک شده، به یک‌باره و تصادفی انجام نشده بود، بلکه رهاورد سال‌ها تلاش بی‌وقفه و پیشرفت توان سایبری مقاومت بود.

حماس در ماه مه 2021 در مراسم یادبود یکی از رهبران خود به نام «جمعه طلحه» که در نبرد شمشیر قدس در سال 2021 به شهادت رسیده بود، از دستگاهی رونمایی کرد که سلاح سایبری گردان‌های القسام، شاخه نظامی این جنبش به شمار می‌آمد.

شهید طلحه روی ساخت و راه‌اندازی این سلاح سایبری از سال 2014 کار کرده بود و بنا به گفته حماس، خود او فرمانده چندین حمله سایبری بود که تأسیسات راهبردی و نظامی اسرائیل را هدف گرفت و موفق شد، علاوه بر هک و جمع‌آوری داده‌ها، آسیب‌هایی به زیرساخت‌های اسرائیلی نیز وارد کند.

بنابر اعلام گردان‌های القسام، شهید جمعه طلحه بنیانگذار یگان سایبری جنبش حماس بود و به لطف تلاش‌های وی بود که این جنبش یگان سایبری خود را بنا نهاد.

بعد از عملیات طوفان الاقصی برخی از اطلاعات و داده‌های هک شده بر اساس مقتضیات جنگ و در چارچوب جنگ گسترده اطلاعاتی و روانی بین اسرائیل و مقاومت منتشر شدند، اما آن‌ها همه آن‌چه مقاومت در اختیار داشت، نبودند، چون عملیات‌های سایبری مقاومت مدت‌ها قبل از عملیات طوفان الاقصی جریان داشت و پیش‌بینی می‌شود، اپراتورهای پایگاه‌های الکترونیکی غیرنظامی را هم شامل شده باشد.

همچنین مقاومت توانسته بود، اطلاعات و داده‌های دیگری از شبکه‌های اجتماعی و پایگاه‌های داده‌های عمومی توسط برنامه‌ای به نام «پروفایلر» جمع‌آوری کند که به ارائه‌دهندگان آن اجازه جمع‌آوری و مقایسه و ادغام اطلاعات و داده‌ها از منابع باز می‌داد.

به این ترتیب، یگان سایبری مقاومت توانست، اطلاعات شخصی گسترده‌ای از هزاران نفر اسرائیلی به دست آورد که در پایگاه‌های مختلف هوایی ارتش اسرائیل خدمت می‌کردند یا همچنان خدمت می‌کنند.

به گفته «دانا تورین»، رئیس دایره عملیات هیئت امنیت سایبری ارتش اسرائیل، مقاومت به این طریق توانسته تصویری کامل از ما با دقت بالا ترسیم کند.

کارشناسان این عملیات را «هک و درز اطلاعات» توصیف می‌کنند. عملیاتی دو مرحله‌ای برای هک هدف و سپس انتشار داده‌های آن برای راه‌اندازی جنگ روانی علیه دشمن.

خطر درز چنین اطلاعاتی تنها به انتشار اطلاعات گروهی از نظامیان اسرائیلی محدود نمی‌شود، این داده‌ها به مقاومت اجازه انجام عملیات‌های گسترده‌تر و همچنین عملیات‌های فریب را می‌دهد و نظامیان عالی‌رتبه را هدف بگیرد.

یک وبگاه نیروی هوایی اسرائیل هویت چند افسر مورد حمله را تأیید و تأکید کرد، این اطلاعات می‌تواند، آن‌ها را به اهداف جمع‌آوری داده‌های مقاومت تبدیل کند یا در معرض پیگردهای قانونی دیگر کشورها قرار دهد.

عملیات جاسوسی سایبری
گروه‌های مقاومت فلسطینی برای جمع‌آوردی داده‌های اطلاعاتی مدت‌هاست، دست به عملیات‌های جاسوسی سایبری علیه اسرائیل می‌زنند. بر اساس اطلاعات منتشره از سوی مقاومت فلسطینی، این گروه‌ها تاکنون موفق شده‌اند، با انتشار چندین اپلیکیشن داده‌های قابل توجهی از آن‌ها از گوشی‌های همراه‌شان به دست آورند.

یکی از این مهم‌ترین این عملیات‌ها به سال 2018 بازمی‌گردد که طی آن یگان سایبری حماس موفق شد، با راه‌اندازی اپلیکیشن پیش‌بینی بازی‌های جام جهانی 2018 اطلاعات بسیار مهم و گسترده‌ای از تأسیسات و مراکز حساس نظامی ارتش اسرائیل به لطف نصب این اپلیکیشن توسط نظامیان این رژیم در گوشی‌های همراه‌شان به دست آورد.

آوریل سال 2022 بنا به گفته شرکت «سایبرسون»، متخصص در زمینه تهدیدات سایبری، مقاومت چندین عملیات جاسوسی سایبری علیه ارتش اسرائیل انجام داد که به گفته این شرکت بسیار پیچیده بودند.

سایبرسون اعلام کرد که این حملات تعداد زیادی از اسرائیلی‌ها از جمله اسرائیلی‌های صاحب منصب در مؤسسات حساس وزارت جنگ، قوه قضاییه و خدمات ایمنی و اورژانس این را هدف گرفته بود.

همچنین، نیروهای مقاومت با استفاده از الگوریتم‌های فیسبوک هزاران رایانه‌ و گوشی‌ نظامی اسرائیلی برای جمع‌آوری داده‌ها و دسترسی به دوربین و میکروفن دستگاه و گوشی را با نصب ساده یک برنامه هک کردند.

طی عملیات طوفان الاقصی و بعد از آن نیز گزارش وبگاه «کانورسیشن» تأکید می‌کند که نیروهای مقاومت چندین عملیات جاسوسی سایبری را علیه تأسیسات نظامی اسرائیل انجام دادند و این اطلاعات نقش مهمی در موفقیت این عملیات داشت، چون به لطف داده‌های دقیق به دست آمده بود که توانستند، چنین عملیات پیچیده‌ای را انجام دهند.

همچنین گزارش «نیویورک تایمز» خاطرنشان می‌کند که حماس اطلاعات دقیقی از اسرار نظامی ارتش اسرائیل در اختیار دارد که بسیار غافلگیرکننده است، اما غافلگیرکننده‌تر از آن نحوه دستیابی مقاومت به این اطلاعات است، این نشان می‌دهد، حماس در حوزه سایبری پیشرفت‌های بسیاری داشته به ویژه در زمینه ساختار و اداره ارتش اسرائیل، محل تمرکز و استقرار یگان‌ها و تجهیزات آن‌ها به دست آورد که توانسته عملیاتی مانند طوفان الاقصی را اجرا کند.
 
همان‌طور که اشاره شد، عملیات‌های سایبری مقاومت بعد از عملیات طوفان الاقصی نیز ادامه یافت، یگان سایبری مقاومت در یازده ماه گذشته بسیاری از شرکت‌های اسرائیلی، از جمله زیرساخت‌های آن‌ها را هدف گرفتند.

بنابر اذعان برخی از این شرکت‌ها و همچنین یکی از شرکت‌های امنیت سایبری اسرائیل، یگان سایبری حماس تاکنون حملات سایبری بسیاری با استفاده از بدافزارها انجام داده که یکی از آن‌ها برنامه «بی‌بی‌ وایبر» بود که پس از هک اطلاعات آن را نابود می‌کرد.  

نوامبر سال گذشته نیز یک گروه هکری که خود را گروه سایبری طوفان الاقصی معرفی کرد، مسئولیت هک تعدادی از وب‌سایت‌های اسرائیلی و سرقت فایل‌های اطلاعاتی شرکت میزبان وب Signature IT را بر عهده گرفت که مشتریان آن شرکت‌های تجاری مانند آیس، شفا آنلاین، هوم سنتر، اوتو دیپات و ایکیا بودند.

همچنین یک کلیپ نشان می‌داد که آن‌ها موفق به هک کردن وزارت جنگ اسرائیل و دسترسی به میلیون‌ها داده‌ها درباره نیروهای ذخیره و ارتش اسرائیل به ویژه لشکر شمال غزه شده بودند.

کلاه سبزها
اندیشکده شورای آتلانتیک که یک مؤسسه تحقیقاتی آمریکایی در زمینه روابط و امور بین‌الملل است، در گزارش نوامبر 2022 خود به توسعه راهبرد سایبری حماس و چگونگی سازماندهی عملیات‌های سایبری این جنبش اشاره و تأکید می‌کند که عملیات‌های سایبری حماس درحال حاضر به روشی جدید برای نفوذ به درون ارتش اسرائیل و جمع‌آوری داده‌های سری‌تر و بیشتر انجام می‌شود.

این گزارش به یگان سایبری حماس نام «هکرهای کلاه سبز» را داد که اصطلاحی معروف در میان محافل امنیت سایبری است و به کسانی داده می‌شود که دارای تخصص‌های پیشرفته در زمینه هک الکترونیکی باشد.

این افراد شاید تجربه زیادی نداشته باشند، اما پشتکار زیادی برای یادگیری، پیشرفت و متحول شدن دارد و این دقیقاً همان چیزی است که مقاومت در سال های گذشته به ویژه در حوزه سایبری و جمع‌آوری داده‌ها نشان داده است.

این گزارش تأکید می‌کند، آنچه قابل توجه است، گسترش و توسعه قابلیت‌های سایبری این واحد با وجود نداشتن ابزارهای پیشرفته‌ در مقایسه با دیگر گروه‌های هکری در سایر نقاط دنیاست تا جایی که برخی از کارشناسان امنیت سایبری از این‌که مقاومت به چنین توانمندی‌ها و قابلیت‌های سایبری دست‌یافته شگفت‌زده می‌شوند. 

گزارش اندیشکده شورای آتلانتیک خاطرنشان می‌کند که محاصره شدید تحمیل شده بر نوار غزه، نبود مستمر برق، کمبود و نبود زیرساخت‌های مناسب و ارتباطات و کنترل شدید اسرائیل بر نوار غزه، همه و همه باعث می‌شوند، دستیابی مقاومت به این سطح از توانمندی و قابلیت در حوزه سایبری امری اعجاب برانگیز باشد.

رشد و پیشرفت
نیروهای یگان سایبری حماس معمولا به روش‌های تاکتیکی ساده و در عین حال مؤثر برای انجام حملات خود متکی هستند. گزارش گوگل در فوریه گذشته خاطرنشان می‌کند، آن‌ها از عملیات فیشینگ و بدافزار، استفاده‌ از  در‌های پشتی، دسترسی‌های راه دور معمول و در دسترس و ابزارهای مسدودکننده بدافزار که به راحتی می‌توان به آن‌ها دسترسی پیدا کرد، در حملات خود بهره‌ می‌گیرند، در عین حال مشاهده شده، برخی از حملات خود را با همکاری یگان‌های سایبری دیگر گروه‌های مقاومت انجام می‌دهند.

در اوایل سال 2017، واحد سایبری حماس از تکنیک‌های مهندسی اجتماعی برای هدف قرار دادن نظامیان ارتش اسرائیل با نرم‌افزارهای مخرب از طریق چت کردن با آن‌ها از حساب‌های جعلی در پلتفرم فیس‌بوک استفاده کرد. این واحد از پروفایل‌های فیک اسرائیلی برای ترغیب نظامیان ارتش اشغالگر به دانلود یک برنامه پیام رسانی فوری استفاده کرد که تلفن‌های آنها را به ابزار جاسوسی تبدیل می‌کرد.

همچنین این واحد از جاسوس‌افزار روی تلفن‌های همراه از جمله نرم‌افزارهای جاسوسی سفارشی و منبع باز در سیستم اندروید نیز استفاده می‌کند که از طریق فریب الکترونیکی برای هدف ارسال می‌شود.

تیم تجزیه و تحلیل تهدیدات سایبری گوگل می‌گوید که اخیراً یک گروه سایبری وابسته به حماس حملات سایبری گسترده و پیچیده‌ای را علیه اهداف مهم انجام داده که نشان می‌دهد، دارای توانمندی‌های بسیار بالایی است.

گوگل روی این گروه نام BLACKATOM را گذاشته و اظهار می‌کند که این مجموعه امکانات بسیاری مانند فناور‌های پیچیده مهندسی اجتماعی متناسب با اهداف ارزشمند، مانند مهندسان نرم‌افزار، و همچنین توسعه بدافزارهای سفارشی برای سیستم عامل‌های مختلف ویندوز، مک و لینوکس را دارد.

گروه BLACKATOM سپتامبر 2023 مهندسان نرم‌افزارهای اسرائیلی را با ترفندهای مهندسی اجتماعی پیچیده هدف قرار داد که منجر به نصب بدافزار و سرقت کوکی‌ها از رایانه شد.

مجریان عملیات خود را کارمندان شرکت‌های حقیقی معرفی کردند. آن‌ها از پلتفرم لینکدین برای دعوت از اهداف خود برای همکاری با آن‌ها و ارائه فرصت‌های شغلی عالی در حوزه توسعه نرم افزارها به آن‌ها استفاده کردند. لیست اهداف شامل مهندسان نرم افزار در ارتش اسرائیل و صنایع هوایی و نظامی این رژیم را شامل می‌شد.

پس از ارتباط‌گیری‌ اولیه، یک فایل درخواستی برای اهداف ارسال می‌شد که شامل دستورالعمل‌هایی برای شرکت در آزمون ارزیابی مهارت‌های برنامه‌نویسی بود. دستورالعمل‌های موجود در فایل از افراد می‌خواست، یک پروژه ویژوال استودیو را از صفحه‌ای در پلتفرم GitHub یا صفحه‌ای در سرویس Google Drive دانلود کنند و اطلاعات درخواستی در آن را تکمیل و سپس فایل را برای ارزیابی ارسال کنند.

به نظر می‌رسید، این یک برنامه ساده برای جذب نیروی انسانی باشد، در حالی‌که در بطن برنامه‌های دانلود بدافزارهایی جاسازی شده بود تا داده‌های مورد نظر را از هدف بگیرد.

تیم تحلیل تهدیدات گوگل خاطرنشان کرد که این حمله سایبری یک حمله بسیار دقیق و برنامه‌ریزی شده بود که نشان از رشد و توسعه قابلیت‌های سایبری حماس دارد.