لبدوختگان ماههاست که سیستماتیک زیرساختهای ایران را هدف قرار میدهند، و وقتی درباره آخرین عملیاتشان با من تماس گرفتند، میدانستم که حتماً چیز مهمی است. این گروه شوخی ندارد - حمله اسفندشان به ۱۱۶ کشتی این را ثابت کرده بود. اما حتی با دانستن سابقهشان، مدارکی که از عملیات اخیرشان به اشتراک گذاشتند شوکهام کرد: ۶۴ کشتی از دنیا قطع شده، سیستمهای ناوبری کشتیها پاک شده، و تخریب دیجیتالی آنقدر کامل که بعضی کشتیها ممکن است ماهها آفلاین بمانند.
این گروه ۳۹ نفتکش و ۲۵ کشتی باری متعلق به دو غول تحریمشده دریایی ایران، NITC و کشتیرانی جمهوری اسلامی IRISL را زدهاند. در حالی که به رسانهها فقط تیتر را دادند - "ارتباطات کشتیها مختل شد" - شواهد فنی داستان خیلی تاریکتری را روایت میکند.
بگذارید قدم به قدم نشانتان دهم واقعاً چه اتفاقی افتاده.
هکرها مستقیم سراغ کشتیها نرفتند. این تقریباً غیرممکن بود - باید دهها کشتی جداگانه که در سراسر جهان پراکندهاند را هک میکردید. در عوض، چیز بهتری پیدا کردند: گروه فن آوا، یک شرکت IT ایرانی که اتفاقاً ارتباطات ماهوارهای کل ناوگان را تأمین میکند.
اسکرینشاتهایی که فرستادند دسترسی root روی ترمینالهای لینوکس با نرمافزار ماهوارهای iDirect را نشان میدهد - نسخه 2.6.35 که از نظر امنیت سایبری عتیقه محسوب میشود. داریم درباره نرمافزاری حرف میزنیم که احتمالاً آسیبپذیریهای شناختهشدهاش از Internet Explorer مادربزرگم هم بیشتر است.
اما اینجاست که قضیه جالب میشود. آنها به یک سیستم نفوذ کردند و متوقف نشدن. اطلاعاتی که از دیتابیس بیرون کشیدند نشان میدهد تمام ناوگان را مثل کف دست میشناختند - اسم و مشخصات تک تک کشتیها، شماره سریال مودمهاشان، همه چیز.
الان دارم به خروجی دیتابیس MySQL نگاه میکنم - لیست کاملی از کشتیها: توسکا، ماهنام، زردیس و دهها کشتی دیگر. برای هر کدام، شماره سریال مودم ماهوارهای، کد شبکه، شناسههای سیستم، همه چیز ثبت شده. انگار نقشه کامل زیرساخت ارتباطی دریایی ایران جلوی چشمم است.
وقتی وارد شدند، سراغ چیزی به نام "Falcon" رفتند - نرمافزاری که این لینکهای ماهوارهای را زنده نگه میدارد. فکرش را بکنید قلب سیستم ارتباطی کشتی است. فالکون را متوقف کنید، کشتی خاموش میشود. نه ایمیل به ساحل، نه آپدیت آب و هوا، نه هماهنگی با بندر، هیچی.
لاگهای ایمیل چیز جالبتری را فاش میکنند: تاریخها برمیگردد به اردیبهشت و خرداد - یعنی ماهها بعد از حمله اول در اسفند. این یعنی لبدوختگان فقط یک سیستم را نزدن و بعد رهاش کنند. آنها از اسفند تا الان، پنج ماه تمام، توی شبکه نشسته بودند. دسترسی دائمی داشتند، میتوانستند هر وقت بخواهند سیستمها را قطع و وصل کنند، احتمالاً همه ارتباطات را مانیتور میکردند.
پیامهای "Node Down Notification" که میبینم مال ماههای قبل است - نشان میدهد در این مدت چندین بار سیستمها را تست کردهاند، احتمالاً برای اطمینان از اینکه هنوز کنترل دارند. اما این بار متوقف نشدن.
زمین سوخته در دریا
مهاجمان فقط نمیخواستند عملیات را مختل کنند - میخواستند آسیب دائمی بزنند. دستوراتی پیدا کردم که تخریب سیستماتیک دادهها را نشان میدهد:
dd if=/dev/zero of=/dev/mmcblk0p1 bs=1M
برای خوانندگان غیرفنی، این معادل دیجیتال برداشتن چکش و کوبیدن به تجهیزات ارتباطی کشتی است. آنها شش پارتیشن مختلف حافظه را با صفر بازنویسی کردند. همه چیز رفته - لاگهای ناوبری، آرشیو پیامها، تنظیمات سیستم، حتی پارتیشنهای ریکاوری که میگذاشت از راه دور سیستم را درست کنید.
تصور کنید کاپیتانی هستید وسط اقیانوس هند، و یکدفعه ترمینال ماهوارهایتان نه فقط آفلاین شده - بلکه لوبوتومی شده. نمیتوانید درستش کنید، تیم IT نمیتواند از راه دور وارد شود و کمک کند، و نزدیکترین بندر شاید روزها فاصله داشته باشد.
انگار قطع ارتباطات داده کافی نبود، کل پیکربندی سیستم تلفن IP را هم برداشتند. دارم به یک اسپردشیت با شماره تلفنها، آدرسهای IP و - این قسمت خجالتآور است - پسوردها به صورت متن ساده نگاه میکنم. داریم درباره پسوردهایی مثل "1402@Argo" و "1406@Diamond" حرف میزنیم.
با این دادهها، مهاجمان به صورت تئوری میتوانستند به تماسهای تلفنی بین کشتیها و بنادر گوش کنند، جعل هویت کنند، یا فقط با کشتن ارتباطات صوتی هم آشوب بیشتری ایجاد کنند.
چرا این مهم است
NITC و کشتیرانی جمهوری اسلامی IRISL فقط شرکتهای کشتیرانی معمولی نیستند. آنها ستون فقرات عملیات دور زدن تحریمهای جمهوری اسلامی هستند. نفتکشهای NITC مرتباً سیستمهای ردیابیشان را خاموش میکنند تا مخفیانه نفت به چین تحویل دهند. کشتیرانی جمهوری اسلامی توسط تقریباً همه - آمریکا، اتحادیه اروپا- به خاطر کمک به برنامه هستهای رژیم تحریم شده.
این کشتیها از اساس در سایهها عمل میکنند، و حالا در آنجا گیر کردهاند - نمیتوانند به خانه زنگ بزنند، درست ناوبری کنند، یا حتی اگر مشکلی پیش آمد سیگنال خطر بفرستند.
Images of the positions of the ships at the time of the attack
این دومین ضربه لبدوختگان امسال است. آنها ادعا کردند که در اسفند ۱۱۶ کشتی را مختل کردند، همزمان با عملیات آمریکا علیه حوثیها در یمن. این بار، حمله درست زمانی است که وزارت خزانهداری آمریکا ۱۳ شرکت دیگر را به لیست تحریمها به خاطر معامله با نفت ایران اضافه کرد.
تصادفی است؟ خودتان قضاوت کنید.
اینجا چیزی است که گزارشهای عمومی از دستش دادند: این چیزی نیست که با یک ریبوت درست شود. این کشتیها نیاز به مداخله فیزیکی دارند. کسی باید سوار هر کشتی شود، احتمالاً در بندر، و کاملاً سیستمهای ارتباطی را از صفر نصب کند. داریم درباره هفتهها، شاید ماهها، توقف برای هر کشتی حرف میزنیم.
برای ناوگانی که تحت فشار تحریم است و برای جلوگیری از توقیف به پنهان ماندن و حفظ هماهنگی دقیق وابسته است، این وضعیت فاجعهبار محسوب میشود. بدون ارتباط نمیتوان از تحریمها گریخت و بدون ناوبری نمیتوان نفت تحویل داد.
