لب‌دوختگان ماه‌هاست که سیستماتیک زیرساخت‌های ایران را هدف قرار می‌دهند، و وقتی درباره آخرین عملیاتشان با من تماس گرفتند، می‌دانستم که حتماً چیز مهمی است. این گروه شوخی ندارد - حمله اسفندشان به ۱۱۶ کشتی این را ثابت کرده بود. اما حتی با دانستن سابقه‌شان، مدارکی که از عملیات اخیرشان به اشتراک گذاشتند شوکه‌ام کرد: ۶۴ کشتی از دنیا قطع شده، سیستم‌های ناوبری کشتی‌ها پاک شده، و تخریب دیجیتالی آنقدر کامل که بعضی کشتی‌ها ممکن است ماه‌ها آفلاین بمانند.

این گروه ۳۹ نفتکش و ۲۵ کشتی باری متعلق به دو غول تحریم‌شده دریایی ایران، NITC و کشتیرانی جمهوری اسلامی IRISL را زده‌اند. در حالی که به رسانه‌ها فقط تیتر را دادند - "ارتباطات کشتی‌ها مختل شد" - شواهد فنی داستان خیلی تاریک‌تری را روایت می‌کند.


بگذارید قدم به قدم نشانتان دهم واقعاً چه اتفاقی افتاده.


هکرها مستقیم سراغ کشتی‌ها نرفتند. این تقریباً غیرممکن بود - باید ده‌ها کشتی جداگانه که در سراسر جهان پراکنده‌اند را هک می‌کردید. در عوض، چیز بهتری پیدا کردند: گروه فن آوا، یک شرکت IT ایرانی که اتفاقاً ارتباطات ماهواره‌ای کل ناوگان را تأمین می‌کند.

FANAVA

Gallery image 1
Gallery image 2
Gallery image 3
Gallery image 4
Gallery image 5
Gallery image 6
Gallery image 7
Gallery image 8
Gallery image 9

اسکرین‌شات‌هایی که فرستادند دسترسی root روی ترمینال‌های لینوکس با نرم‌افزار ماهواره‌ای iDirect را نشان می‌دهد - نسخه 2.6.35 که از نظر امنیت سایبری عتیقه محسوب می‌شود. داریم درباره نرم‌افزاری حرف می‌زنیم که احتمالاً آسیب‌پذیری‌های شناخته‌شده‌اش از Internet Explorer مادربزرگم هم بیشتر است.

اما اینجاست که قضیه جالب می‌شود. آنها به یک سیستم نفوذ کردند و متوقف نشدن. اطلاعاتی که از دیتابیس بیرون کشیدند نشان می‌دهد تمام ناوگان را مثل کف دست می‌شناختند - اسم و مشخصات تک تک کشتی‌ها، شماره سریال مودم‌هاشان، همه چیز.

Embedded image

الان دارم به خروجی دیتابیس MySQL نگاه می‌کنم - لیست کاملی از کشتی‌ها: توسکا، ماهنام، زردیس و ده‌ها کشتی دیگر. برای هر کدام، شماره سریال مودم ماهواره‌ای، کد شبکه، شناسه‌های سیستم، همه چیز ثبت شده. انگار نقشه کامل زیرساخت ارتباطی دریایی ایران جلوی چشمم است.


وقتی وارد شدند، سراغ چیزی به نام "Falcon" رفتند - نرم‌افزاری که این لینک‌های ماهواره‌ای را زنده نگه می‌دارد. فکرش را بکنید قلب سیستم ارتباطی کشتی است. فالکون را متوقف کنید، کشتی خاموش می‌شود. نه ایمیل به ساحل، نه آپدیت آب و هوا، نه هماهنگی با بندر، هیچی.

لاگ‌های ایمیل چیز جالب‌تری را فاش می‌کنند: تاریخ‌ها برمی‌گردد به اردیبهشت و خرداد - یعنی ماه‌ها بعد از حمله اول در اسفند. این یعنی لب‌دوختگان فقط یک سیستم را نزدن و بعد رهاش کنند. آنها از اسفند تا الان، پنج ماه تمام، توی شبکه نشسته بودند. دسترسی دائمی داشتند، می‌توانستند هر وقت بخواهند سیستم‌ها را قطع و وصل کنند، احتمالاً همه ارتباطات را مانیتور می‌کردند.

پیام‌های "Node Down Notification" که می‌بینم مال ماه‌های قبل است - نشان می‌دهد در این مدت چندین بار سیستم‌ها را تست کرده‌اند، احتمالاً برای اطمینان از اینکه هنوز کنترل دارند. اما این بار متوقف نشدن.

Embedded image


زمین سوخته در دریا

مهاجمان فقط نمی‌خواستند عملیات را مختل کنند - می‌خواستند آسیب دائمی بزنند. دستوراتی پیدا کردم که تخریب سیستماتیک داده‌ها را نشان می‌دهد:

dd if=/dev/zero of=/dev/mmcblk0p1 bs=1M

برای خوانندگان غیرفنی، این معادل دیجیتال برداشتن چکش و کوبیدن به تجهیزات ارتباطی کشتی است. آنها شش پارتیشن مختلف حافظه را با صفر بازنویسی کردند. همه چیز رفته - لاگ‌های ناوبری، آرشیو پیام‌ها، تنظیمات سیستم، حتی پارتیشن‌های ریکاوری که می‌گذاشت از راه دور سیستم را درست کنید.

تصور کنید کاپیتانی هستید وسط اقیانوس هند، و یکدفعه ترمینال ماهواره‌ای‌تان نه فقط آفلاین شده - بلکه لوبوتومی شده. نمی‌توانید درستش کنید، تیم IT نمی‌تواند از راه دور وارد شود و کمک کند، و نزدیک‌ترین بندر شاید روزها فاصله داشته باشد.

PoC

Gallery image 1
Gallery image 2
Gallery image 3
Gallery image 4
Gallery image 5
Gallery image 6


انگار قطع ارتباطات داده کافی نبود، کل پیکربندی سیستم تلفن IP را هم برداشتند. دارم به یک اسپردشیت با شماره تلفن‌ها، آدرس‌های IP و - این قسمت خجالت‌آور است - پسوردها به صورت متن ساده نگاه می‌کنم. داریم درباره پسوردهایی مثل "1402@Argo" و "1406@Diamond" حرف می‌زنیم.

با این داده‌ها، مهاجمان به صورت تئوری می‌توانستند به تماس‌های تلفنی بین کشتی‌ها و بنادر گوش کنند، جعل هویت کنند، یا فقط با کشتن ارتباطات صوتی هم آشوب بیشتری ایجاد کنند.


Embedded image


چرا این مهم است

NITC و کشتیرانی جمهوری اسلامی IRISL فقط شرکت‌های کشتیرانی معمولی نیستند. آنها ستون فقرات عملیات دور زدن تحریم‌های جمهوری اسلامی هستند. نفتکش‌های NITC مرتباً سیستم‌های ردیابی‌شان را خاموش می‌کنند تا مخفیانه نفت به چین تحویل دهند. کشتیرانی جمهوری اسلامی توسط تقریباً همه - آمریکا، اتحادیه اروپا- به خاطر کمک به برنامه هسته‌ای رژیم تحریم شده.

این کشتی‌ها از اساس در سایه‌ها عمل می‌کنند، و حالا در آنجا گیر کرده‌اند - نمی‌توانند به خانه زنگ بزنند، درست ناوبری کنند، یا حتی اگر مشکلی پیش آمد سیگنال خطر بفرستند.

Images of the positions of the ships at the time of the attack

Gallery image 1
Gallery image 2
Gallery image 3
Gallery image 4
Gallery image 5
Gallery image 6
Gallery image 7


این دومین ضربه لب‌دوختگان امسال است. آنها ادعا کردند که در اسفند ۱۱۶ کشتی را مختل کردند، همزمان با عملیات آمریکا علیه حوثی‌ها در یمن. این بار، حمله درست زمانی است که وزارت خزانه‌داری آمریکا ۱۳ شرکت دیگر را به لیست تحریم‌ها به خاطر معامله با نفت ایران اضافه کرد.


تصادفی است؟ خودتان قضاوت کنید.


اینجا چیزی است که گزارش‌های عمومی از دستش دادند: این چیزی نیست که با یک ری‌بوت درست شود. این کشتی‌ها نیاز به مداخله فیزیکی دارند. کسی باید سوار هر کشتی شود، احتمالاً در بندر، و کاملاً سیستم‌های ارتباطی را از صفر نصب کند. داریم درباره هفته‌ها، شاید ماه‌ها، توقف برای هر کشتی حرف می‌زنیم.


برای ناوگانی که تحت فشار تحریم است و برای جلوگیری از توقیف به پنهان ماندن و حفظ هماهنگی دقیق وابسته است، این وضعیت فاجعه‌بار محسوب می‌شود. بدون ارتباط نمی‌توان از تحریم‌ها گریخت و بدون ناوبری نمی‌توان نفت تحویل داد.