درس‌هایی از جنگ سایبری روسیه در اوکراین؛

شکل دادن به میدان نبرد. داریوش پادشاه ایران، این کار را در سال 331 قبل از میلاد انجام داد. البته نیروهای اسکندر مقدونی برخلاف پیش‌بینی داریوش، پیشروی نکرده و عقب‌نشینی کردند و پراکنده شدند. متفقین این کار را در سال 1944 انجام دادند؛ آن‌ها هواپیماهای ساختگی را برای فریب فرماندهان ارتش آلمان طراحی کردند تا آلمانی‌ها را به این گمان بیندازند که حمله متفقین به فرانسه در پاس دِ کاله خواهد بود، نه نرماندی. و روسیه این کار را در 24 فوریه 2022 انجام داد؛ آن‌جا که یک ساعت قبل از رهسپار شدن تانک‌ها به سمت کیِف – پایتخت اوکراین – به کمک هکرهای رایانه‌ایِ خود، سیستم ارتباطات ماهواره‌ای که مورد استفاده دشمن بود – و توسط شرکت آمریکایی ویاسات[1] تأمین می‌شد – را نابود کرد.
ویکتور ژورا[2] – رئیس سازمان امنیت سایبری دفاعی اوکراین – در ماه مارس اظهار کرد نتیجه [این حملهٔ هکری] «آسیبی واقعاً عظیم به ارتباطات [نیروهای اوکراینی] در همان ابتدای جنگ» بوده است. یک مقام امنیتی سابق غربی بر این باور است که «یک یا دو سال آماده‌سازی و تلاش واقعاً جدی» در پسِ این حمله بوده است.
کمی برد، کمی باخت. متفقین پیروز شدند. فرودهای آن روزِ سرنوشت‌ساز با موفقیت انجام شد. داریوش شکست خورد و تاج و تخت خود را از دست داد. به همین ترتیب، پیشروی روسیه به کیف دفع شد. نیروی هجومیِ مسکو در آن نبرد شکست خورد. علیرغم گسترشِ هرچه بیشترِ صحنهٔ منازعه، روسیه نتوانست از طریق جنگ سایبری به اندازه کافی گرد و غبارِ صحنهٔ نبرد را بالا ببرد. و این نکتهٔ جالبی است. اگرچه جنگ سایبری بخش سخت و مهمی از درگیری بوده که به عنوان یک میدان آزمایش برای این شکل جدید نبرد عمل کرده است، به نظر نمی‌رسد که – آنطور که برخی انتظار داشتند – چندان تأثیرگذار و مرگبار بوده باشد.

چندپاره

حمله روسیه به ویاسات تنها اقدام نرم‌افزاریِ روسیه در آستانه حمله به اوکراین نبود. در ژانویه و سپس در 23 فوریه، برنامه‌های موسوم به «پاک‌کننده» که برای حذف داده‌ها طراحی شده بودند، در صدها سیستم اوکراینی مشاهده شدند. سپس در ماه آوریل – با فرار نیروهایی که کیف را تهدید کرده بودند – هکرهای سندوُرم[3] (که گمان می‌رود متلق به سرویس اطلاعات نظامی روسیه (جی‌آریو) باشد)، از بدافزاری به نام اینداسترویِر 2[4] برای حمله به شبکه برق کشور استفاده کردند.
مخفی‌نگه‌داشتنِ اینگونه حملات به زیرساخت‌های غیرنظامی دشوار است؛ اما ادوات نظامی ماجرای دیگری دارند. نیروهای مسلح اوکراین در طول جنگ به‌خوبی امنیت عملیات خود راحفظ کرده و اطلاعاتی در مورد نحوه نفوذ یا اختلال در شبکه‌های خود (که رخ داده بود) افشا نکردند. با این حال، اثرات قابل مشاهدهٔ حملات روسیه به طرز شگفت‌آوری ناچیز بوده است. میکه ایوانگ[5]– یک مقام ارشد سایبری در پنتاگون – در 16 نوامبر 2022 اظهار کرد: «من فکر می‌کنم ما به نسبت آنچه که شاهد آن بودیم، انتظار تأثیرات بسیار بزرگتری را داشتیم... نیروهای سایبری روسیه و همچنین نیروهای نظامی سنتی آنها برخلاف انتظارات عمل کردند».
در روزهای اول جنگ، اوکراین تا حد زیادی آنلاین باقی ماند. حتی با وجود درگیری در اطراف پایتخت، چراغ‌ها روشن ماندند. بانک‌ها باز بودند. برخلاف سال‌های 2015 و 2016 که حملات سایبری باعث خاموشی شد، جریان برق برقرار ماند. اطلاعات هم همینطور. هرگز تهدید جدی برای برنامه‌های شبانهٔ ریاست جمهوری ولودیمیر زلنسکی برای مردم اوکراین وجود نداشت. اگر هدف روسیه تضعیف اعتماد اوکراینی‌ها به دولتشان و غیرقابل کنترل کردن کشور بوده باشد، در این مسیر به توفیقی دست پیدا نکرده است.
مهم‌ترین دلیل این عدم توفیق، دفاع اوکراین بوده است. لیندی کامرون[6] – رئیس مرکز ملی امنیت سایبری بریتانیا[7] – بر این باور است که حمله روسیه «احتمالاً پایدارترین و فشرده‌ترین کارزار سایبری در طول تاریخ» بوده است. اما همانطور که سر جرمی فلمینگ[8]، رئیس او در دبیرخانه حاکمیتی ارتباطات[9] – که مرکز ملی امنیت سایبری بریتانیا بخشی از آن است – در مقاله‌ای که در ماه اوت برای اکونومیست نوشته بود اشاره می‌کند، پاسخ اوکراین «مسلماً... موثرترین اقدام سایبری دفاعی در تاریخ» بوده است. اوکراین سال‌ها بستر آزمایشی برای عملیات سایبری روسیه بود. به عنوان مثال، بدافزار اینداسترویِر عامل خاموشی در سال 2016 بود. این وضعیت باعث شده بود که کیِف درکی نسبت به عملیات روسیه و نیز فرصتی برای افزایش تاب‌آوری زیرساخت‌های خود داشته باشد.
این بدان معنا بود که پیش از آغاز حمله، فرماندهی سایبری اوکراین یک طرح اضطراری آماده کرده بود. برخی از مقامات از کیف به مناطق امن‌تر کشور پراکنده شدند. برخی دیگر به پست‌های فرماندهی نزدیک خط مقدم نقل مکان کردند. خدمات حیاتی به مراکز داده در سایر نقاط اروپا، خارج از دسترس موشک‌های روسی، منتقل شد. نیروهای مسلح اوکراین که می‌دانستند ماهواره‌ها ممکن است مختل شوند، وسایل ارتباطی جایگزین را آماده کرده بودند. آقای ژورا در ماه سپتامبر تاکید کرد که حمله به ویاسات در نهایت «هیچ تأثیر تاکتیکی بر اقدامات و عملیات نظامی اوکراین نداشته است».

دوستان به چه کار می‌آیند؟

کمک بلوک غرب نیز بسیار مهم بود. در مقدمه جنگ، یکی از راه‌هایی که ناتو همکاری خود را با اوکراین افزایش داد، اعطای دسترسی به آرشیو تهدیدات سایبری خود – که مخزن [تمامیِ] بدافزارهای شناخته شده بود. بریتانیا 6 میلیون پوند (7.3 میلیون دلار) پشتیبانی از جمله فایروال برای جلوگیری از حملات و قابلیت‌های پزشکی قانونی برای تجزیه و تحلیل نفوذ – به اوکراین ارائه کرد. همکاری دوجانبه بود. مارکوس ویلت[10]، رئیس سابق مسائل سایبریِ GCHQ خاطرنشان می‌کند: «احتمالاً اوکراینی‌ها بیشتر از آنچه که از آنها یاد گرفته‌اند، درباره تاکتیک‌های سایبری روسیه به آمریکا و بریتانیا یاد داده‌اند».
نکتهٔ تناقض‌آمیز این بود که ماهیت ساده و ابتدایی بسیاری از سیستم‌های کنترل صنعتی روسیه – که از دوران شوروی به ارث رسیده بود و هنوز ارتقاء پیدا نکرده بود – به تاب‌آوری اوکراین کمک کرد. به عنوان مثال، هنگامی که اینداسترویِر در سال 2016 به پست‌های برق در کیف حمله کرد، مهندسان توانستند در عرض چند ساعت سیستم‌ها را با لغو دستی مجدداً تنظیم کنند. هنگامی که اینداسترویِر 2 در ماه آوریل بخشی از شبکه را آفلاین کرد، پس از چهار ساعت این مشکل برطرف شده و شبکه دوباره فعال شد.
شرکت‌های خصوصی امنیت سایبری نیز در این میان نقش برجسته‌ای ایفا کرده‌اند. آقای ژورا به خصوص به مایکروسافت و اِسِت – که یک شرکت اسلواکیایی است – و نقش پررنگ آن‌ها در شبکه‌های اوکراینی و فرآیند تله‌متری[11] – یا جمع‌آوری داده‌های شبکه – اشاره می‌کند. اطلاعات ارائه‌شده از جانب شرکت اِسِت به تیم‌های سایبری اوکراینی کمک کرد تا اینداسترویِر 2 را شکست دهند. مایکروسافت نیز مدعی است که هوش مصنوعی‌ای که می‌تواند کد را سریع‌تر از یک انسان اسکن کند، تشخیص حملات را آسان‌تر کرده است. برد اسمیت[12] – رئیس مایکروسافت – در 3 نوامبر 2022 اعلام کرد که شرکت او پشتیبانی فنی اوکراین را تا پایان سال 2023 رایگان خواهد کرد. این تعهد ارزش کلیِ حمایت مایکروسافت از اوکراین از فوریه 2022 تا کنون را به بیش از 400 میلیون دلار رساند.
شکی نیست که اوکراین هدف آسانی برای حمله نبود. اما برخی نیز این سؤال را مطرح می‌کنند که آیا ممکن است که قدرت سایبری روسیه بیش از حد ارزیابی شده باشد؟ گَوین وایلد[13] – مدیر سابق [میز] خط‌مشی‌های مربوط به روسیه در شورای امنیت ملی آمریکا – خاطرنشان می‌کند که جاسوسان روسی ده‌ها سال تجربه در زمینه جاسوسی سایبری دارند، اما نیروهای سایبری نظامی این کشور در مقایسه با رقبای غربی «بسیار جوان» هستند. آمریکا در طول جنگ‌های هائیتی و کوزوو در دهه 1990، برنامه‌های سایبری را در عملیات نظامی ادغام کرد. آقای وایلد می‌گوید روسیه تنها شش سال است که به این موضوع توجه پیدا کرده است.
مقامات آمریکایی، اروپایی و اوکراینی همگی متفق‌اند که نمونه‌های زیادی از حملات سایبری روسیه همزمان با حملات فیزیکی وجود دارد که نشان‌دهندهٔ درجه‌ای از هماهنگی بین این دو شاخه است. اما در این میان اشتباهات ناشیانه‌ای نیز وجود داشته است. سِر جرمی می‌گوید در برخی موارد، حملات نظامی روسیه همان شبکه‌هایی را که نیروهای سایبری روسیه تلاش می‌کردند آن‌ها را آلوده کنند، از بین بردند – به‌طرز مضحکی، اوکراینی‌ها را مجبور کردند به ابزارهای ارتباطی امن‌تر بازگردند.
برخی روسیه را به عنوان یک قدرت سایبری شلخته معرفی می‌کنند – توانمند در انهدام اهداف، اما پر سر و صدا و نادقیق. در ماه آوریل، دیوید کاتلر – بالاترین مقام اطلاعاتی ناتو – ادعا کرد که حملات بدافزاریِ روسیه به اوکراین مخرب‌تر از «مجموع کاربرد متخاصمانهٔ بدافزارها توسط همهٔ قدرت‌های سایبری دیگر جهان در طول یک سال» بوده است. اما قضاوت در مورد یک کارزار سایبری بر اساس حجم بدافزارها مانند رتبه‌بندی پیاده نظام بر اساس تعداد گلوله‌های شلیک شده است. دنیل مور[14] – نویسنده کتاب «عملیات سایبری تهاجمی» که اخیراً در این زمینه منتشر شده است – می‌گوید که تک‌تک حملات شناسایی‌شدهٔ روسیه به زیرساخت‌های حیاتی اوکراین و سایر کشورها، پیش از موعد افشا شده، مملو از اشتباهات بوده یا به اهدافی بیش از آنچه که برنامه‌ریزی شده بوده، سرایت کرده است؛ مسئله‌ای که در مورد نات‌پتیا[15] صدق می‌کرد، که یک باج‌افزار خودگستر بود که در سال 2017 پس از حمله به اوکراین، از آن فراتر رفته و 10 میلیارد دلار در سراسر جهان خسارت وارد کرد.
آقای مور می‌گوید: «تا به حال تقریباً در هر حمله‌ای که [روس‌ها] در فضای سایبری انجام داده‌اند، شکست‌های عملیاتی قابل‌توجهی وجود داشته است». در مقابل، او به استاکس‌نت – یک حمله سایبری اسرائیلی – آمریکایی به تأسیسات هسته‌ای ایران، که برای اولین بار ۱۲ سال پیش شناسایی شد – اشاره می‌کند که می‌توان گفت به‌لحاظ تکنولوژیک متعلق به دوران باستان است! اما با این حال، بسیار پیچیده‌تر از بسیاری از چیزهایی بود که امروز از روسیه می‌بینیم.»

فیزیکی و مجازی

بسیاری از جاسوسان و نیروهای اطلاعاتی جبههٔ غرب بر این باورند که این جنگ شکاف میان توانمندی‌های آمریکا و روسیه در عملیات سایبری پیشرفته علیه سخت‌افزارهای نظامی را آشکار کرد. اما دیگران هشدار می‌دهند که هنوز برای چنین نتیجه‌گیری‌هایی بسیار زود است. محدودیت کارزار سایبری روسیه ممکن است نه به دلیل ناتوانی این کشور، بلکه به‌خاطر غرور آن باشد که نیروهای مسلح متعارف آن را نیز تحت تأثیر قرار داده است.
مقامات غربی مدعی هستند که عدم توفیق روسیه در برنامه‌ریزی و اجرای حملات سایبری مؤثر به زیرساخت‌های حوزه نیرو، انرژی و حمل‌ونقل [اوکراین]، نه به دلیل ناتوانیِ این کشور، بلکه به این دلیل بوده است که مسکو تصور می‌کرد که به زودی اوکراین را اشغال کرده و این زیرساخت‌ها را به ارث خواهد برد. چرا آنچه را که به زودی به آن نیاز خواهید داشت، نابود کنید؟ زمانی که جنگ به درازا کشید، مسکو نیز باید خود را [با شرایط جدید] وفق می‌داد. اما سلاح‌های سایبری مانند سلاح‌های فیزیکی نیستند که بتوان آن‌ها را به‌سادگی به سمت اهداف جدید چرخاند و مهمات درون آن‌ها قرار داد و شلیک کرد. برعکس، آن‌ها را می‌بایست به‌طور خاص و برای اهداف خاص طراحی کرد.
حملات پیچیده – مانند حمله به ویاسات – مستلزم فرآیند آماده‌سازی گسترده‌ای است؛ بعنوان مثال در گام نخست می‌بایست شناسایی دقیقی از شبکه‌های هدف به دست آورد. سال گذشته لنارت ماشمیر[16] از [مجلهٔ] اث زوریخ[17] در مقاله‌ای نشان داده بود که جی‌آریو برای حمله‌ای که در سال 2015 به شبکه برق اوکراین انجام داد، 19 ماه برنامه‌ریزی را پشت سر گذاشته بوده است؛ بالاتر از این، حملهٔ مشابهی که در سال 2016 انجام شد، به دو سال و نیم مقدمه‌چینی و آماده‌سازی نیاز داشت. انجام چنین حملاتی ابزارها (یعنی کد) و زیرساخت‌های (= سرورها) مورد استفاده را برای دشمن آشکار کرده و در نتیجه اثربخشی آنها را کاهش می‌دهد.
بنابراین، پس از هفته اول جنگ و زمانی که حملاتی همچون حمله به ویاسات به انتها رسید [و روسیه هر چه در این حوزه در چنته داشت، مصرف کرد]، حملات سایبری مسکو تاکتیکی‌تر و فرصت‌طلبانه‌تر شدند. سپس، در ماه آوریل که روسیه از کیِف به دونباس روی آورد، حجم حملات پاک‌کننده به شدت کاهش یافت. در ماه نوامبر، محققان مؤسسه ماندیانت[18] توضیح دادند که چگونه جی‌آریو برای تسریع پیشرفت خود در جنگ، حملات خود را بر دستگاه‌های مرزی[19] – مانند روترها، فایروال‌ها و سرورهای ایمیل – متمرکز کرده است، حتی به قیمت ازدست‌رفتن عنصر مخفی‌کاری.
یکی از محققین مؤسسه ماندیانت بنام جان وُلفرام[20] با اشاره به نموداری در تئوری اقتصادی که ترکیب‌های مختلف دو کالا [با یکدیگر] – که می‌توان با منابع معین تولید کرد – را نشان می‌دهد، اظهار می‌کند: «در اینجا با نقطهٔ مرزیِ [فرآیند] تولید مواجه هستیم. شما مقدار مشخصی تخصص و سرمایه دارید و باید تصمیم بگیرید که آیا آن را برای یک یا دو عملیات ویژه و پرهزینه خرج کنید یا 50 عملیات با هزینه کمتر». انتخاب دومی به این معنی نیست که اولی از ظرفیت شما خارج است. دیوید کاتلر خاطرنشان می‌کند: «روسیه تقریباً به طور قطع قادر به حملات سایبری در مقیاس و پیامدهای بزرگتر از آنچه که در اوکراین شاهد آن بوده‌ایم، هست». مارکوس ویلت نیز معتقد است که جنگ «هنوز وارد مرحلهٔ استفاده هر دو طرف از قابلیت‌های تهاجمی سایبری پیشرفته علیه یکدیگر نشده است».
اگر این ادعاها درست باشد، بنابراین احتمال ورود به سطح بالاتری از درگیری سایبری وجود دارد. خرابکاری خطوط لوله نورد استریم 1 و 2 در ماه سپتامبر و حملات موشکی به شبکه برق اوکراین نشان می‌دهد که ریسک‌پذیری کرملین در حال افزایش است. در حوزه سایبری نیز نشانه‌هایی از این موضوع وجود دارد. یکی از مقامات بریتانیایی می‌گوید که روسیه – با داشتنِ تجربهٔ نات‌پتیا[21] – در ابتدا مایل بود حملات خود را به اوکراین محدود نگه دارد تا از ورود ناتو به درگیری پیشگیری کند. اما این رویکرد ممکن است تغییر کرده باشد. در اواخر سپتامبر سندوُرم اولین حمله برنامه‌ریزی‌شده را به اهدافی در یک کشور عضو ناتو انجام داد؛ حمله‌ای به کمک بدافزار پرستیژ[22] که ساختار حمل‌ونقل و تدارکات لهستان – که مرکز ارسال کمک به اوکراین بود – را هدف قرار داد.
همچنین کسانی هستند که معتقدند قدرت نبرد سایبری به درستی درک نشده است. سِیاران مارتین[23]– سَلَفِ خانم کامرون در مرکز امنیت سایبری ملی[24] – اذعان می‌کند که حملات سایبری [که تا کنون شاهد آن بوده‌ایم] «شدید و مهم» بوده‌اند، اما جنگْ «محدودیت‌های جدی فضای سایبری به‌عنوان ابزاری در صحنهٔ نبرد» را نیز آشکار کرده است. بدافزار استاکس‌نت که در تأسیسات هسته‌ای ایران، سیستم‌هایی را که بصورت فیزیکی به اینترنت متصل نبودند را آلوده کرده و آسیب‌های مکانیکی به آن‌ها وارد آورد، توانست ماه‌ها بدون اینکه شناسایی شود به کار خود ادامه دهد. موفقیت این بدافزار باعث ایجاد توهماتی در مورد حملات سایبری به عنوان سلاح‌های شگفت‌انگیزی شد که می‌توانند جایگزین بمب و موشک شوند. سِیاران مارتین ادعا می‌کند که استاکس‌نت در قلمروی تکنیک‌های سایبریِ تهاجمی، چیزی شبیه به «فرود روی ماه» در عرصهٔ کلی علم در قرن بیستم بوده است؛ اتفاقی که محصول طبیعیِ جنگ‌های سایبری متعارف نبوده و نیاز به قابلیت‌ها و منابع یک ابرقدرت داشت تا به واقعیت بپیوندد.
مارتین اینگونه ادامه می‌دهد که فضای سایبری «یک میدان نبرد نامرئی و جادویی نیست که در آن، اقداماتی که در شرایط عادی نمی‌توانید انجام دهید را مرتکب شوید». نه تنها وارد آوردنِ آسیب جدی به شبکه‌های رایانه‌ای که به خوبی از آنها دفاع می‌شود دشوار است، بلکه منشأ چنین حملاتی – برخلاف تصورات عامیانه – «به راحتی شناسایی می‌شود». حملات سایبری عاری از عواقب نیست. سِیاران مارتین می‌گوید: «علی‌رغم همه هیاهوها، پوتین از زمان آغاز جنگ، به‌طور جدی غرب را در فضای سایبری نگران نکرده است».
قضاوت در مورد این مسائل و کسب تجربه از آن‌ها نیاز به گذر زمان و اتخاذ رویکردی مناسب دارد. بسیاری از نفوذها ممکن است شناسایی نشده و مورد توجه قرار نگرفته باشند. به عنوان مثال، حمله به ستاد منطقه‌ای ارتش در شهر لویو [اوکراین] در آخرین مراحل شناسایی شد و ابزارهای روسیه [در این حمله] تا حد زیادی مورد توجه نرم‌افزارهای امنیتی تجاری قرار نگرفته بود. یکی از مقامات امنیت سایبری اوکراین می‌گوید که شناسایی حملات کار ساده و سرراستی نیست. اغلب، زمانی که رمز عبور شخصی در معرض خطر قرار می‌گیرد، یک راه مشخص ورود قانونی به سیستم وجود دارد. شما فقط علائم را می‌بینید، نه علت. «مثل این است که شخصی با سرفه یا اکسیژن خون کم مراجعه کند. ما فقط اکنون می دانیم که ممکن است کووید باشد. بدافزار نیز اینگونه است. ما به ندرت آن را هنگامی که به شبکه نفوذ می‌کند، تشخیص می‌دهیم تنها زمانی که ناهنجاری‌هایی را ببینیم، می‌توانیم به وجود آن پی ببریم. در بیشتر موارد، ما در میانهٔ ماجرا می‌توانیم وارد عمل شده و با عامل نفوذ مقابله کنیم».
یک نکته دیگر این است که حتی مخرب‌ترین حملات سایبری – مانند استاکس نت – در زمان صلح است که می‌توانند مفید واقع شوند؛ یعنی زمانی که گزینه موشک و بمب روی میز نیست. اما در هنگام جنگ، بمب‌ها و موشک‌ها اغلب می‌توانند کار را راحت‌تر و ارزان‌تر انجام دهند. احتمالاً مهم‌ترین فعالیت سایبری زمان جنگ این است که به جای تخریب، جمع‌آوری اطلاعات یا جنگ روانی را هدف قرار می‌دهد.
یکی از سیاست‌مداران آگاه اوکراینی تأیید می‌کند که ارزشمندترین فعالیت نیروی سایبری یک کشور کشف اسرار است؛ مثلاً جزئیات شرکت‌های اروپایی که تحریم‌های آمریکا علیه روسیه را نقض می‌کنند. او می‌گوید: «اقدامات و فعالیت‌های زیادی هست که نمی‌توانم درباره‌شان صحبت کنم، اما [همینقدر بگویم که] کارهایی برجسته و چشم‌گیر هستند». رمزگشایی متفقین از ماشین‌های رمز انیگمای آلمان در جنگ جهانی دوم تا دهه 1970 فاش نشده بود. تأثیر نهایی عملیات سایبری در اوکراین ممکن است برای سال‌ها ناشناخته باقی بماند.

مترجم: علیرضا قبولی شاهرودی
گروه مطالعات فرهنگی و اجتماعی پژوهشگاه فضای مجازی