حمله سایبری به پروتون میل

به تازگی گزارشی منتشر شده است که نشان می‌دهد به پروتون میل (ProtonMail) -یکی از امن‌ترین خدمات ایمیل جهان- حمله سایبری صورت گرفته است. این تهاجم به منظور هدف قرار دادن روزنامه‌نگاران پژوهشگر و دیگر متخصصانی که برای روسیه اقدامات اطلاعاتی انجام می‌دادند، انجام گرفت.

در حمله‌ی مذکور افرادی هدف قرار داده شده بودند که از بستر سوئیسی پروتون میل برای انتقال اطلاعات حساس به اداره اصلی اطلاعات مسکو (GRU) بهره می‌گرفتند. مأموران این کشور به خرابکاری و سقوط پرواز شماره ۱۷ هواپیمایی مالزی بر فراز اکراین در سال ۲۰۱۴ و ترور سرگئی اسکریپال و دخترش در سال ۲۰۱۸ متهم هستند.

پروتون میل خود را ایمن‌ترین سرویس میل جهان معرفی می‌کند؛ زیرا از یک رمزنگاری و لایه حفاظتی پیشرفته در برابر حملات بهره می‌برد و بنابراین می‌تواند متوجه شود آیا کاربری هدف قرار داده شده است یا خیر.

شرکت پروتون میل در سال ۲۰۱۴ و توسط دانشمندان سابق موسسه‌ی سرن (CERN) تأسیس شد. این شرکت به منظور متوقف کردن دامنه‌های وبی که به برای فریب به کار می‌روند یا جلوگیری از ایمیل‌های فیشینگ با دولت سوئیس همکاری می‌کند. سامانه‌های و سرورهای این شرکت تاکنون مورد نفوذ واقع نشده بودند.

اندی ین (Andy Yen)، مدیر اجرایی پروتون میل گفت:

کمپین مذکور از روز چهارشنبه [۲۴ جولای] آغاز شد و واقعاً یک تا ۲ درصد از پیچیدگی بیشتری برخوردار بود. مهاجمان می‌دانستند دقیقاً به دنبال چه هدفی هستند. تحقیقات ما نشان می‌دهد این یک عملیات کاملاً هدفمند بود.

با توجه به گزارش ین، دامنه‌های سوئیسی به گونه‌ای ثبت شده بودند که از رابط کاربری کاربران پروتون میل تقلید کنند. صفحات ورود جعلی روی این دامنه‌ها با نمونه‌ی واقعی پروتون میل همگام‌سازی شده است تا کاربران فریب خورده و کدهای شناسایی تأیید هویت دو مرحله‌ای خود را وارد کنند.

ایمیل‌های ارسالی برای کاربران به دقت نوشته شده‌اند؛ اما از باگ برنامه‌نویسی رفع نشده نادری هم که به صورت گسترده در منابع نرم‌افزاری منبع باز استفاده می‌شود، سوءاستفاده شده بود؛ بنابراین بعید به نظر می‌رسد به جز هکرهایی که دارای منابع عالی هستند، شخصی توانایی شناسایی و درک آن را داشته باشد.

هدف قرار داده شدن بلینگ‌کت (Bellingcat team)

در میان تعدادی از قربانیانی که هکرها سعی در دستیابی به حساب کاربری آن‌ها داشتند، اعضای گروهی از بلینگ‌کت دیده می‌شود. یک وبگاه گزارش تحقیقاتی آزاد و شرکتی اطلاعاتی که تعدادی از کارمندان آن از مقامات سابق اطلاعاتی بودند. این افراد از پروتون میل برای انتقال اطلاعات حساس تحقیقاتی روسیه بهره می‌گرفتند.

در طول یک ماه گذشته، هم‌زمان با پنجمین سالگرد سقوط پرواز شماره ۱۷ هواپیمایی مالزی بر فراز اوکراین، بلینگ‌کت شروع به انتشار مطالبی تازه از تحقیقات خود در ارتباط با دخالت روسیه و اداره اصلی اطلاعات مسکو در سقوط هواپیما کرد. با وجود این دولت روسیه دخالت خود در حادثه یاد شده را انکار کرد.

بلینگ‌کت همچنین در حال گردآوری اطلاعات بیشتر در رابطه با مقامات ارشد اداره اصلی اطلاعات است که برای مسموم کردن سرگئی اسکریپال در مارس ۲۰۱۸ تلاش کرده‌اند.

کریستو گروزف (Christo Grozev)، متخصص امنیتی و محقق بلینگ‌کت گفت:

به نظر کاملاً واضح است که مسئله‌ی بالا با تحقیقات ما گره خورده است. آن‌ها از مدت‌ها قبل به صورت منظم تلاش می‌کردند به حساب‌های کاربری ایمیل ما نفوذ کنند؛ اما این تهاجم روی پروتون میل بسیار غیرمنتظره و عجیب بود.

به ویژه با توجه به نحوه‌ی دستیابی مهاجمان به جزئیات حساب‌های کاربری و نام کاربری آن‌ها، افرادی که در حمله‌ی فیشینگ به پروتون میل هدف قرار گرفته بودند. حاوی آدرس‌های ناشناسی هستند که به تعداد اندکی از مخاطبین قابل‌اعتماد اشاره می‌کند.

گروزف ادامه داد:

من فرض می‌کنم یکی از آن‌ها به خطر بیافتند؛ بنابراین واضح است که می‌خواهیم حساب‌های خود را تغییر دهیم.

محقق بلینگ کت اظهار کرد که تا حدی نسبت به ارتباط مستقیم عملیات با روسیه شک دارد. این شرکت در تلاش بود تا مقامی را به ترور سرگئی اسکریپال ارتباط مستقیم دارد شناسایی کند.

شواهد ویژه کوچک

شواهدی که نشان می‌دهند روسیه در حمله‌ی مذکور به پروتون میل نقش داشته است، بسیار کم هستند.

کریستو گروزف توضیح داد به نظر می‌رسد که عملیات هکری خود اداره اصلی اطلاعات دلیل این واقعه باشد. گروهی که با نام‌های مستعار فنسی بیر (Fancy Bear) و APT 28 شناخته می‌شوند و در سال ۲۰۱۶ علیه کمپین انتخاباتی هیلاری کلینتون فعالیت کرده و روی انتخابات آمریکا تأثیر گذاشتند.

آدام میر (Adam Meyers)، معاون مدیر اطلاعات کروداسترایک (CrowdStrike) –اولین شرکت امنیت سایبری که فعالیت‌های فنسی بیر را شناسایی کرد- گفت:

فعالیت و اهداف این حمله [علیه پروتون میل] مطابق نوع فعالیتی است که ما در گذشته توسط APT28 مشاهده کردیم. به نظر می‌رسد این تهاجم یک عملیات اطلاعاتی ضد کلاسیک است و بلینگ‌کت در این عملیات اداره اصلی اطلاعات خرابکاری کرده است.

میر شرح داد، فنسی بیر در حال حاضر سکوت کرده است؛ اما شواهد اولیه، نشان از فعالیت اخیر این گروه دارد.

ین ادامه داد البته نسبت دادن حمله مذکور به یک گروه خاص مانند APT 28 بسیار سخت است. از طرفی حساب‌های کاربری پروتون میل به طور کامل از رمزنگاری پایان به پایان بهره می‌برند و در نتیجه تا زمانی که رمز عبور فاش نشود جای نگرانی وجود ندارد.