زلزله خاموش در شبکه اصفهان؛ راز از کار افتادن جعبه‌های سیاه آمریکایی در ساعت صفر حمله

تجهیزات سیسکو و فورتینت در اصفهان همزمان با حمله آمریکا از کار افتادند. بررسی سناریوهای خیانت سخت‌افزاری و نفوذ در زنجیره تامین را در گجت‌نیوز بخوانید.

همزمان با حمله به اصفهان، بخش بزرگی از تجهیزات زیرساختی برندهای سیسکو، جونیپر و میکروتیک به طور هماهنگ از مدار خارج شدند که نشان‌دهنده یک خرابکاری عمیق و از پیش طراحی‌شده در لایه‌های زیرین شبکه است.

این رخداد که در ساعت صفر حمله به وقوع پیوست، فراتر از یک نفوذ ساده اینترنتی است؛ چرا که در آن لحظات دسترسی به اینترنت بین‌الملل محدود بود و این فروپاشی زنجیره‌ای نشان از وجود کدهای مخرب کاشته‌شده در دل سخت‌افزارها دارد.

بیشتر بخوانید

• ادعای فایننشال تایمز: ایران پایگاه‌های آمریکا را با ماهواره جاسوسی چینی رصد کرده است
• نیروی دریایی آمریکا: یک پهپاد جاسوسی ۲۴۰ میلیون دلاری را در جنگ ایران از دست دادیم

طبق رصدهای میدانی، سیستم‌عامل این دستگاه‌ها که به عنوان ستون فقرات شبکه شناخته می‌شوند، به ناگاه از بین رفتند. این حادثه که به زلزله خاموش شهرت یافته، بار دیگر زنگ خطر وابستگی به تجهیزات وارداتی را به صدا درآورد.

کارشناسان معتقدند این نوع از کار افتادن هماهنگ، تنها با فعال‌سازی دسترسی‌های پنهانی ممکن است که از قبل در حافظه این دستگاه‌ها جاسازی شده بودند.

کالبدشکافی سناریوهای خیانت سخت‌افزاری در لایه صفر

بررسی‌های فنی نشان می‌دهد که قوی‌ترین احتمال برای این رخداد، وجود درهای پشتی یا همان بک‌دورهای سخت‌افزاری در محصولات سیسکو، جونیپر و فورتینت است.

این دسترسی‌های مخفی در سطح سفت‌افزار قرار دارند و برای فعال شدن نیازی به اینترنت جهانی ندارند. در واقع، این تجهیزات با دریافت یک سیگنال خاص یا بر اساس یک تایمر داخلی، در لحظه موعود از کار می‌افتند و عملا به آهن‌پاره‌های بی‌مصرف تبدیل می‌شوند.

سناریوی دوم به بسته‌های مرگبار داخلی مربوط می‌شود. در این حالت، الگوهای از پیش تعریف شده برای آسیب‌پذیری‌های روز-صفر در شبکه داخلی منتشر شده و باعث ریبوت زنجیره‌ای سیستم‌عامل‌ها می‌شوند.

این پکت‌های مخرب می‌توانند بدون نیاز به اتصال خارجی و تنها از یک نقطه آلوده در داخل کشور، تمامی تجهیزات یک برند خاص را هدف قرار دهند و زیرساخت‌های ارتباطی را به کلی فلج کنند.

بات‌نت‌های خفته و نفوذ در زنجیره تامین

احتمال دیگر وجود بات‌نت‌های خفته در حافظه روترها و سوئیچ‌های میکروتیک است. این بدافزارها ممکن است سال‌ها پیش در دستگاه‌ها کاشته شده باشند و تنها در صورت وقوع یک رویداد خاص، مانند قطع دسترسی به یک سرور خاص، وارد فاز تخریب شوند.

این سیستم‌های آلوده طوری برنامه‌ریزی می‌شوند که تا لحظه فرا رسیدن دستور نهایی، هیچ فعالیت مشکوکی از خود نشان ندهند تا شناسایی آن‌ها توسط ابزارهای امنیت سایبری ناممکن شود.

بیشتر بخوانید

• صعود انفجاری هزینه مکالمات بین‌المللی و فریاد نارضایتی مردم
• روزشمار قطعی اینترنت ایران در بحبوحه جنگ؛ روز چهل و هشتم، اینترنت پرو!

خطرناک‌ترین فرضیه، آلودگی در زنجیره تامین یا همان دستکاری در مبدا تولید است. اگر تراشه‌ها یا حافظه‌های فقط-خواندنی این محصولات قبل از ورود به کشور آلوده شده باشند، حتی تعویض سیستم‌عامل هم راهگشا نخواهد بود.

این یعنی ریشه مشکل در قلب سخت‌افزار حک شده است و دشمن هر زمان که اراده کند، می‌تواند کلید خاموشی شبکه را فشار دهد.

ضرورت مالکیت فناوری و عبور از جعبه‌های سیاه

این حادثه که شباهت زیادی به ماجرای انفجار پیجرها دارد، ثابت کرد که امنیت سایبری واقعی تنها از راه مالکیت فناوری به دست می‌آید.

استفاده از برندهایی که کد منبع و نقشه مدار آن‌ها در اختیار قدرت‌های بیگانه است، در زمان بحران به پاشنه آشیل کشور تبدیل می‌شود. توسعه تجهیزات بومی دیگر یک انتخاب نیست، بلکه یک ضرورت حیاتی برای بقا در جنگ‌های نوین است.

گزارش‌های تکمیلی نشان می‌دهد که آزمایشگاه‌های تخصصی در حال استخراج مستندات بیشتری از همکاری مستقیم شرکت‌های سازنده با نهادهای جاسوسی هستند. تا زمانی که کشور روتر و سوئیچ اختصاصی خود را تولید نکند، همواره یک قدم از تهدیدات پنهان عقب خواهد ماند.

این حمله به وضوح نشان داد که فناوری اطلاعات و ارتباطات چگونه می‌تواند به عنوان یک سلاح علیه زیرساخت‌های ارتباطی یک کشور به کار گرفته شود.