جزئیات فنی از پشت‌پرده حمله سایبری به ایران

وزیر ارتباطات روز گذشته از حمله سازمان‌یافته سایبری به سامانه‌های دولت الکترونیک‌کشور و دفع آن توسط سامانه دژفا خبر داد.
 محمدجواد آذری‌جهرمی در توییت خود با اعلام اینکه هدف از این حمله، جاسوسی از اطلاعات دولتی بوده اعلام کرده «این نوع حمله در قالب حمله شناخته‌شده APT27 صورت گرفته و سرورهای تجمیع اطلاعات جاسوسی‌شده شناسایی، و ردیابی عاملان حمله هم انجام شده است.»
امیر ناظمی،معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات در گفت و گو با همشهری درباره این حمله سایبری می‌گوید در طی این حمله گروه عامل حمله، بدافزاری را وارد برخی بخش‌های‌ دولت کرده بود که کشف شد. 
به گفته معاون وزیر ارتباطات به نظر می‌رسد که قبل از سرقت هر نوع اطلاعات، حمله کشف و مقابله با آن صورت گرفته است. به گفته ناظمی بررسی‌ها در این رابطه ادامه دارد اما به نظر نمی‌رسید عاملان این حمله موفق به سرقت اطلاعاتی از دولت شده باشند. 
نکته کلیدی و مهم‌ترین مسئله‌ای که وزیر ارتباطات در گزارش خود به مردم درباره آن حرف زده است APT27 است.
APT یا Advanced Persistent Threat به‌معنای «تهدید پیوسته پیشرفته» به‌صورت کلی عنوانی است که به گروه‌های هکری پیشرفته که به‌صورت معمول سازمان‌های تجاری بزرگ یا زیرساخت‌های دولتی را هدف حمله‌های گسترده سایبری و معمولا بلند مدت قرار می‌دهند، اطلاق می‌شود.
امیر ناظمی در این رابطه و برنامه‌ریزی بلند مدت عاملان حمله در این رابطه می‌گوید: ابعاد این حمله گستردگی آن را نشان می‌دهد اما ما توانستیم اصل حمله و راه‌های ارسال دیتای آن را کشف کنیم. 

در واقع APT یک نوع حمله هدفمند است که از تکنیک‌های مختلف مثل تزریق ، جاسوس‌افزارها، فیشینگ، استفاده از هرزنامه‌ها و... در آن استفاده می‌شود. هدف اکثر حملات APT استخراج اطلاعات مهم ازجمله اسرار دولتی و پژوهش‌های حساس مهم است. سایت مرکز ماهر درباره این نوع حملات می‌نویسد: «این تهدیدات به‌عنوان فعالیت‌های حمایت‌شده از سوی دولت‌های ملی با هدف آسیب‌رسانی به شبکه‌های دولتی درنظر گرفته شده و همچنین برای سازمان‌ها مشکلاتی ایجاد  کرده‌اند.»

رمزگشایی از APT27
 بر همین اساس نام‌های مختلفی با پیشوند APT برای گروه‌های هکری در جهان وجود دارد. مثلا APT29 با نام دیگر Cozy Bear به‌عنوان گروه هکری روسی شناخته می‌شود. اما APT27 که در توییت وزیر ارتباطات به آن اشاره شده، در جهان به‌عنوان گروه هکری چینی شناخته می‌شود. معاون وزیر ارتباطات اما با رد اطمینان از دست داشتن هکرهای چینی در این حمله سایبری می‌گوید: به نظر می‌رسد که در این حمله سایبری از ابزارها و بدافزارهایی که این گروه در اختیار داشته استفاده شده اما اکنون نمی‌توان گفت کسانی که این حمله را ترتیب داده‌اند از کجا هستند و پشتوانه دولتی داشته‌اند یا خیر.  امیر ناظمی درباره دفع این حمله می‌گوید: از مدتی پیش ما  از سامانه‌های دولتی خواسته بودیم که آنتی‌ویروسی ایرانی به نام «پادویش» را نصب کنند و این حمله نشان داد که چقدر مهم است که ما آنتی‌ویروس و پکیج امنیتی مشخصی را روی سامانه‌های دولتی داشته باشیم. این کار باعث می‌شود که ما، هم در شناسایی و هم در مهار این حملات  به صورت متمرکز و بهتر عمل کنیم.  به گفته معاون وزیر ارتباطات، دستگاه‌هایی که از این بسته امنیتی استفاده کرده‌اند طی این حمله آسیب‌پذیری کمتری داشته و شناسایی و مهار بدافزار درباره آنها راحت‌تر بوده است.