📌شبگردی مخوف: جزئیات هولناک عملیات جاسوسی سایبری Moonlight Maze - بخش دومپس از اینکه FBI دریافت که قربانیان به شکل آگاهانه در سرقت کردنشیالها دست نداشتند، سبب شد FBI مطمئن شود که قربانیان در حمله نقشی نداشتند. کارگروه مشترک تمرکز خود را بر شواهد سایبری گذاشت و لاگهای سیستمهای قربانیان دانشگاهی را برای تجزیه و تحلیل جمعآوری کرد.
در 29 جولای 1998، نماینده سازمان تحقیقات کارولینای جنوبی (SCRA) با یکی از مأموران کارگروه Moonlight
Maze تماس گرفت. نماینده SCRA ادعایی مبنی بر مورد حمله قرار گرفتن توسط مهاجمی ناشناس که از روسیه نشأت گرفته است داشت. بنظر میرسید این مهاجم با استفاده از زیرساخت SCRA به یک کامپیوتر در پایگاه هوایی Wright Patterson متصل شده است.
اینجا دقیقا نقطهای بود که FBI در انتظار آن بود. SCRA متوجه شده بود که مورد حمله قرار گرفته است و جزئیاتی از انتقال فایلها از پایگاه هوایی Wright Patterson و SCRA به یک کامپیوتر مستقر در روسیه بدست آورد. لاگها حاوی جزئیاتی درباره فایلهای سرقت شده و اتصالات بودند که موجب بدست آوردن بینشهایی از اهداف مهاجم میشد. مهاجم بدنبال نمودارهای مهندسی و تحقیقاتی در مورد فناوری دفاعی برای تشخیص و مقابله با موشکهای بالستیک قارهپیما (هستهای) بود. شایان ذکر است این دادهها از آمریکا در مقابل حملات موشکی محافظت میکردند.
در ژانویه 1999، یکسری نقض جدید در آزمایشگاه ملی Brookhaven، وزارت دفاع (DOD) و چندین سیستم وزارت دفاع واقع در ویکسبورگ میسیسیپی رخ داد. وزارت دفاع یک هانیپات مشابه آنچه که در برکلی ایجاد شده بود راهاندازی کرد. بر اساس گزارشهای رسمی، وزارت دفاع در هانیپات یک سند که در آن کد ردیاب جاسازی شده بود توانست مکان واقعی مهاجم را ردیابی کند. در نهایت، وزارت دفاع آمریکا با بررسیهایی که انجام داد متوجه شد فایلهای سرقت شده به یک آدرس IP که مرتبط با آکادمی علوم روسیه بود منتقل شدهاند. شایان ذکر است آکادمی علوم روسیه مرتبط به دولت و ارتش روسیه است.
مدتی پس از وقوع این حوادث، رسانهها از این داستان مطلع شدند و گزارشهای برنامه خبری شبانه ABC و نیویورک تایمز به جزئیات حملات چند ساله پرداختند. این خبرگزاریها این حادثه را بهعنوان مجموعهای از ابتکارات انجام شده توسط یک کشور بهجهت سرقت اطلاعات حساس از آمریکا طی سالهای متمادی معرفی کردند. پس از اینکه این حمله توسط رسانههای جهانی اعلام شد که این حملات توسط روسیه انجام شدهاند، با این حال مهاجمین به کار خود ادامه دادند و عملیات خود را گسترش دادند و اهداف جدیدی را مورد حمله قرار دادند که سبب شد عملیات گستردهتر از پیش شود. مدتی بعد مهاجم روسی به دو آزمایشگاه تحقیقاتی وابسته به وزارت دفاع نفوذ کردند.
در نهایت، این کمپین جاسوسی فعالیتش پایان یافت و در 2 آوریل 1999 مأموران FBI عازم مسکو شدند تا با پرسنل ارشد نظامی در مقر وزارت دفاع روسیه دیدار کنند. مأموران FBI دادهها و یافتههایشان را به روسها ارائه دادند و مأموران FBI شواهدی را ارائه کردند که نشان میداد این حملات از سرورهای وابسته به آکادمی علوم روسیه نشأت گرفتهاند. روز بعد، مأموران FBI هتل خود را ترک کرده و در حال رفتن به مقر وزارت دفاع روسیه بودند که به ادامه مذاکرات بپردازند که اسکورت روسی مسیر آنها را تغییر داد و آنها را به یک گردش اجباری برد.
چند روز گذشت و مشخص شد روسها علاقهای به مذاکره و همکاری با مأموران FBI ندارند و در نهایت مأموران FBI به کشور خود بازگشتند. مأموران FBI عملاً دست خالی به کشور خود بازگشتند اما بیخیال نشدند و با پشتکار و تحلیلهای قوی توانستند زیرساخت، ابزارها، اکسپلویت و کدهای مخرب مرتبط با Moonlight
Maze را کشف و شناسایی کنند که در نهایت FBI به شواهدی رسید که احتمال دست داشتن دولت روسیه در این حملات را تأیید میکرد.
✍️ نویسنده میلاد کهساری الهادی و محمد مهدی انبارکی
➖راهبر فنی تحقیقات تیم آیو / مدرس برنامهنویسی سیستمی
➖کارشناس ارشد / مدرس حملات ردتیم ⏰ جمعه - ۱۲ اَمرداد ۱۴۰۳@aioooir |
#moonlight #maze #russia