داستان هکری که اینترنت یک کشور را به‌تنهایی قطع کرد (+عکس)

در هفته‌های پایانی ژانویه ۲۰۲۲، تحلیلگران امنیت سایبری در سراسر جهان متوجه پدیده‌ای عجیب و کم‌سابقه شدند. اینترنت کره شمالی، که همواره به‌عنوان یکی از ایزوله‌ترین و محدودترین شبکه‌های ملی جهان شناخته می‌شد، در حال فروپاشی بود.

به گزارش زومیت، وب‌سایت‌های دولتی، از جمله پورتال‌های خبری رسمی مانند «صدای کره» و وب‌سایت شرکت هواپیمایی ملی «ایر کوریو»، یکی پس از دیگری از دسترس خارج می‌شدند. ایمیل‌ها به مقصد نمی‌رسیدند و اندک مسیرهای ارتباطی این کشور با دنیای خارج، به کما رفته بودند.

اولین گمانه‌زنی‌ها، مطابق انتظار، به سمت بازیگران بزرگ و دولتی نشانه رفت. آیا این حمله‌ای هماهنگ از سوی آژانس امنیت ملی آمریکا یا همتایانش در کره جنوبی بود؟ آیا این پاسخی به یکی از کمپین‌های بی‌شمار هک و سرقت رمزارز توسط هکرهای تحت حمایت پیونگ‌یانگ بود؟ شرکت‌های امنیتی مانند کلادفلر و نت‌بلاکس قطعی‌های گسترده و تقریباً کامل را تأیید کردند و آن را نتیجه یک حمله DDoS عظیم دانستند. جهان در انتظار بیانیه‌ای از سوی یک دولت یا گروه هکری قدرتمند بود.

چکیده متنی
اوایل سال ۲۰۲۲، اینترنت کره شمالی در پی یک حمله سایبری گسترده برای چند روز متوالی قطع شد. در حالی که گمانه‌زنی‌ها به سوی قدرت‌های دولتی نشانه رفته بود، حقیقت غافلگیرکننده چیز دیگری بود: عامل این خاموشی بزرگ، نه یک ارتش سایبری، بلکه تنها یک متخصص امنیت سایبری بود که به تنهایی دست به کار شده بود.

این اقدام در واقع واکنشی تلافی‌جویانه به حمله‌ای بود که خود این فرد پیش‌تر هدف آن قرار گرفته بود. داستان او، ماجرای یک انتقام شخصی است که به یک بحران بین‌المللی تبدیل می‌شود و این پرسش را مطرح می‌کند که در عصر دیجیتال، یک فرد تا چه اندازه می‌تواند اقتدار یک حکومت را به چالش بکشد.

اما هیچ بیانیه‌ای صادر نشد و هیچ دولتی مسئولیت خاموش‌کردن اینترنت کره شمالی را بر عهده نگرفت. در عوض، حقیقت در مکانی غیرمنتظره و از زبان فردی کاملاً ناشناس آشکار شد: یک مرد ۳۸ساله آمریکایی که از خانه‌اش، با کامپیوتر شخصی و اتصالی معمولی به اینترنت، به‌تنهایی زیرساخت دیجیتال یک کشور را فلج کرده بود.

با ما همراه باشید تا داستان باورنکردنی «P4X» را با شما مرور کنیم.

جرقه‌ای در تاریکی
داستان آلخاندرو کاسِرِس (Alejandro Cáceres)، که بعدها با نام مستعار P4X شناخته شد، یک سال قبل از این ماجرا آغاز می‌شود. کاسرس صرفاً یکی از متخصصان معمولی امنیت سایبری نیست، بلکه در زمره افرادی قرار می‌گیرد که زندگی‌شان با کدهای کامپیوتری، تحلیل آسیب‌پذیری‌ها و گشت‌وگذار در لایه‌های پنهان اینترنت عجین شده است.

کاسِرِس در آن زمان خود را «محقق امنیتی» یا به تعبیری دیگر، یک هکر «کلاه خاکستری» می‌دانست؛ فردی که مهارت‌هایش را برای کشف نقاط ضعف سیستم‌ها به کار می‌گیرد، اما نه لزوماً با اهداف مخرب.

در ژانویه ۲۰۲۱، کاسرس به فایلی مشکوک در یکی از سیستم‌های خود برخورد و رد پای یک درِ پشتی (Backdoor) ماهرانه را تا رسیدن به یکی از شناخته‌شده‌ترین و خطرناک‌ترین گروه‌های هکری جهان دنبال کرد؛ گروهی که به باور او با هدف سرقت ابزارهای هک پیشرفته، بهره‌برداری از آسیب‌پذیری‌های روز صفر (Zero-day exploits) و جمع‌آوری اطلاعات از محققان امنیتی از سوی کره شمالی هدایت می‌شد.

او حادثه را به FBI گزارش داد، اما هیچ پاسخی نگرفت

کاسرس حمله را دفع کرد و جزئیات کامل را به اف‌بی‌آی گزارش داد. او انتظار داشت که این حادثه، زنگ خطری برای نهادهای امنیتی باشد و تحقیقاتی جدی را کلید بزند. اما در مقابل، تنها با سکوت مواجه شد.

بی‌تفاوتی اف‌بی‌آی باعث سرخوردگی و بعد خشم کاسرس تبدیل شد. او بعدها در مصاحبه‌ای با مجله Wired گفت: «حس می‌کردم اگر من کاری نکنم، هیچ‌کس دیگری هم کاری نخواهد کرد.»

آلخاندرو کاسرس هکری که کره شمالی را هک کرد، ژوئن ۲۰۲۴

چگونه زیرساخت‌های قدیمی، راه را برای نقشه‌ بزرگ هک هموار کردند؟
برای درک مراحلی که یک هکر به‌تنهایی طی کرد تا کل اینترنت کشوری را از کار بیندازد، باید ایده‌ی بهتری از ساختار منحصربه‌فرد و فوق‌العاده آسیب‌پذیر اینترنت کره شمالی داشته باشیم.

در کره شمالی اینترنت به دو طبقه کاملاً مجزا تقسیم می‌شود:

نخست کوانگ‌میونگ (Kwangmyong): که در واقع همان شبکه ملی داخلی یا «اینترانت» است که اکثریت‌قریب‌به‌اتفاق مردم کره شمالی اجازه دارند از آن استفاده کنند. کوانگ‌میونگ به معنی «ستاره درخشان»، اصولاً هیچ ارتباطی با اینترنت جهانی ندارد.

این شبکه مجموعه‌ای از وب‌سایت‌های کنترل‌شده توسط دولت، پلتفرم‌های آموزشی، کتابخانه‌های دیجیتال و خدمات چت داخلی را شامل می‌شود.

یک اتاق کامپیوتر با دسترسی به کوانگ میونگ در خانه مطالعاتی بزرگ مردم در پیونگ یانگ

دوم اینترنت جهانی است که تعداد معدودی ازجمله نخبگان حکومتی، دیپلمات‌ها، نهادهای نظامی و تعداد انگشت‌شماری از دانشگاهیان به آن دسترسی دارند. این شبکه، دروازه کره شمالی به جهان محسوب می‌شود، اما ابعادش بسیار کوچک‌تر از چیزی است که تصور می‌کنید.

طبق برآوردها، کل فضای آدرس IP اختصاص‌یافته به کره شمالی در حد ۱۰۲۴ آدرس محدود می‌شود. برای مقایسه، یک کشور اروپایی متوسط، میلیون‌ها آدرس IP و ایالات متحده بیش از یک میلیارد آدرس در اختیار دارد. اینترنت کره تنها از طریق یک یا دو مسیر اصلی، که عمدتاً توسط شرکت مخابراتی چینی China Unicom تأمین می‌شود، به شبکه جهانی متصل است. به عبارتی کل ترافیک ورودی و خروجی کشور از یک گلوگاه بسیار باریک عبور می‌کند.

فایروال‌ها و سیستم‌های دفاعی کره در برابر حملات مدرن تقریباً بی‌دفاع بودند

وب‌سایت‌ها و سرورهای کره شمالی بر روی زیرساختی قدیمی و با نرم‌افزارهای به‌روز نشده اجرا می‌شوند و فایروال‌ها و سیستم‌های دفاعی آن‌ها در برابر حملات مدرن و گسترده، تقریباً بی‌دفاع هستند.

از نگاه یک متخصص امنیت سایبری مانند کاسرس، اینترنت کره شمالی شبیه قلعه‌ای با دیوارهای بلند اما دروازه‌هایی مقوایی بود. او می‌دانست که برای فروریختن این ساختار، نیازی به ارتشی از هکرها یا ابرکامپیوترها نیست؛ تنها یک حرکت متمرکز کار را پیش می‌برد.

طراحی نقشه: وقتی هکر به‌تنهایی ابزار سقوط یک شبکه‌ ملی را ساخت
P4X با علم به وضعیت اینترنتی کره شمالی تصمیم گرفت نقشه‌اش را عملی کند. هدفش هم نفوذ به سیستم‌ها یا سرقت اطلاعات نبود، بلکه صرفا می‌خواست با از کارانداختن کامل شبکه، انتقال بگیرد.

فرایند آماده‌سازی این حمله بیش از یک سال طول کشید و شامل دو مرحله اصلی بود:

شناسایی و نقشه‌برداری: کاسرس ماه‌ها وقت گذاشت تا شبکه کره شمالی را اسکن کند. او رد سرورهای اصلی، روترهای مرزی، و نقاط ضعف نرم‌افزاری را گرفت و دریافت که بسیاری از سیستم‌های کلیدی کشور، همچنان با نسخه‌های قدیمی وب‌سرورهایی مانند Apache یا Nginx کار می‌کنند که آسیب‌پذیری‌هایشان مستند شده و برای متخصصان امنیتی آشنا بودند.

P4X با نقشه‌برداری دقیق، نقاط کلیدی شبکه را مشخص کرد

این آسیب‌پذیری‌ها به او اجازه می‌دادند تا اسکریپت‌های خودکاری بنویسد که بتوانند سرورها را با درخواست‌های مشخصی هدف قرار دهند و آن‌ها را از کار بیندازند. P4X نه‌تنها نقاط ضعف، بلکه ساختار کلی شبکه را نیز ترسیم کرد تا بداند کدام نقاط را باید هم‌زمان هدف قرار دهد تا یک فروپاشی زنجیره‌ای ایجاد شود.

ساخت ابزار: در مرحله‌ی بعد P4X مجموعه‌ای از اسکریپت‌های سفارشی را توسعه داد. این ابزارها برای اجرای حملات انکار سرویس (Denial of Service) طراحی شده بودند، اما با یک تفاوت کلیدی: او به‌جای استفاده از یک بات‌نت عظیم (شبکه‌ای از کامپیوترهای آلوده)، از تکنیک‌های هوشمندانه‌تری برای «تقویت» حملات خود استفاده کرد.

برای مثال آسیب‌پذیری‌هایی را در خود سرورهای کره شمالی پیدا کرد که به او اجازه می‌داد با ارسال یک درخواست کوچک، سرور را وادار به انجام کاری سنگین و مصرف منابع زیاد کند. این کار، اثر حمله‌ی او را چندین برابر می‌کرد.

آنچه P4X توسعه داد، بعدها «منجنیق دیجیتال» لقب گرفت: ابزاری که قادر بود با کمترین تلاشی از جانب هکر، سنگین‌ترین ضربه را به زیرساخت ضعیف دشمن وارد کند.

حالا همه چیز آماده بود و تنها یک کلیک، نقشه را به فاز اجرا می‌برد.

خاموشی مطلق فرا می‌رسد

اواخر ژانویه ۲۰۲۲، شب آرامی در خانه‌ی آلخاندرو کاسرس جریان داشت. او پشت میز کارش نشست، نفس عمیقی کشید و اسکریپت‌های آماده را اجرا کرد. تنها چند ثانیه بعد، تأثیر این عمل در آن‌سوی جهان احساس شد.

سیل ترافیک دیجیتال به سمت سرورهای اصلی کره شمالی سرازیر شد. اولین سرورهایی که از کار افتادند، روترهای مرزی بودند؛ همان دروازه‌هایی که اینترنت کشور را به چین متصل می‌کردند. با فلج شدن این روترها، عملاً ارتباط کل کشور با دنیای خارج قطع شد. سپس موج حمله به سمت سرورهای داخلی رفت. وب‌سایت‌های دولتی، خبرگزاری‌ها، و هر سرویس آنلاینی که برای ارتباطات خارجی استفاده می‌شد، یکی پس از دیگری خاموش شدند.

با سقوط روترهای مرزی، ارتباط کره شمالی با جهان قطع شد

ناظران خارجی با شگفتی می‌دیدند که دامنه‌های «kp.» به‌طور کامل از اینترنت ناپدید می‌شوند؛ نه یک قطعی لحظه‌ای، بلکه خاموشی‌ای کامل و بی‌سابقه.

برای چند روز متوالی، اینترنت کره شمالی عملاً وجود خارجی نداشت. هر بار که مهندسان شبکه در پیونگ‌یانگ تلاش می‌کردند یکی از سیستم‌ها را آنلاین کنند، اسکریپت‌های خودکار P4X آن را شناسایی کرده و موج جدیدی از حملات را روانه می‌کردند. گویی یک بازی موش و گربه آغاز شده بود که در آن P4X همه چیز را تحت کنترل داشت.

هربار سروری آنلاین می‌شد، اسکریپت‌های خودکار P4X آن را شناسایی و خاموش می‌کرد

جهان بیرون همچنان به گمانه‌زنی‌هایش ادامه می‌داد. آیا آمریکا پشت ماجرا بود؟ یا کره جنوبی؟ یا گروهی سازمان‌یافته از هکرهای بین‌المللی؟ هیچ‌کس حتی تصور نمی‌کرد که عامل این فروپاشی، شهروندی عادی باشد که از خانه‌اش، با انگیزه‌ای شخصی، این عملیات را رهبری می‌کند.

افشای هویت هکر و میراث یک انتقام

آلخاندرو کاسرس، کارآفرین و هکر ۳۸ ساله کلمبیایی-آمریکایی در حوزه امنیت سایبری، با نام مستعار P4x

برای مدتی، P4X در سایه باقی ماند و از دور، آشفتگی و بحث‌های رسانه‌ای را تماشا کرد. اما سرانجام تصمیم گرفت داستان خود را به اشتراک بگذارد. او با اندی گرینبرگ، یکی از معتبرترین روزنامه‌نگاران حوزه امنیت سایبری در مجله Wired، تماس گرفت و هویت واقعی خود را فاش کرد: آلخاندرو کاسرس، شهروند آمریکایی با اصالت کلمبیایی.

اگر دستگاه‌های امنیتی از شهروندان خود در برابر حملات سایبری محافظت نکنند، ممکن است خود شهروندان دست‌به‌کار شوند.
بازتاب رسانه‌ای این افشاگری هم دوگانه بود. عده‌ای او را قهرمان مدرن خواندند اما دیگران او را خطرناک و ماجراجو دانستند که با تصمیمی شخصی، می‌توانست تنش‌های بین‌المللی را شعله‌ور کند.

از منظر حقوقی هم کاری که او کرده بود، طبق قوانین آمریکا، جرمی سنگین محسوب می‌شد. بااین‌حال، هیچ اتفاقی برای او نیفتاد، نه اتهامی علیه‌اش مطرح شد و نه اف‌بی‌آی سراغش رفت، شاید برای اینکه هیچ داده‌ای را ندزدید و خسارتی دائمی به بار نیاورد، یا شاید به این دلیل که کره شمالی را هدف قرار داده بود.

این ماجرا، دنیا را با این واقعیت روبرو کرد که در عصر جدید، گاهی قدرتمندترین بازیگران، نه ارتش‌های دولتی، بلکه افرادی پیژامه‌پوش پشت کیبورد هستند که می‌توانند به‌تنهایی اینترنت یک کشور را قطع کنند.