حمله کارتل هک روسیه به سازمان های دولتی کاستاریکا

واشنگتن – یک کارتل هکری روسی حمله سایبری فوق‌العاده‌ای را علیه دولت کاستاریکا انجام داد که تاکنون بیش از یک ماه سیستم‌های جمع‌آوری مالیات و صادرات را فلج کرده و این کشور را مجبور به اعلام وضعیت اضطراری کرده است.

باند باج افزار Conti، مستقر در روسیه، مسئولیت این حمله را که در 12 آوریل آغاز شد، مدعی شد و تهدید کرده است که اطلاعات دزدیده شده را افشا خواهد کرد مگر اینکه 20 میلیون دلار به آن پرداخت شود. کارشناسانی که تحرکات کونتی را دنبال می‌کنند می‌گویند که این گروه اخیراً شروع به تغییر تمرکز خود از ایالات متحده و اروپا به کشورهای آمریکای مرکزی و جنوبی کرده است تا شاید برای انتقام از کشورهایی که از اوکراین حمایت کرده‌اند.

برخی از کارشناسان همچنین معتقدند کونتی از سرکوب توسط ایالات متحده می ترسید و بدون توجه به سیاست به دنبال اهداف جدید بود. بر اساس برآوردهای اداره تحقیقات فدرال، این گروه مسئول بیش از 1000 حمله باج افزار در سراسر جهان است که منجر به درآمد بیش از 150 میلیون دلار شده است.

Juan Andres Guerrero-Saade، محقق اصلی تهدید در SentinelOne می‌گوید: «کارتل‌های باج‌افزار متوجه شدند که شرکت‌های چندملیتی در ایالات متحده و اروپای غربی اگر نیاز به پرداخت مبلغی غیر خدایی برای راه‌اندازی کسب‌وکار خود داشته باشند، کمتر چشمک می‌زنند. “اما در یک نقطه، شما از این فضا استفاده خواهید کرد.”

دلیل این تغییر هر چه که باشد، هک نشان داد که کونتی با وجود گمانه زنی ها مبنی بر احتمال متلاشی شدن باند پس از اینکه در روزهای اولیه جنگ روسیه علیه اوکراین هدف عملیات هک قرار گرفت، همچنان تهاجمی عمل می کرد. این گروه جنایتکار که پس از حمله به روسیه متعهد به حمایت از روسیه شد، به طور معمول کسب‌وکارها و سازمان‌های دولتی محلی را با نفوذ به سیستم‌های آنها، رمزگذاری داده‌ها و درخواست باج برای بازگرداندن آن‌ها هدف قرار می‌دهد.

درباره هک کاستاریکا، برت کالو، تحلیلگر تهدید در Emsisoft، گفت که “احتمالاً این مهم ترین حمله باج افزار تا به امروز است.”

او گفت: «این اولین باری است که می‌توانم یک حمله باج‌افزاری را به خاطر بیاورم که منجر به اعلام وضعیت اضطراری ملی شد.

کاستاریکا گفته است که از پرداخت باج خودداری کرده است.

کمپین هک پس از انتخابات ریاست جمهوری کاستاریکا رخ داد و به سرعت تبدیل به یک چتر سیاسی شد. دولت قبلی این حمله را در اولین خبرهای رسمی خود کم اهمیت جلوه داد و آن را یک مشکل فنی معرفی کرد و تصویری از ثبات و آرامش را به نمایش گذاشت. اما رودریگو چاوز، رئیس جمهور تازه منتخب، دوره ریاست جمهوری خود را با اعلام وضعیت اضطراری ملی آغاز کرد.

آقای چاوز روز دوشنبه در یک کنفرانس خبری گفت: “ما در جنگ هستیم.” او گفت که 27 موسسه دولتی تحت تاثیر این حمله باج افزار قرار گرفته اند که 9 مورد از آنها به میزان قابل توجهی بوده است.

به گفته دولت آقای چاوز، این حمله در 12 آوریل آغاز شد، زمانی که هکرهایی که گفته بودند وابسته به کونتی هستند، به وزارت دارایی کاستاریکا که بر سیستم مالیاتی این کشور نظارت دارد، نفوذ کردند. دولت این ماه گفت که از آنجا، باج افزار به آژانس های دیگری که بر فناوری و مخابرات نظارت می کنند، سرایت کرد.

دو مقام سابق وزارت دارایی که مجاز به صحبت علنی نبودند، گفتند هکرها توانستند به اطلاعات مالیات دهندگان دسترسی پیدا کنند و روند جمع آوری مالیات کاستاریکا را مختل کنند و آژانس را مجبور به بستن برخی از پایگاه های داده و متوسل شدن به استفاده از سیستمی تقریباً 15 ساله برای ذخیره درآمد از بزرگترین مالیات دهندگان خود. بخش عمده ای از درآمد مالیاتی کشور از مجموعه نسبتاً کوچکی متشکل از هزاران مالیات دهندگان اصلی به دست می آید که ادامه جمع آوری مالیات را برای کاستاریکا ممکن می سازد.

این کشور همچنین به صادرات متکی است و حمله سایبری ماموران گمرک را مجبور کرد که کار خود را صرفاً روی کاغذ انجام دهند. در حالی که تحقیقات و بازیابی در حال انجام است، مالیات دهندگان در کاستاریکا مجبور هستند به جای اتکا به خدمات آنلاین، اظهارنامه مالیاتی خود را شخصاً در مؤسسات مالی ثبت کنند.

آقای چاوز یکی از مقامات سابق بانک جهانی و وزیر دارایی است که قول داده است نظام سیاسی را متزلزل کند. دولت او این ماه در واکنش به این حمله سایبری وضعیت فوق العاده اعلام کرد و آن را “بی سابقه در کشور” خواند.

دولت آقای چاوز در اعلامیه اضطراری خود گفت: “ما با وضعیت فاجعه اجتناب ناپذیر، فاجعه عمومی و آشوب داخلی و غیرعادی روبرو هستیم که بدون اقدامات فوق العاده توسط دولت قابل کنترل نیست.”

دولت گفت که وضعیت اضطراری به آژانس‌ها اجازه می‌دهد تا سریع‌تر برای رفع نقض اقدام کنند. اما محققان امنیت سایبری گفتند که بازیابی نسبی ممکن است ماه ها طول بکشد و دولت ممکن است هرگز اطلاعات خود را به طور کامل بازیابی نکند. به گفته محققان، دولت ممکن است از برخی از اطلاعات مالیات دهندگان خود نسخه پشتیبان تهیه کند، اما مدتی طول می کشد تا این پشتیبان ها آنلاین شوند و دولت ابتدا باید اطمینان حاصل کند که دسترسی Conti به سیستم های خود را حذف کرده است.

پرداخت باج تضمینی برای بازیابی نیست زیرا Conti و سایر گروه‌های باج‌افزار حتی پس از دریافت پرداخت، داده‌ها را مخفی می‌کنند.

آقای کالو گفت: «اگر آنها باج را پرداخت نکنند، که اعلام کرده‌اند قصد انجام آن را ندارند، یا نسخه‌های پشتیبان‌گیری داشته باشند که به آنها امکان بازیابی داده‌هایشان را می‌دهد، به طور بالقوه به از دست دادن کل و دائمی داده‌ها نگاه می‌کنند».

زمانی که کاستاریکا از پرداخت باج امتناع کرد، کونتی شروع به تهدید به افشای اطلاعات خود به صورت آنلاین کرد و برخی از فایل‌هایی که ادعا می‌کرد حاوی اطلاعات دزدیده شده است را پست کرد.

این گروه در وب سایت خود نوشت: “نمی توان بدون طنز به تصمیمات دولت رئیس جمهور کاستاریکا نگاه کرد.” “با پرداخت می شد از همه اینها جلوگیری کرد.”

روز شنبه، Conti خطرات را افزایش داد و تهدید کرد که در صورت عدم پرداخت در عرض یک هفته، کلیدهای بازیابی اطلاعات را حذف خواهد کرد.

با دولت‌ها، آژانس‌های اطلاعاتی و محافل دیپلماتیک، بخش ناتوان‌کننده حمله واقعاً باج‌افزار نیست. آقای Guerrero-Saade از SentinelOne گفت: این استخراج داده است. “شما در موقعیتی هستید که احتمالاً اطلاعات فوق العاده حساس در دست شخص ثالث است.”

این نقض، در میان سایر حملاتی که توسط کونتی انجام شد، باعث شد تا وزارت امور خارجه ایالات متحده به دولت کاستاریکا بپیوندد تا برای هر کسی که اطلاعاتی را ارائه کند که منجر به شناسایی رهبران اصلی گروه هکر شود، 10 میلیون دلار جایزه بدهد.

ند پرایس، سخنگوی وزارت امور خارجه آمریکا در بیانیه‌ای گفت: «این گروه یک حادثه باج‌افزاری را علیه دولت کاستاریکا مرتکب شد که به شدت بر تجارت خارجی این کشور با ایجاد اختلال در پلت‌فرم‌های گمرکی و مالیاتی آن تأثیر گذاشت.» با ارائه این جایزه، ایالات متحده تعهد خود را برای محافظت از قربانیان احتمالی باج افزار در سراسر جهان در برابر سوء استفاده مجرمان سایبری نشان می دهد.

کیت کانگر از واشنگتن و دیوید بولانوس از سن خوزه، کاستاریکا گزارش دادند.