رویداد۲۴ لیلا فرهادی: وزیر نفت مدیر نهاد بالادستی شرکت پالایش و پخش که مسئولیت مدیریت سامانه هوشمند سوخت را در دست دارد روز چهارشنیه در حاشیه نشست هیات دولت توضیحاتی درباره حادثه داده که سند متقنی دال بر بیمسئولیتی و سوءمدیریت در موضوع حملات سایبری چندباره به این سامانه است. جواد اوجی گفته «خوشبختانه دیتا سنتر سامانه سوخت که در شرکت پالایش و پخش است مشکلی پیدا نکرده است.» او گفته «کارشناسان در حوزه شورای انفورماتیک و افتا، سازمان فناوری اطلاعات، کارشناسان خودمان و تیمی که آقای دکتر رئیسی تعیین کردهاند در حال بررسی مشکل هستند.»
اوجی به عملکرد سریع دولت افتخار کرده و گفته «حملات سایبری در جهان مرسوم است، اما اینکه ما بالفور و در یک واکنش سریع توانستیم آن را خنثی کنیم و اجازه ندهیم مردم دچار چالش شوند کار بزرگی بود.» وزیر نفت گفته «میخواستند مردم را عصبانی کنند، ولی با کار جهادی که کردیم خیلیها متوجه این موضوع نشدند. اسم عملیاتشان را گنجشک گذاشتهاند اما خبر ندارند اینجا ایران است و در سال ۵۷ پر عقاب ریخت چه برسد به گنجشک.»
رویداد۲۴ در این گزارش به چندین سوال مهم درباره عملکرد افتا، بیتوجهی وزارت نفت و مدیران سامانه سوخت به باگهای سیستم، نقش شرکت وابسته یک بانک بزرگ در این اهمال و «کار جهادی» مدنظر وزیر در بازیابی سیستم پاسخ داده است. «حمید کشفی» کارشناس امنیت شبکه دو سال پیش مقاله مفصلی درباره حمله سایبری آبان ماه ۱۴۰۰ گروه هکری گنجشک درنده به سامانههای سوخترسانی نوشته است. رویداد۲۴ در این گزارش بخشهای مهم این مقاله را به اختصار منتشر کرده است.
این حمله به طور خاص برای مختل کردن زندگی روزمره غیرنظامیان در سراسر کشور طراحی شده بود که با قطع سامانه توزیع سوخت، باعث درگیری و شورش داخلی علیه حاکمیت شوند، اما نه آنقدر جدی که آسیب فنی جبرانناپذیر و بلندمدت ایجاد کند. حمله به دقت برنامهریزی شده تا به طور مستقیم منجر به تلفات نشود. اخطار زودهنگام، دامنه این تلفات را کاهش داد.
تلاش گروه هکری برای هشدار اولیه اقدام جالبی بود که بهندرت دیده میشود. هکر به صورت دستی افرادی را بر اساس مشاغل روزانه و سلسله مراتب سازمانیشان انتخاب کرده و به آنها پیام هشدار فرستاده است. اطلاعات ایرانیان به راحتی قابل دسترسی نیست و اینکه مهاجم به روشی از این محدودیت عبور کرده، بخشی از جزییات عملیاتی جالب آنها بوده است.
یکی دیگر از جنبههای عملیاتی مهم حمله این بود که هکرها با وجود دسترسی کامل به سامانه تصمیم گرفتند که کمترین آسیب و در عین حال مؤثرترین را به سیستم وارد کنند. گروه گنجشک درنده فقط سرورهای مدیریت سطح متوسط را پاک کرده و پایانههای پوز پمپ بنزینها را به طور موقت غیر فعال کردند که برای فعال کردن مجدد آنها نیاز به حضور فیزیکی اپراتورها در ایستگاهها برای بازیابی وجود دارد.
برخلاف ادعای وزیر نفت که گفته اقدام سریع و بالفور کارشناسان این وزارتخانه، مانع پیشروی هکرها شده و دیتا سنتر این شبکه به دلیل اقدامات به موقع آنها آسیب ندیده، به نظر میرسد گروه هکری تعمدا همه توان خود را برای ضربه زدن به سامانه به کار نبرده است. هشدار قبل از حادثه یکی از نشانههای این ادعا است. آنها در موقعیت و توانایی بودند که آسیبهای زیر را به سیستم وارد کنند، اما برنامهریزی آنها، امتناع از چنین آسیبهایی بود؛
۱) پاک کردن و تخریب پایانههای پوز بهگونهای که این دستگاهها در وضعیتی قرار بگیرند که اپراتورها امکان بازیابی سیستم حتی به صورت فیزیکی را هم نداشته باشند.
۲) پاک کردن سرورهای مدیریت مرکزی و سایر سامانههای مرکز داده
۳) پاک کردن تمام دادهها و سوابق مشتریان یا دادههای پشتیبان سیستم سوخت
۴) وارد کردن دادههای غلط یا پاک کردن و غیر فعال کردن کارتهای هوشمند صادر شده برای مشتریان
۵) دستکاری سهمیه سوخت دارندگان کارت سوخت
۶) انتشار دادههای حساس مشتریان به گونهای که کشور مجبور به صدور مجدد همه کارتهای سوخت شود
برخلاف ادعای مسئولان در ایران درباره معماری منحصر به فرد سوخترسانی هوشمند، با پیادهسازی سامانه با استفاده از محصولات و راهکارهای تولید داخلی، بسیاری از اجزای نرمافزاری و سختافزاری، به ویژه اجزای کلیدی مدیریت کارت هوشمند، تراکنشها، مدیریت سیستمهای POS و چارچوب زیربنایی که پمپ بنزینها را با سیستمهای مدیریت مرکزی به هم متصل میکند، محصولات موجود در بازار هستند که عمده آنها امروز در بازارهای جهانی دیگر استفاده هم نمیشوند. به طور خاص، هسته سیستم و سختافزار مبتنی بر محصولات شرکت Ingenico یک شرکت فرانسوی است.
«شرکت ایدهنگار انرژی سبز» شرکت ایرانی مسئول طراحی اصلی و پیادهسازی بخشهایی از سامانه اعم از قطعات سختافزاری و نرمافزاری آن است که سیستم مدیریت را با استفاده از محصولات و پلتفرمهای Ingenico بر اساس نیازهای سامانه هوشمند سوخت در ایران تولید کرده است. آنها درباره استفاده از طرحهای Ingenico صراحت دارند و آن را پنهان نمیکنند.
صرفنظر از این، سامانه هوشمند سوخت پیچیده و چند لایه با معماری متشکل از مولفهها و اتصالات زیادی است که هر کدام میتوانند در معرض حملات قرار گیرند. طراحی قابل توجه و موثر این سامانه نشان میدهد که این سیستم به وضوح محصولی تولید ایران، آن طور که دولت ادعا میکند نیست. نمودار زیر برگرفته از گزارش تحلیلی شرکت مدبران است.
هر دیسپنسر و پمپ در جایگاه سوخت دارای دو بخش کنترلکننده اصلی است که وظیفه کنترل عملیات سوخترسانی را بر عهده دارد. یک بُرد میکروکنترلر، عملیات سوخترسانی مانند فرمان پمپ را مدیریت میکند.
بخش دوم شامل دستگاه پوز هوشمند است که یک صفحه کلید دارد و به کنترل وصل است. برد میکروکنترلرعملیات سوخت رسانی را با استفاده از دادههای که در اتصال به سرور مدیریت ایستگاه (IPC) دریافت کرده، انجام میدهد.
دستگاه پوز جایگاههای سوخت، با سیستم عامل اختصاصی Ingenico کار میکند که بر اساس استانداردهای امنیتی مشترک با سیستمهای پرداخت پیادهسازی شدهاند. پایانههای POS و بُردهای کنترلکننده دستگاههای توزیع سوخت از طریق اترنت و سریال به یک کامپیوتر سفارشی در هر پمپ بنزین که به عنوان سرور IPC شناخته میشود، متصل میشوند.
سرور IPC پمپهای بنزین را راهاندازی و نظارت میکند، دادههای تلهمتری ایستگاه را مدیریت میکند و همچنین برای مدیریت و بهروزرسانی سیستم عامل و دادهها در پایانههای POS در صورت لزوم مورد استفاده قرار میگیرند. همین سیستم مسئول مدیریت آخرین دادههای مشتری، مانند سهمیه سوخت است. هر سرور IPC به عنوان یک عامل از راه دور برای سیستم مدیریت مرکزی عمل میکند. IPC یک نسخه سفارشی شده لینوکس به نام فدورا ۱۲ را به عنوان سیستم عامل دارد.
سرورهای IPC و دادههای آنها از راه دور در گروههای منطقهای بزرگتر جمعآوری و مدیریت میشوند. بر اساس اطلاعات گزارش تحلیلی شرکت مدبران هشت نقطه تجمع یا سرور پولر از نظر جغرافیایی در سراسر کشور وجود دارد. سرورهای پولر با استفاده از پایانههای VSAT به مرکز داده متصل میشوند.
ارتباط بین سرورهای پولر، سرورهای IPC و پمپ بنزینها به وسیله اتصالات دیال آپ با خط تلفن، APN یا اینترانت است. با این حال بارها مشاهده شده که بسیاری از پمپبنزینها از پایانههای VSAT یا مودمهای LTE برای اتصال هم استفاده میکنند.
سرورهای IPC از اتصالات VPN از پیش پیکربندی شده (Cisco VPN) برای دسترسی ایمن استفاده میکنند. پیوند داده بین مرکز داده و سرورهای IPC ظاهرا از طریق یک شبکه MPLS است و از طریق اینترنت در معرض دید قرار نمیگیرد؛ بنابراین همهچیز به عنوان بخشی از یک شبکه «اینترانت» غولپیکر سراسری عمل میکند. با این حال در واقعیت، پمپ بنزینهای مختلف از روشهای دیگری برای تماس با مرکز استفاده میکنند. اکثر جایگاههایی که در مکانهای دور واقع شدهاند از پایانههای VSAT استفاده میکنند که توسط یک بانک بزرگ ارائه میشود.
شرکت «یاس ارغوانی» شرکت ارائهدهنده خدمات VSAT و POS به سامانه هوشمند سوخت کشور است. این شرکت زیرمجموعه یکی از بانکهای بزرگ کشور است. وبسایت شرکت یاس ارغوانی هیچ اشارهای به پروژه ارائه خدمات به سامانه هوشمند سوخت نکرده، اما اسفند ۹۷ نمایشگاهی با موضوع سوخت برگزار شده بود که شرکت مهندسی سیستم یاس ارغوانی، شرکت به پرداخت ملت و مهندسی سیستم یاس ارغوانی از حامیان آن نمایشگاه بودند که محصولات سختافزاری و نرمافزاری مرتبط با حوزه سوخت در آن به نمایش در آمده بود.
شرکت مهندسی سیستم یاس ارغوانی به طور ویژه یک دپارتمان تحت عنوان کسب و کار جایگاههای سوخت دارد. مدیریت این دپارتمان در نمایشگاه سال ۹۷ اعلام کرده بود که محصولات این شرکت در حدود ۳۶۰۰ جایگاه فعال شده و ۶۰۰۰ دستگاه «پی استیشن» این شرکت در ۳۱۰۰ جایگاه سوخت نصب شده است. در همه این سالها، بسیاری از جایگاهها به سمت استفاده از زیرساختهای ارائه شده توسط DCI (شرکت ارتباطات داده ایران) رفتهاند.
ما همچنین جایگاههای سوخت بسیاری را دیدهایم که با استفاده از LTE سیم کارتهای ارائه شده شرکت همراه اول به مرکز متصل شدهاند. همانطور که ممکن است حدس زده باشید، مودمهای VSAT و LTE «آفلاین بودن» وعده داده شده شبکه مدیریت حساس این سامانه را در هم شکسته است. اینکه آیا این جایگاهها از سیمکارتهای صادر شده مخصوص پمپ بنزین استفاده میکنند یا خیر یا زیرساختشان با مشتریان عادی همراه اول یکی است، مشخص نیست.
در هسته سیستم، سرورهای مدیریتی در دو مرکز داده در تهران و اصفهان کار قرار گرفتهاند که دادهها را از سرورهای pooler و همه سرورهای IPC، POS، VSAT و سایر اتصالات پایانههای سراسر کشور دریافت میکنند. سیستم نظارت مرکزی سامانه توسط شرکت «ایده نگار انرژی سبز» ایجاد شده که ترکیبی از برنامههای کاربردی تحت وب در PHP و جاوا است.
هر کسی با دسترسی ممتاز به این سیستمهای مدیریتی میتواند از راه دور عملیات کنترل، ارتقا، یا دستکاری پایانههای IPC یا حتی POS هستهای در سراسر کشور را انجام دهد. این دقیقاً همان چیزی است که در جریان حمله سایبری، فروپاشید. با این حال، این روند کمی پیچیده است.
علاوه بر این سیستم عامل POS معمولاً به صورت رمزنگاری شده است و مهاجمان برای دسترسی به زیرساخت، ورود به سیستم عامل و پیکربندیهای دستگاههای POS، ملزم به دریافت گواهینامههای دیجیتال و کلیدهای رمزنگاری شدهاند. ویژگیهای امنیتی ذکر شده در اینجا منحصر به سامانه سوخت رسانی هوشمند ایران نیست و بسیار مرسوم است.
سیستمهای مدیریت مرکزی داده باید با چندین سیستم خارجی ارتباط برقرار کنند. به عنوان مثال، جزئیات ثبت نام هر وسیله نقلیه، اطلاعات مربوط به مشتریان، و اطلاعات مربوط به گزارشهای کارت هوشمند دزدیده و مفقود شده است. شرکت ملی نفت ایران، سازمان بالادستی این زنجیره است و به طور طبیعی این جزئیات را از طریق APIهای اختصاصی به سامانه ارائه میکند
هر یک از ارتباطات VSAT، پایانههای VSAT، پایانههای LTE، سرورهای مرکز دادههای VPN، دسترسی فیزیکی به سرورهای IPC توسط هکرها، دسترسی فیزیکی به شبکه جایگاه، حمله یک نیروی داخلی یا شبکه دولت میتواند نحوه نفوذ جریان خرابکار به سامانه سوخت کشور باشد.
بلافاصله پس از انتشار اخبار مربوط به این حادثه، سعی کردیم نحوه احتمالی و مبادی نفوذ را که مهاجمان میتوانستند از آن استفاده کنند، شناسایی کنیم. برای درک آن، باید میفهمیدیم، «چه کسی» و «چه چیزی» سامانه هوشمند سوخت را اداره میکند. اولین مسئول، شرکت پخش فرآوردههای نفتی است. این شرکت گهگاه فراخوانهایی را برای برونسپاری پروژههای تعمیر و نگهداری منتشر میکند.
در وبسایت «پارس نماد دیتا» که یکی از وبسایتهای انتشار فراخوانهای شرکت پالایش و پخش فراوردههای نفتی است یک فراخوان جالب به چشم میخورد که به هر دو سوال «چه کسی» و «چه چیزی» به طور همزمان پاسخ میدهد.
میدانیم که محصولات Ingenico در پمپ بنزینها استفاده میشود. در یکی از این فراخوانها شرکت ملی پخش فرآوردههای نقتی ایران، مناقصه تعمیرات و پشتیبانی تجهیزات ترمینالهای Ingenico i۹۴۰۰ را چند روز بعد از حمله سایبری به سامانه هوشمند سوخت منتشر کرده بود.
در میان فراخوانها و مناقصههای مرتبط، چندین مناقصه شرکت زیرمجموعه بانک ملی که خدمات VSAT را به سامانه هوشمند سوخت ارائه میکند را هم پیدا کردیم. با همین متد میشود همه تامین کنندههای پروژه توزیع سوخت و شرکتهای درگیر یا پشتیبانی فنی و نگهداری پروژه را پیدا کرد.
با توجه به شدت این اشتباه، ما نمیتوانیم احتمال نشت عمدی اطلاعات حمله سایبری توسط هکرها یا یک شخص ثالث ناشناس را که منشا خود را ایران و فرانسه اعلام کرده، رد کنیم. (دادههایی که ما پیدا کردیم از این دو مکان بارگذاری شده بودند)
نویسنده میگوید زمانی که مبادی نشت اطلاعاتی را کشف کردهاند با سازمان فناوری اطلاعات ایران که به زعم آنها مسئول شناسایی و رسیدگی به ابعاد حمله سایبری بوده تماس گرفتهاند. شرکت ابتدا پاسخی به آنها نداده، اما زمانی که آنها درباره جزییات اطلاعاتشان حرف زدهاند، صحبتهای آنها را شنیده، اما بعد از قطع مجدد ارتباط، مبادی نشت اطلاعات همچنان به قوت خود باقی بوده است. نویسنده میگوید احتمالا در گفتگویی که با سازمان فناوری اطلاعات ایران (افتا) داشتیم، آنها را به خوبی درباره نحوه دستیابی مان به این اطلاعات روشن نکردهایم، چون بعدها متوجه شدیم این نشت همچنان ادامه دارد.