فرآیند هک سامانه سوخت ایران چگونه انجام شده است؟

رویداد۲۴ لیلا فرهادی: وزیر نفت مدیر نهاد بالادستی شرکت پالایش و پخش که مسئولیت مدیریت سامانه هوشمند سوخت را در دست دارد روز چهارشنیه در حاشیه نشست هیات دولت توضیحاتی درباره حادثه داده که سند متقنی دال بر بی‌مسئولیتی و سوءمدیریت در موضوع حملات سایبری چندباره به این سامانه است. جواد اوجی گفته «خوشبختانه دیتا سنتر سامانه سوخت که در شرکت پالایش و پخش است مشکلی پیدا نکرده است.» او گفته «کارشناسان در حوزه شورای انفورماتیک و افتا، سازمان فناوری اطلاعات، کارشناسان خودمان و تیمی که آقای دکتر رئیسی تعیین کرده‌اند در حال بررسی مشکل هستند.»

اوجی به عملکرد سریع دولت افتخار کرده و گفته «حملات سایبری در جهان مرسوم است، اما اینکه ما بالفور و در یک واکنش سریع توانستیم آن را خنثی کنیم و اجازه ندهیم مردم دچار چالش شوند کار بزرگی بود.» وزیر نفت گفته «می‌خواستند مردم را عصبانی کنند، ولی با کار جهادی که کردیم خیلی‌ها متوجه این موضوع نشدند. اسم عملیات‌شان را گنجشک گذاشته‌اند اما خبر ندارند اینجا ایران است و در سال ۵۷ پر عقاب ریخت چه برسد به گنجشک.»

رویداد۲۴ در این گزارش به چندین سوال مهم درباره عملکرد افتا، بی‌توجهی وزارت نفت و مدیران سامانه سوخت به باگ‌های سیستم، نقش شرکت وابسته یک بانک بزرگ در این اهمال و «کار جهادی» مدنظر وزیر در بازیابی سیستم پاسخ داده است. «حمید کشفی» کارشناس امنیت شبکه دو سال پیش مقاله مفصلی درباره حمله سایبری آبان ماه ۱۴۰۰ گروه هکری گنجشک درنده به سامانه‌های سوخت‌رسانی نوشته است. رویداد۲۴ در این گزارش بخش‌های مهم این مقاله را به اختصار منتشر کرده است.

ابعاد حمله هکری به سامانه سوخت‌رسانی چقدر وسیع بود؟

این حمله به طور خاص برای مختل کردن زندگی روزمره غیرنظامیان در سراسر کشور طراحی شده بود که با قطع سامانه توزیع سوخت، باعث درگیری و شورش داخلی علیه حاکمیت شوند، اما نه آنقدر جدی که آسیب فنی جبران‌ناپذیر و بلندمدت ایجاد کند. حمله به دقت برنامه‌ریزی شده تا به طور مستقیم منجر به تلفات نشود. اخطار زودهنگام، دامنه این تلفات را کاهش داد.

تلاش گروه هکری برای هشدار اولیه اقدام جالبی بود که به‌ندرت دیده می‌شود. هکر به صورت دستی افرادی را بر اساس مشاغل روزانه و سلسله مراتب سازمانی‌شان انتخاب کرده و به آن‌ها پیام هشدار فرستاده است. اطلاعات ایرانیان به راحتی قابل دسترسی نیست و اینکه مهاجم به روشی از این محدودیت عبور کرده، بخشی از جزییات عملیاتی جالب آن‌ها بوده است.

یکی دیگر از جنبه‌های عملیاتی مهم حمله این بود که هکر‌ها با وجود دسترسی کامل به سامانه تصمیم گرفتند که کمترین آسیب و در عین حال مؤثرترین را به سیستم وارد کنند. گروه گنجشک درنده فقط سرور‌های مدیریت سطح متوسط را پاک کرده و پایانه‌های پوز پمپ بنزین‌ها را به طور موقت غیر فعال کردند که برای فعال کردن مجدد آن‌ها نیاز به حضور فیزیکی اپراتور‌ها در ایستگاه‌ها برای بازیابی وجود دارد.

آیا این تمام خسارتی بود که هکرها می‌توانستند به سامانه سوخت بزنند؟

برخلاف ادعای وزیر نفت که گفته اقدام سریع و بالفور کارشناسان این وزارتخانه، مانع پیشروی هکرها شده و دیتا سنتر این شبکه به دلیل اقدامات به موقع آنها آسیب ندیده، به نظر می‌رسد گروه هکری تعمدا همه توان خود را برای ضربه زدن به سامانه به کار نبرده است. هشدار قبل از حادثه یکی از نشانه‌های این ادعا است. آن‌ها در موقعیت و توانایی بودند که آسیب‌های زیر را به سیستم وارد کنند، اما برنامه‌ریزی آنها، امتناع از چنین آسیب‌هایی بود؛

۱) پاک کردن و تخریب پایانه‌های پوز به‌گونه‌ای که این دستگاه‌ها در وضعیتی قرار بگیرند که اپراتور‌ها امکان بازیابی سیستم حتی به صورت فیزیکی را هم نداشته باشند.

۲) پاک کردن سرور‌های مدیریت مرکزی و سایر سامانه‌های مرکز داده

۳) پاک کردن تمام داده‌ها و سوابق مشتریان یا داده‌های پشتیبان سیستم سوخت

۴) وارد کردن داده‌های غلط یا پاک کردن و غیر فعال کردن کارت‌های هوشمند صادر شده برای مشتریان

۵) دستکاری سهمیه سوخت دارندگان کارت سوخت

۶) انتشار داده‌های حساس مشتریان به گونه‌ای که کشور مجبور به صدور مجدد همه کارت‌های سوخت شود

نرم افزار فرانسوی سامانه هوشمند سوخت چیست؟

برخلاف ادعای مسئولان در ایران درباره معماری منحصر به فرد سوخت‌رسانی هوشمند، با پیاده‌سازی سامانه با استفاده از محصولات و راهکار‌های تولید داخلی، بسیاری از اجزای نرم‌افزاری و سخت‌افزاری، به ویژه اجزای کلیدی مدیریت کارت هوشمند، تراکنش‌ها، مدیریت سیستم‌های POS و چارچوب زیربنایی که پمپ بنزین‌ها را با سیستم‌های مدیریت مرکزی به هم متصل می‌کند، محصولات موجود در بازار هستند که عمده آن‌ها امروز در بازار‌های جهانی دیگر استفاده هم نمی‌شوند. به طور خاص، هسته سیستم و سخت‌افزار مبتنی بر محصولات شرکت Ingenico یک شرکت فرانسوی است.

«شرکت ایده‌نگار انرژی سبز» شرکت ایرانی مسئول طراحی اصلی و پیاده‌سازی بخش‌هایی از سامانه اعم از قطعات سخت‌افزاری و نرم‌افزاری آن است که سیستم مدیریت را با استفاده از محصولات و پلتفرم‌های Ingenico بر اساس نیاز‌های سامانه هوشمند سوخت در ایران تولید کرده است. آن‌ها درباره استفاده از طرح‌های Ingenico صراحت دارند و آن را پنهان نمی‌کنند.

صرف‌نظر از این، سامانه هوشمند سوخت پیچیده و چند لایه با معماری متشکل از مولفه‌ها و اتصالات زیادی است که هر کدام می‌توانند در معرض حملات قرار گیرند. طراحی قابل توجه و موثر این سامانه نشان می‌دهد که این سیستم به وضوح محصولی تولید ایران، آن طور که دولت ادعا می‌کند نیست. نمودار زیر برگرفته از گزارش تحلیلی شرکت مدبران است.

هر دیسپنسر و پمپ در جایگاه سوخت دارای دو بخش کنترل‌کننده اصلی است که وظیفه کنترل عملیات سوخت‌رسانی را بر عهده دارد. یک بُرد میکروکنترلر، عملیات سوخت‌رسانی مانند فرمان پمپ را مدیریت می‌کند.

بخش دوم شامل دستگاه پوز هوشمند است که یک صفحه کلید دارد و به کنترل وصل است. برد میکروکنترلرعملیات سوخت رسانی را با استفاده از داده‌های که در اتصال به سرور مدیریت ایستگاه (IPC) دریافت کرده، انجام می‌دهد.

دستگاه پوز جایگاه‌های سوخت، با سیستم عامل اختصاصی Ingenico کار می‌کند که بر اساس استاندارد‌های امنیتی مشترک با سیستم‌های پرداخت پیاده‌سازی شده‌اند. پایانه‌های POS و بُرد‌های کنترل‌کننده دستگاه‌های توزیع سوخت از طریق اترنت و سریال به یک کامپیوتر سفارشی در هر پمپ بنزین که به عنوان سرور IPC شناخته می‌شود، متصل می‌شوند.

پای سیستم بانکی به حمله سایبری به سامانه سوخت باز شد!

سرور IPC پمپ‌های بنزین را راه‌اندازی و نظارت می‌کند، داده‌های تله‌متری ایستگاه را مدیریت می‌کند و همچنین برای مدیریت و به‌روزرسانی سیستم عامل و داده‌ها در پایانه‌های POS در صورت لزوم مورد استفاده قرار می‌گیرند. همین سیستم مسئول مدیریت آخرین داده‌های مشتری، مانند سهمیه سوخت است. هر سرور IPC به عنوان یک عامل از راه دور برای سیستم مدیریت مرکزی عمل می‌کند. IPC یک نسخه سفارشی شده لینوکس به نام فدورا ۱۲ را به عنوان سیستم عامل دارد.

سرور‌های IPC و داده‌های آن‌ها از راه دور در گروه‌های منطقه‌ای بزرگ‌تر جمع‌آوری و مدیریت می‌شوند. بر اساس اطلاعات گزارش تحلیلی شرکت مدبران هشت نقطه تجمع یا سرور پولر از نظر جغرافیایی در سراسر کشور وجود دارد. سرور‌های پولر با استفاده از پایانه‌های VSAT به مرکز داده متصل می‌شوند.

ارتباط بین سرور‌های پولر، سرور‌های IPC و پمپ بنزین‌ها به وسیله اتصالات دیال آپ با خط تلفن، APN یا اینترانت است. با این حال بار‌ها مشاهده شده که بسیاری از پمپ‌بنزین‌ها از پایانه‌های VSAT یا مودم‌های LTE برای اتصال هم استفاده می‌کنند.

سرور‌های IPC از اتصالات VPN از پیش پیکربندی شده (Cisco VPN) برای دسترسی ایمن استفاده می‌کنند. پیوند داده بین مرکز داده و سرور‌های IPC ظاهرا از طریق یک شبکه MPLS است و از طریق اینترنت در معرض دید قرار نمی‌گیرد؛ بنابراین همه‌چیز به عنوان بخشی از یک شبکه «اینترانت» غول‌پیکر سراسری عمل می‌کند. با این حال در واقعیت، پمپ بنزین‌های مختلف از روش‌های دیگری برای تماس با مرکز استفاده می‌کنند. اکثر جایگاه‌هایی که در مکان‌های دور واقع شده‌اند از پایانه‌های VSAT استفاده می‌کنند که توسط یک بانک بزرگ ارائه می‌شود.

شرکت خدمات دهنده  VSAT و POS  به سامانه هوشمند سوخت

شرکت «یاس ارغوانی» شرکت ارائه‌دهنده خدمات VSAT و POS به سامانه هوشمند سوخت کشور است. این شرکت زیرمجموعه یکی از بانک‌های بزرگ کشور است. وبسایت شرکت یاس ارغوانی هیچ اشاره‌ای به پروژه ارائه خدمات به سامانه هوشمند سوخت نکرده، اما اسفند ۹۷ نمایشگاهی با موضوع سوخت برگزار شده بود که شرکت مهندسی سیستم یاس ارغوانی، شرکت به پرداخت ملت و مهندسی سیستم یاس ارغوانی از حامیان آن نمایشگاه بودند که محصولات سخت‌افزاری و نرم‌افزاری مرتبط با حوزه سوخت در آن به نمایش در آمده بود.

شرکت مهندسی سیستم یاس ارغوانی به طور ویژه یک دپارتمان تحت عنوان کسب و کار جایگاه‌های سوخت دارد. مدیریت این دپارتمان در نمایشگاه سال ۹۷ اعلام کرده بود که محصولات این شرکت در حدود ۳۶۰۰ جایگاه فعال شده و ۶۰۰۰ دستگاه «پی استیشن» این شرکت در ۳۱۰۰ جایگاه سوخت نصب شده است. در همه این سال‌ها، بسیاری از جایگاه‌ها به سمت استفاده از زیرساخت‌های ارائه شده توسط DCI (شرکت ارتباطات داده ایران) رفته‌اند.

ما همچنین جایگاه‌های سوخت بسیاری را دیده‌ایم که با استفاده از LTE سیم کارت‌های ارائه شده شرکت همراه اول به مرکز متصل شده‌اند. همانطور که ممکن است حدس زده باشید، مودم‌های VSAT و LTE «آفلاین بودن» وعده داده شده شبکه مدیریت حساس این سامانه را در هم شکسته است. اینکه آیا این جایگاه‌ها از سیم‌کارت‌های صادر شده مخصوص پمپ بنزین استفاده می‌کنند یا خیر یا زیرساختشان با مشتریان عادی همراه اول یکی است، مشخص نیست.

در هسته سیستم، سرور‌های مدیریتی در دو مرکز داده در تهران و اصفهان کار قرار گرفته‌اند که داده‌ها را از سرور‌های pooler و همه سرور‌های IPC، POS، VSAT و سایر اتصالات پایانه‌های سراسر کشور دریافت می‌کنند. سیستم نظارت مرکزی سامانه توسط شرکت «ایده نگار انرژی سبز» ایجاد شده که ترکیبی از برنامه‌های کاربردی تحت وب در PHP و جاوا است.

هر کسی با دسترسی ممتاز به این سیستم‌های مدیریتی می‌تواند از راه دور عملیات کنترل، ارتقا، یا دستکاری پایانه‌های IPC یا حتی POS هسته‌ای در سراسر کشور را انجام دهد. این دقیقاً همان چیزی است که در جریان حمله سایبری، فروپاشید. با این حال، این روند کمی پیچیده است.

علاوه بر این سیستم عامل POS معمولاً به صورت رمزنگاری شده است و مهاجمان برای دسترسی به زیرساخت، ورود به سیستم عامل و پیکربندی‌های دستگاه‌های POS، ملزم به دریافت گواهینامه‌های دیجیتال و کلید‌های رمزنگاری شده‌اند. ویژگی‌های امنیتی ذکر شده در اینجا منحصر به سامانه سوخت رسانی هوشمند ایران نیست و بسیار مرسوم است.

سیستم‌های مدیریت مرکزی داده باید با چندین سیستم خارجی ارتباط برقرار کنند. به عنوان مثال، جزئیات ثبت نام هر وسیله نقلیه، اطلاعات مربوط به مشتریان، و اطلاعات مربوط به گزارش‌های کارت هوشمند دزدیده و مفقود شده است. شرکت ملی نفت ایران، سازمان بالادستی این زنجیره است و به طور طبیعی این جزئیات را از طریق API‌های اختصاصی به سامانه ارائه می‌کند

نحوه احتمالی نفوذ به سامانه هوشمند سوخت

هر یک از ارتباطات VSAT، پایانه‌های VSAT، پایانه‌های LTE، سرور‌های مرکز داده‌های VPN، دسترسی فیزیکی به سرور‌های IPC توسط هکرها، دسترسی فیزیکی به شبکه جایگاه، حمله یک نیروی داخلی یا شبکه دولت می‌تواند نحوه نفوذ جریان خرابکار به سامانه سوخت کشور باشد.

چه کسی مقصر هک پمپ بنزین است؟

بلافاصله پس از انتشار اخبار مربوط به این حادثه، سعی کردیم نحوه احتمالی و مبادی نفوذ را که مهاجمان می‌توانستند از آن استفاده کنند، شناسایی کنیم. برای درک آن، باید می‌فهمیدیم، «چه کسی» و «چه چیزی» سامانه هوشمند سوخت را اداره می‌کند. اولین مسئول، شرکت پخش فرآورده‌های نفتی است. این شرکت گهگاه فراخوان‌هایی را برای برون‌سپاری پروژه‌های تعمیر و نگهداری منتشر می‌کند.

در وبسایت «پارس نماد دیتا» که یکی از وبسایت‌های انتشار فراخوان‌های شرکت پالایش و پخش فراورده‌های نفتی است یک فراخوان جالب به چشم می‌خورد که به هر دو سوال «چه کسی» و «چه چیزی» به طور همزمان پاسخ می‌دهد.

می‌دانیم که محصولات Ingenico در پمپ بنزین‌ها استفاده می‌شود. در یکی از این فراخوان‌ها شرکت ملی پخش فرآورده‌های نقتی ایران، مناقصه تعمیرات و پشتیبانی تجهیزات ترمینال‌های Ingenico i۹۴۰۰ را چند روز بعد از حمله سایبری به سامانه هوشمند سوخت منتشر کرده بود.

در میان فراخوان‌ها و مناقصه‌های مرتبط، چندین مناقصه شرکت زیرمجموعه بانک ملی که خدمات VSAT را به سامانه هوشمند سوخت ارائه میکند را هم پیدا کردیم. با همین متد می‌شود همه تامین کننده‌های پروژه توزیع سوخت و شرکت‌های درگیر یا پشتیبانی فنی و نگهداری پروژه را پیدا کرد.

احتمال نشت عمدی اطلاعات سامانه سوخت

با توجه به شدت این اشتباه، ما نمی‌توانیم احتمال نشت عمدی اطلاعات حمله سایبری توسط هکر‌ها یا یک شخص ثالث ناشناس را که منشا خود را ایران و فرانسه اعلام کرده، رد کنیم. (داده‌هایی که ما پیدا کردیم از این دو مکان بارگذاری شده بودند)

بی توجهی سازمان فناوری اطلاعات به هشدار کارشناسان درباره هک سامانه سوخت

نویسنده می‌گوید زمانی که مبادی نشت اطلاعاتی را کشف کرده‌اند با سازمان فناوری اطلاعات ایران که به زعم آن‌ها مسئول شناسایی و رسیدگی به ابعاد حمله سایبری بوده تماس گرفته‌اند. شرکت ابتدا پاسخی به آن‌ها نداده، اما زمانی که آن‌ها درباره جزییات اطلاعاتشان حرف زده‌اند، صحبت‌های آن‌ها را شنیده، اما بعد از قطع مجدد ارتباط، مبادی نشت اطلاعات همچنان به قوت خود باقی بوده است. نویسنده می‌گوید احتمالا در گفتگویی که با سازمان فناوری اطلاعات ایران (افتا) داشتیم، آن‌ها را به خوبی درباره نحوه دستیابی مان به این اطلاعات روشن نکرده‌ایم، چون بعد‌ها متوجه شدیم این نشت همچنان ادامه دارد.