هفته گذشته گروهک سایبری حنظله اعلام کرد که به زیرساخت آبی کالیفرنیا حمله کرده و خبرگزاری‌های داخلی این عملیات را در راستای انتقام‌جویی از حمله آمریکا به زیرساخت‌های آبی ایران می‌داند؛ گرچه حمله‌ای به «زیرساختی» صورت نگرفته و صرفا اطلاعات حساب کاربران افشا شده است.

دقیقا چه چیزی هک شده؟

وقتی اسم «هک تأسیسات آب» می‌آید، ذهن خیلی زود به سمت سناریوهای ترسناک می‌رود: قطع آب شهرها، دستکاری تصفیه‌خانه، تغییر مواد شیمیایی یا از کار افتادن سامانه‌های صنعتی. اما در حمله اخیر گروه حنظله درباره سرویس آبی کالیفرنیا (Cal Water) مطرح کرده، شواهد فعلی چنین تصویری را تایید نمی‌کنند. ماجرا مهم است، اما نه دقیقاً به همان شکلی که برخی رسانه‌های جمهوری اسلامی روایت کرده‌اند.

گروه حنظله مدعی شده به سرویس آبی کالیفرنیا، یکی از شرکت‌های بزرگ آب‌رسانی خصوصی در آمریکا، نفوذ کرده و برای اثبات ادعای خود حدود پنج گیگابایت داده منتشر کرده است. اصل این ادعا با گزارش‌های دیتاماینر هم‌خوان است: یک بسته داده منتشر شده و بررسی‌های اولیه نشان می‌دهد بخشی از آن با دسترسی به سامانه‌های داخلی این سرویس سازگار است.

اما نکته اصلی اینجاست: تا این مرحله، شواهد مستقلی از اختلال در تصفیه، توزیع یا کنترل صنعتی آب منتشر نشده است. یعنی فعلاً نمی‌توان گفت «آب‌رسانی کالیفرنیا هک و مختل شد». روایت دقیق‌تر این است که حنظله مدعی نفوذ شده، داده‌هایی منتشر کرده و این داده‌ها احتمالاً شامل اطلاعات مشتریان، سوابق پرداخت و رمزعبورهای مربوط به یک سامانه داخلی RTKBase/NTRIP بوده است.

سامانه RTKBase/NTRIP چیست؟

سامانه RTKBase یک سیستم سبُک برای اصلاح دقیق موقعیت‌یابی GPS است. این نوع سامانه‌ها به تیم‌های میدانی کمک می‌کنند موقعیت دقیق تجهیزات، مسیرها یا نقاط زیرساختی را در عملیات نقشه‌برداری و نگهداری ثبت کنند. NTRIP هم در اینجا به زیرساختی مربوط است که این اصلاحات موقعیت‌یابی را به کاربران میدانی می‌رساند.

پس وقتی می‌گوییم حنظله احتمالاً به RTKBase/NTRIP دسترسی داشته، منظورمان الزاماً «کنترل تصفیه‌خانه» یا «دستکاری پمپ‌های آب» نیست. این یک سامانه پشتیبان عملیاتی است؛ مهم، حساس و قابل سوءاستفاده، اما نه معادل مستقیم سامانه کنترل صنعتی آب.

بر اساس ارزیابی دیتاماینر، داده‌های منتشرشده احتمالاً دو دسته اصلی داشته‌اند. دسته اول اطلاعات مشتریان از سامانه پرداخت است؛ از جمله نام، شماره تلفن، شماره حساب، آدرس محل سرویس آب و سابقه پرداخت. این داده‌ها از نظر امنیتی کم‌اهمیت نیستند، چون می‌توانند برای فیشینگ، جعل هویت، تهدید مشتریان یا حملات هدفمند بعدی استفاده شوند. البته باید دقت کرد که service address همیشه الزاماً محل سکونت واقعی فرد نیست؛ گاهی فقط آدرس محل دریافت سرویس است.

دسته دوم، اطلاعات مربوط به RTKBase/NTRIP و رمزعبورهای مدیریتی آن است. این بخش از نظر عملیاتی حساس‌تر است، چون نشان می‌دهد مهاجم ممکن است به بخشی از زیرساخت پشتیبان عملیات میدانی شرکت دسترسی داشته باشد. دیتاماینر همچنین گفته این زیرساخت دست‌کم هفت ناحیه عملیاتی این سرویس در کالیفرنیا را پوشش می‌داده: بیکرزفیلد، چیکو، سالیناس، استاکتون، ویزالیا، سن‌متیو و یک ناحیه مهندسی.

هک زیرساخت یا عملیات روانی؟

هنوز یک خط قرمز مهم وجود دارد: هیچ شواهد مستقلی از اختلال OT/ICS منتشر نشده است.

سیستم OT/ICS به سامانه‌هایی گفته می‌شود که مستقیماً با عملیات صنعتی، کنترل فرایندها، تجهیزات فیزیکی، پمپ‌ها، حسگرها یا سامانه‌های تصفیه و توزیع درگیرند. اگر مهاجمی به چنین سامانه‌هایی دسترسی مؤثر پیدا کند، مسئله می‌تواند وارد سطحی کاملاً متفاوت شود. اما در این پرونده، طبق گزارش‌های موجود، شواهد فعلی بیشتر به سمت دسترسی داده‌ای و سامانه‌های پشتیبان می‌رود، نه کنترل مستقیم فرایند آب‌رسانی.

زنجیره محتمل حادثه را می‌توان این‌طور توضیح داد: ابتدا دسترسی به یک سامانه جانبی مرتبط با عملیات میدانی یا زیرساخت GNSS/RTK، بعد افشای رمزعبورها، سپس احتمال حرکت جانبی یا دسترسی جداگانه به سامانه پرداخت، و در نهایت انتشار داده‌ها برای اثبات نفوذ و ایجاد اثر رسانه‌ای.

این الگو برای حنظله هم آشناست. این گروه معمولاً فقط دنبال سرقت داده خام نیست؛ تلاش می‌کند داده منتشرشده را به یک پیام سیاسی تبدیل کند. یعنی نفوذ سایبری، افشای اطلاعات و عملیات روانی در کنار هم قرار می‌گیرند تا تصویری از آسیب‌پذیری زیرساخت‌های طرف مقابل ساخته شود.

در همین چارچوب، حنظله مدعی شده این حمله در واکنش به اقدامات آمریکا علیه زیرساخت‌های آب در ایران انجام شده است. رسانه‌های نزدیک به جمهوری اسلامی نیز همین فریم را بازنشر کرده‌اند: حمله به زیرساخت آب آمریکا به عنوان «انتقام». اما این بخش، فعلاً یک ادعای تبلیغاتی actor است، نه یک واقعیت مستقل و تأییدشده. حتی اگر اصل breach واقعی باشد، انگیزه اعلام‌شده از سوی مهاجم را نباید بدون فاصله‌گذاری به‌عنوان فکت گزارش کرد.

مشکل تیترهایی مثل «هک تأسیسات آب کالیفرنیا» دقیقاً همین است. چنین عبارتی می‌تواند برای مخاطب این تصور را ایجاد کند که تصفیه‌خانه‌ها مختل شده‌اند، آب شهرها قطع شده یا سامانه‌های کنترل صنعتی از کار افتاده‌اند. در حالی که شواهد فعلی چنین چیزی را نشان نمی‌دهد. آنچه دیده می‌شود، افشای داده، دسترسی احتمالی به پرداخت و RTKBase/NTRIP و بهره‌برداری تبلیغاتی از یک هدف حساس است.

چه چیزی اهمیت دارد؟

با این حال، کوچک‌کردن حادثه هم اشتباه است. نبود شواهد از اختلال صنعتی به معنی بی‌اهمیت بودن پرونده نیست. زیرساخت حیاتی فقط پمپ و تصفیه‌خانه نیست. داده‌های مشتریان، رمزعبورهای داخلی، سامانه‌های موقعیت‌یابی میدانی، ابزارهای مالی و اداری، و حتی نقشه نواحی عملیاتی می‌توانند در یک حمله چندمرحله‌ای اهمیت پیدا کنند. مهاجم ممکن است از همین داده‌ها برای شناسایی ساختار سازمان، فشار روانی، فیشینگ کارکنان، حرکت جانبی یا عملیات بعدی استفاده کند.

در واقع، اهمیت این پرونده بیشتر در ترکیب سه لایه است: دسترسی داده‌ای، تماس با یک زیرساخت حیاتی، و تبدیل آن به پیام سیاسی. حنظله تلاش کرده از یک breach احتمالی، تصویری بزرگ‌تر بسازد: اینکه زیرساخت‌های آمریکا هم آسیب‌پذیرند و جمهوری اسلامی یا گروه‌های همسو با آن می‌توانند در پاسخ به فشار نظامی، هزینه را به فضای سایبری منتقل کنند.

پس روایت دقیق این است: حنظله مدعی نفوذ به سرویس آبی کالیفرنیا شده و حدود پنج گیگابایت داده منتشر کرده است. تحلیل‌های اولیه نشان می‌دهد این داده‌ها احتمالاً شامل اطلاعات مشتریان، داده‌های پرداخت و رمزعبورهای مربوط به RTKBase/NTRIP بوده است. اما تا این مرحله، هیچ شواهد مستقلی از اختلال در تصفیه، توزیع یا کنترل صنعتی آب منتشر نشده است.

این حادثه را باید جدی گرفت، اما نه با تیترهای اغراق‌آمیز. اهمیت آن در این نیست که ثابت شده آب‌رسانی کالیفرنیا مختل شده؛ چون چنین چیزی فعلاً ثابت نشده است. اهمیت آن در این است که یک بازیگر سایبری همسو با جمهوری اسلامی، از دسترسی داده‌ای به یک شرکت آب‌رسانی برای ساختن روایت تهدید علیه زیرساخت حیاتی استفاده کرده است.

به زبان ساده: این پرونده فعلاً بیشتر «هک آب» نیست؛ «هک داده‌های مرتبط با یک شرکت آب‌رسانی» است. تفاوت این دو، برای فهم دقیق خطر، بسیار مهم است.