واحد نخبه مایکروسافت که دائماً برای خنثی کردن هکرها تلاش می‌کند

نشانه‌های نفوذ هکرها به یک شرکت مخابراتی بزرگ در ایالات متحده تقریباً نامحسوس بودند؛ مانند موج‌های کوچک در جریان یک رودخانه. به گفته شخصی آگاه از این حمله، این موج‌ها برای شرکت مانند ترافیک عادی به نظر می‌رسیدند. اما برای تحلیلگران تهدید در مرکز اطلاعات تهدید مایکروسافت (MSTIC)، آن‌ها به حضور نفوذگران اشاره داشتند.

در آن زمان، راهی برای ارزیابی جدی بودن نفوذ وجود نداشت. ماه‌ها کار تحقیقاتی در پیش بود. اما به گفته این شخص، که می‌گوید حتی امواج کوچک می‌توانند پیش‌درآمد ویرانی‌های پایین‌دستی باشند، آسیب‌های احتمالی مشخص بود.

پاییز گذشته، جهان مطلع شد که گروهی مرتبط با دولت چین – که متعاقباً Salt Typhoon نام گرفت – به شرکت‌های AT&T، Verizon و هفت شرکت مخابراتی دیگر در ایالات متحده نفوذ کرده‌اند. هکرها اطلاعات شخصی میلیون‌ها آمریکایی را جمع‌آوری کرده و تلفن‌های دونالد ترامپ، کامالا هریس و جی‌دی ونس را هدف قرار داده بودند. این یکی از جسورانه‌ترین حملات سایبری در سال‌های اخیر بود.

افرادی که نقش اصلی را در شناسایی هکرها ایفا کردند، برای MSTIC، مرکز اطلاعات تهدید مایکروسافت کار می‌کنند؛ واحدی که عمدتاً از پرسنل سابق دولتی، اطلاعاتی و نظامی تشکیل شده است. طی دهه گذشته، مایکروسافت MSTIC را به یکی از سنگ‌بناهای دفاع سایبری آمریکا تبدیل کرده است و با همکاری نزدیک با دفتر تحقیقات فدرال (FBI)، آژانس امنیت زیرساخت و سایبری (CISA) و سایر ادارات، به شناسایی هکرهای تحت حمایت دولت که هدفشان جاسوسی یا اخلال در شبکه‌های دولتی و شرکتی است، کمک می‌کند.

مایکروسافت از تم‌های آب و هوایی برای شناسایی هکرها استفاده می‌کند.

Jonah Rosenberg/Bloomberg

این ساختار تا حدودی موقت، که توسط افرادی با منافع گاه متفاوت شکل گرفته، به شدت به روابط شخصی متکی است که نیاز به نگهداری دائمی دارند. مشخص نیست که این همکاری تا چه حدی تحت دولت ترامپ ادامه خواهد یافت؛ دولتی که قصد دارد آژانس‌های مرکزی دفاع سایبری آمریکا را دگرگون کند و در اوایل آوریل ژنرال تیموتی هاگ، رئیس آژانس امنیت ملی (NSA) و فرماندهی سایبری ایالات متحده را برکنار کرد.

MSTIC قدرت خود را از دیدگاه گسترده مایکروسافت در فضای سایبری می‌گیرد. سیستم عامل ویندوز بر روی بیش از یک میلیارد کامپیوتر شخصی در سراسر جهان اجرا می‌شود. بخش رایانش ابری این شرکت پس از آمازون در رتبه دوم قرار دارد و به ۹۵ درصد از شرکت‌های Fortune 500 و دولت‌های متعدد خدمات می‌دهد. میلیاردها پیام ایمیل و تماس کنفرانسی هر روز از طریق سرورهای مایکروسافت جریان می‌یابند. تمام این داده‌هایی که از طریق خطوط ارتباطی آن سرازیر می‌شوند، به این معنی است که مایکروسافت در موقعیت ایده‌آلی برای گیر انداختن هکرها در حین عمل قرار دارد.

آن نویبرگر، مشاور امنیت ملی برای سایبری و فناوری‌های نوظهور در دولت بایدن می‌گوید: «اگر محصولات یک شرکت در میلیون‌ها سیستم مستقر شده باشند، احتمال اینکه هم بدانند چه چیزی عادی است و هم چیزی غیرعادی را تشخیص دهند، بیشتر است. این همان چیزی است که به شرکت‌هایی مانند مایکروسافت، اغلب، توانایی تشخیص اولیه را می‌دهد.»

پرتره‌ای از ساتیا نادلا، مدیرعامل مایکروسافت — ساتیا نادلا

Stephen Brashear/Getty Image

عملیات سایبری مایکروسافت کاملاً بی‌نقص نیست. تلاشی برای همکاری با وزارت دفاع و خنثی کردن عملیات روسیه که هدفش اخلال در انتخابات ریاست جمهوری ۲۰۲۰ بود، با شکست مواجه شد. و دفاع سایبری خود شرکت نیز بارها شکست خورده است، با هکرهایی که راه خود را به شبکه‌های خود شرکت باز کرده‌اند – داده‌های مشتریان را در معرض خطر قرار داده و حتی به دفتر مدیران ارشد نفوذ کرده‌اند. در گزارشی تند و انتقادی در سال گذشته، دولت ایالات متحده ناتوانی مایکروسافت در دفع مهاجمان را به شدت مورد نکوهش قرار داد و از این شرکت خواست تا اصلاحات فوری را اجرا کند.

در پاسخ، ساتیا نادلا، مدیر عامل، عملیات سایبری مایکروسافت را متحول کرد و به مهندسان دستور داد تا امنیت را در اولویت قرار دهند. این شرکت از ابتدای سال گذشته تعداد کارکنان پیگیری و مبارزه با هکرهای دولتی را سه برابر کرده و نیروی کار توزیع‌شده‌تری در سطح جهانی برای شکار و اولویت‌بندی نفوذها استخدام کرده است. هنوز برای تعیین اینکه آیا این تغییرات برای محافظت کافی از مایکروسافت و مشتریانش – یا همگام شدن با گروه‌های هکری که از قبل از هوش مصنوعی به عنوان یک توان افزاینده استفاده می‌کنند – کافی خواهد بود، زود است.

مایکروسافت تنها می‌تواند تا حدی برای خنثی کردن هکرها تلاش کند. هدف اصلی آن ایجاد سرعت‌گیرهایی است که باعث اخلال یا حداقل کند کردن سرعت مهاجمان شود و هکرها را قبل از سرقت اطلاعات حیاتی، خرابکاری در یک تأسیسات آب یا اخلال در یک انتخابات دستگیر کند. بخش‌های کلیدی این استراتژی شامل افشای عمومی تکنیک‌های نفوذگران، گرفتن دستورات قضایی برای ربودن ابزارهای هک مهاجمان و سپس غیرفعال کردن آن‌ها است.

جیسون نورتون، رئیس MSTIC می‌گوید: «صادقانه بگویم، شما هرگز نمی‌توانید جلوی این افراد را کاملاً بگیرید. ما می‌دانیم که با واحدهای یا آژانس‌های دارای منابع مالی قوی به نمایندگی از دولت‌ها سر و کار داریم که هزینه ورود پایین، بازگشت سرمایه بالا و امکان انکار زیادی دارند. کار من این است که موفقیت را برای مهاجمان بسیار گران‌تر کنم.»

پرتره‌ای از جان لمبرت — جان لمبرت

Microsoft

MSTIC حاصل ایده جان لمبرت است که در سال ۱۹۹۷ به عنوان یک برنامه‌نویس جوان در شرکت بین‌المللی ماشین‌های تجاری (IBM) وارد حوزه امنیت شد. در آن زمان، کار بر روی امنیت کاملاً بی‌ارزش محسوب می‌شد، اما لمبرت عاشق این چالش بود. او در سال ۲۰۰۰ درست قبل از اینکه مجموعه‌ای از کرم‌های کامپیوتری ویندوز را آلوده کنند، به مایکروسافت پیوست و باعث شد بیل گیتس، مدیر عامل وقت، کار بر روی سیستم عامل را متوقف کند تا دفاعیات آن را تقویت کند. طولی نکشید که لمبرت دنیای مخفی هکرها و جاسوسی سایبری را کشف کرد. او شروع به استفاده از گزارش‌های داخلی در مورد چرایی خرابی برنامه‌های مایکروسافت برای یافتن نقص‌های نرم‌افزاری و افرادی که به دنبال سوءاستفاده از آن‌ها بودند، کرد.

تا سال ۲۰۱۳، نظارت بر تیم امنیت شبکه مایکروسافت به او سپرده شد. جلوگیری از ورود هکرها پیچیده‌تر می‌شد زیرا مشتریان شرکتی برنامه‌های اصلی خود را به مراکز داده مایکروسافت منتقل می‌کردند. به عنوان یک ارائه‌دهنده خدمات ابری، این شرکت به هدف بزرگ‌تری تبدیل می‌شد، اما همچنین می‌توانست بیشتر آنچه در حال وقوع بود را ببیند. در ۱۳ نوامبر ۲۰۱۴، لمبرت تشکیل MSTIC را با ترکیب چندین تیم موجود اعلام کرد و شروع به استخدام افراد خارجی با تجربه امنیت ملی کرد.

هدف این بود که با درک دشمن، مایکروسافت و مشتریانش را ایمن کنند. لمبرت به یاد می‌آورد که در آن زمان فکر می‌کرد: «آن‌ها ما را، مشتریان ما را، فناوری ما را مطالعه می‌کنند. ما هم باید آن‌ها را مطالعه کنیم.»

در سال ۲۰۱۵، لمبرت با نورتون، که در آن زمان افسر نیروی هوایی بود و سه سال تا بازنشستگی فاصله داشت، تماس گرفت. او می‌خواست نورتون دفتری در پایتخت آمریکا تأسیس کند. نورتون که در اوزارکس به دنیا آمده بود، بلافاصله پس از دبیرستان به نیروی هوایی پیوست تا تحصیل کند. او قبل از گذراندن یک دهه در کمک به نیروی هوایی برای ردیابی هکرهای دولتی، به عنوان زبان‌شناس چینی کار کرد. نورتون علاقه‌مند به این پیشنهاد شد و پذیرفت. او به یاد می‌آورد: «مایکروسافت مکانی بود که می‌توانستید در میدان نبرد تأثیر بگذارید، در مقیاس عظیمی تفاوت ایجاد کنید.»

نورتون، که یک سال است MSTIC را اداره می‌کند، نماد نوعی شکارچی هکر است که مایکروسافت آن را ارزشمند می‌داند: متخصص در زبان‌ها و ژئوپلیتیک حداقل یکی از کشورهای کلیدی مرتبط با گروه‌های هکری، و همچنین دارای تجربه در دولت یا ارتش. امروزه دانشگاه‌های برتر رشته‌ها و گرایش‌هایی در امنیت سایبری دارند – حتی برنامه آمادگی پیشرفته کالج برای دانش‌آموزان دبیرستانی نیز دوره‌هایی در این زمینه اضافه می‌کند. اما زمانی که بسیاری از تحلیلگران مایکروسافت به این زمینه نوپا پیوستند، چنین آموزش رسمی وجود نداشت – و آن‌ها عمدتاً استراتژی و تاکتیک‌ها را در حین کار یاد گرفتند.

امروزه، عملیات شکار هکر مایکروسافت افرادی را با طیف گسترده‌ای از تجربیات و مدارک استخدام می‌کند. یکی از آن‌ها جودی ان‌جی است، یک متخصص برجسته در تهدیدات مبتنی بر آسیا که دکترین نظامی چین را برای درک بهتر تاکتیک‌های در سال ۲۰۱۵، لمبرت با نورتون، که در آن زمان افسر نیروی هوایی بود و سه سال تا بازنشستگی فاصله داشت، تماس گرفت. او می‌خواست نورتون دفتری در پایتخت آمریکا تأسیس کند. نورتون که در اوزارکس به دنیا آمده بود، بلافاصله پس از دبیرستان به نیروی هوایی پیوست تا تحصیل کند. او قبل از گذراندن یک دهه در کمک به نیروی هوایی برای ردیابی هکرهای دولتی، به عنوان زبان‌شناس چینی کار کرد. نورتون علاقه‌مند به این پیشنهاد شد و پذیرفت. او به یاد می‌آورد: «مایکروسافت مکانی بود که می‌توانستید در میدان نبرد تأثیر بگذارید، در مقیاس عظیمی تفاوت ایجاد کنید.»

امروزه، عملیات شکار هکر مایکروسافت افرادی را با طیف گسترده‌ای از تجربیات و مدارک استخدام می‌کند. یکی از آن‌ها جودی ان‌جی است، یک متخصص برجسته در تهدیدات مبتنی بر آسیا که دکترین نظامی چین را برای درک بهتر تاکتیک‌های هک مطالعه می‌کند. ان‌جی سابقه همکاری با فرماندهی سایبری ایالات متحده، آژانس اطلاعات دفاعی و وزارت خزانه‌داری را دارد.

مایکل ماتونیس، رئیس تجزیه و تحلیل تهدیدات مایکروسافت، می‌گوید این شرکت اکنون "حجم باورنکردنی" از داده‌ها را برای بررسی دارد و از یادگیری ماشینی و مدل‌های هوش مصنوعی برای فیلتر کردن سیگنال‌ها از نویز استفاده می‌کند. تیم‌ها در ساعات کاری مختلف در سراسر جهان کار می‌کنند تا در برابر هکرها هوشیار باشند.

مایکروسافت از روش‌های مختلفی برای شناسایی مهاجمان استفاده می‌کند. یکی از رایج‌ترین روش‌ها، بررسی ارتباطات بین دستگاه‌های مشتریان و آدرس‌های اینترنتی یا سرورهای مشکوک در فضای وب است. این اغلب به کشف بدافزاری (نرم‌افزار مخرب) منجر می‌شود که هکرها برای نفوذ استفاده می‌کنند.

هکرها معمولاً به سرعت بدافزار خود را تغییر می‌دهند تا شناسایی نشوند. اما رفتار کلی آن‌ها معمولاً ثابت می‌ماند – به عنوان مثال، در زمان‌های مشابهی از روز به شبکه‌ها نفوذ می‌کنند، از ابزارهای یکسانی برای جستجوی آسیب‌پذیری‌ها استفاده می‌کنند، یا تلاش می‌کنند از همان نوع اطلاعات حساس جاسوسی کنند. MSTIC از این ثبات برای شناسایی گروه‌های هکر استفاده می‌کند و به آن‌ها نام‌های داخلی برای پیگیری می‌دهد. از آنجایی که مایکروسافت داده‌های کاربران را جمع‌آوری می‌کند، معمولاً می‌تواند ببیند که یک گروه هکر چه زمانی یک بدافزار جدید را به کار می‌گیرد و چگونه رفتار خود را تغییر می‌دهد، به آن امکان می‌دهد سریع‌تر با تهدیدات جدید سازگار شود.

تام برت، معاون مدیر و رئیس اداره سایبری در اف‌بی‌آی می‌گوید که مایکروسافت اطلاعات دقیقی در مورد نحوه نفوذ هکرها ارائه می‌دهد و این به اف‌بی‌آی کمک می‌کند تا متوجه شود چه کسی در حال انجام حمله است. این اطلاعات می‌تواند برای شروع تحقیقات و پیگرد قانونی استفاده شود.

رایان انگلیش، که به تیم نورتون در سال ۲۰۱۸ پیوست و اکنون معاون رئیس MSTIC است، می‌گوید که مایکروسافت گروه‌های هکر را به نام کشورهای حامی آن‌ها نام‌گذاری می‌کند، اما این نام‌ها اغلب بسیار طولانی و بی‌مورد پیچیده هستند. او و همکارانش شروع به نام‌گذاری گروه‌ها بر اساس یک سیستم آب و هوایی غیررسمی کردند: طوفان‌ها (Typhoons) برای گروه‌های چینی، بوران‌ها (Blizzards) برای گروه‌های روسی و غیره.

این نام‌گذاری به اف‌بی‌آی و آژانس امنیت زیرساخت و سایبری (CISA) راهی آسان برای ارتباط در مورد گروه‌های هکر ارائه داد. این نام‌ها همچنین به شرکت‌هایی مانند Lumen Technologies، یک شرکت مخابراتی دیگر، کمک کردند تا متوجه شوند که قربانی همان گروه Salt Typhoon شده‌اند. رایان انگلیش می‌گوید: «وقتی آن را Volt Typhoon می‌نامیدید، مردم می‌توانستند به خاطر بسپارند. این موضوع در مورد گروه هکر چینی بود و در مورد فعالیت‌های زیرساختی حیاتی.»

پرتره‌ای از رایان انگلیش — رایان انگلیش

Microsoft

نام‌گذاری بر اساس سیستم آب و هوایی همچنین برای ایجاد یک گزارش اطلاعات تهدید مایکروسافت استفاده می‌شود که به صورت هفتگی منتشر می‌شود و جزئیات فعالیت‌های هکرها را ارائه می‌دهد. با این حال، همکاری بین MSTIC و دولت ایالات متحده همیشه بدون تنش نبوده است. در سال ۲۰۲۰، عملیات تلاش مشترک مایکروسافت و فرماندهی سایبری ایالات متحده برای غیرفعال کردن شبکه‌های رباتی (botnets) که برای اخلال در انتخابات ایالات متحده استفاده می‌شدند، به نتیجه نرسید.

مهم‌تر اینکه، مایکروسافت خود بارها قربانی هکرها شده است. در یک نمونه برجسته در سال ۲۰۲۰، هکرهایی که گفته می‌شود برای دولت روسیه کار می‌کردند، از طریق نرم‌افزار SolarWinds به شبکه مایکروسافت نفوذ کردند. در سال ۲۰۲۳، یک گروه هکر چینی، که مایکروسافت آن را Storm-0558 نامید، به حساب‌های ایمیل برخی از مقامات ارشد دولت ایالات متحده و دیگر سازمان‌ها دسترسی پیدا کرد. این حملات باعث شدند مایکروسافت با انتقادات شدیدی از سوی مقامات آمریکایی و مشتریان خود مواجه شود.

در پاسخ به این انتقادات، مایکروسافت قول داد که امنیت را در اولویت قرار دهد و سرمایه‌گذاری‌های قابل توجهی در این زمینه انجام دهد. این شرکت تعداد کارکنان MSTIC را افزایش داده و تمرکز خود را بر شناسایی و مقابله با هکرهای تحت حمایت دولت تقویت کرده است. مایکروسافت همچنین در حال استفاده از هوش مصنوعی برای بهبود قابلیت‌های تشخیص تهدید خود است.

با وجود این تلاش‌ها، چالش‌ها همچنان باقی هستند. هکرها دائماً در حال توسعه روش‌های جدید برای نفوذ هستند و از ابزارهای پیشرفته‌تری استفاده می‌کنند. استفاده فزاینده از هوش مصنوعی توسط هکرها نیز نگرانی جدیدی را ایجاد کرده است.

علاوه بر این، چشم‌انداز سیاسی در ایالات متحده نیز می‌تواند بر همکاری مایکروسافت و دولت تأثیر بگذارد. دولت ترامپ قصد دارد آژانس‌های امنیت سایبری را بازسازی کند و روابط آن با شرکت‌های فناوری ممکن است تغییر کند. نورتون می‌گوید که MSTIC برای حفظ روابط قوی با تمام آژانس‌های دولتی، بدون توجه به اینکه چه کسی در قدرت است، تلاش می‌کند.

در نهایت، موفقیت MSTIC به توانایی آن در حفظ برتری تکنولوژیکی و اطلاعاتی نسبت به هکرها بستگی دارد. این واحد باید دائماً روش‌های خود را تطبیق داده و بهبود بخشد تا بتواند با تهدیدات فزاینده پیچیده مقابله کند. همانطور که نورتون می‌گوید، هدف نهایی این است که فعالیت‌های هکرها را آنقدر پرهزینه و دشوار کنیم که برای آن‌ها دیگر ارزش نداشته باشد.

https://www.bloomberg.com/news/features/2025-05-09/microsoft-s-hacker-hunters-inside-the-secretive-mstic-unit?srnd=homepage-middle-east