مسابقات هک در چین به جاه‌طلبی‌های سایبری این کشور دامن می‌زند

داستین چایلدز (Dustin Childs) هنوز می‌تواند بهترین نمونه از یک هک موفق را که در یک تورنمنت بین‌المللی دیده، توصیف کند. این اتفاق تقریباً یک دهه پیش رخ داد.

شرکت‌کنندگان باید راهی برای نفوذ به یک ایستگاه کاری ویندوز پیدا می‌کردند که با فایروال‌ها و نرم‌افزارهای به‌روز برای افزایش امنیت تقویت شده بود. او گفت که یکی از اعضای تیم از چین یک آدرس IP را در مرورگر ویندوز تایپ کرد، "و دست‌هایشان را از روی کیبورد برداشتند و کار تمام شد."

این آدرس یک کد کامپیوتری را فعال کرد که دسترسی تیم چینی را از "مهمان" به "میزبان" تغییر داد و به آنها حقوق مدیریتی و توانایی نصب هر کد یا نرم‌افزار - یا بدافزار - مورد نظرشان را داد.

این اتفاق در سال ۲۰۱۷ در مسابقات Pwn2Own رخ داد، تورنمنت هکی که شرکت‌کنندگانی از سراسر جهان - عمدتاً تحلیلگران و پژوهشگران شرکت‌های امنیت سایبری - را برای یافتن راه‌های جدید بهره‌برداری از نرم‌افزارها و دستگاه‌های موبایل محبوب جذب می‌کرد. در آن زمان، تیم‌های چینی سال‌ها بود که در این مسابقات شرکت می‌کردند و برتری داشتند. چایلدز، رئیس بخش آگاهی از تهدید در شرکت امنیت سایبری Trend Micro Inc.، گفت که آنها از دانشگاه‌ها، شرکت‌ها و جاهای دیگر می‌آمدند.

چایلدز، که از سال ۲۰۰۹ با این تورنمنت همکاری داشته و بخشی از ابتکار عمل Zero Day Initiative است که آن را اجرا می‌کند، گفت که عنوان برتر این تورنمنت "استاد Pwn" نامیده می‌شد.

او گفت: "ما این عنوان را در سال ۲۰۱۶ پیاده‌سازی کردیم. شرکت‌های چینی این عنوان را در هر مسابقه تا زمانی که از شرکت در آن دست کشیدند، بردند."

این شهرت بین‌المللی توجه منتقدان را در داخل کشور نیز جلب کرد.

در سال ۲۰۱۷، ژو هونگ‌یی (Zhou Hongyi)، میلیاردر بنیان‌گذار شرکت امنیت سایبری چینی Qihoo 360، علناً از مشارکت چین در هکاتون‌های خارج از کشور انتقاد کرد و استدلال نمود که آسیب‌پذیری‌های کشف شده توسط متخصصان چینی باید در داخل مرزهای آن کشور باقی بمانند. انتقاد ژو، که عضو هیئت مشورتی سیاسی دولت حزب کمونیست است، نادیده گرفته نشد.

سال بعد، هیچ تیم چینی در Pwn2Own شرکت نکرد. در عوض، چین تورنمنت هک خود را با نام جام تیانفو (Tianfu Cup) آغاز کرد. طبق گزارش‌های رسانه‌ای، شرکت‌کنندگان تشویق شدند که سیستم‌های عامل اپل، تلفن‌های گوگل و شبکه‌های مایکروسافت را هک کنند.

اما یک تفاوت وجود داشت. در Pwn2Own و سایر مسابقات هک، یافته‌ها به شرکت‌هایی که نرم‌افزار یا دستگاه‌ها را می‌سازند گزارش می‌شوند تا قبل از اینکه هکرها از آنها سوءاستفاده کنند، آنها را اصلاح کنند. اما طبق یک مقرره در سال ۲۰۱۸، شرکت‌کنندگان در مسابقات هک چینی ملزم هستند که ابتدا آنها را به دولت گزارش دهند. داکوتا کری (Dakota Cary)، مشاور متمرکز بر چین در شرکت امنیت سایبری آمریکایی SentinelOne، گفت: "در عمل، این به معنای انتقال آسیب‌پذیری‌ها به دولت برای استفاده در عملیات بود."

کارشناسان امنیت سایبری گفتند که یک نمونه در سال ۲۰۱۹ رخ داد، زمانی که گوگل گزارش داد که نقصی که در اولین دوره جام تیانفو کشف شد، شباهت‌های قابل توجهی با یک کمپین هک داشت که اقلیت‌های قومی اویغور تحت آزار و اذیت در چین را هدف قرار داده بود.

اخیراً، فایل‌هایی منتسب به یک شرکت امنیت سایبری چینی به نام آیسون (i-Soon) در سایت اشتراک‌گذاری کد GitHub منتشر شد؛ یک نشت داده ادعایی که نشان می‌داد مسابقات، دولت و شرکت‌های سایبری که به این آسیب‌پذیری‌ها دسترسی داشتند، همگی به هم مرتبط بودند. در میان سوابق چت، بحثی بین کارکنان آیسون در خصوص درخواست از وزارت امنیت عمومی چین، آژانس اصلی پلیس این کشور، برای آسیب‌پذیری‌های روز صفر (zero-day) کشف شده در جام تیانفو وجود داشت.

وینوما دسومبر برنسن (Winnona DeSombre Bernsen)، همکار در آزمایشگاه تحقیقات دیجیتال آتلانتیک کانسیل (Atlantic Council’s Digital Forensics Research Lab)، که این گزارش‌ها را مطالعه کرده است، گفت که اسناد نشان می‌دهند جام تیانفو "احتمالاً یک سیستم تغذیه‌کننده آسیب‌پذیری" برای این وزارتخانه بوده است.

در ماه مارس، چندین کارمند آیسون توسط مقامات آمریکایی متهم شدند به انجام حملات سایبری به دستور آژانس‌های اطلاعاتی چین. چین این اتهامات را رد می‌کند. آیسون پاسخی به اتهامات نداده و به درخواست‌ها برای اظهار نظر پاسخگو نبوده است.

در پاسخ به سوالی درباره افشای آسیب‌پذیری‌ها، سخنگوی وزارت امور خارجه چین گفت که مقررات گزارش‌دهی "هدفشان جلوگیری از نشت و افشای غیرمجاز اطلاعات آسیب‌پذیر است."

این سخنگو به خبرنگاران بلومبرگ در پکن گفت که این مقررات "صراحتاً از ارائه مستقیم اطلاعات آسیب‌پذیری امنیتی به ارائه‌دهندگان محصولات شبکه‌ای، از جمله سازمان‌ها و افراد خارجی، حمایت می‌کنند."

نمایندگان جام تیانفو برای اظهار نظر یافت نشدند.

تصویر پرتره داستین چایلدز — داستین چایلدز

داستین چایلدز

نقص در نرم‌افزارهای کامپیوتری و دستگاه‌های موبایل نسبتاً شایع است و باعث به‌روزرسانی‌های دوره‌ای نرم‌افزار و دستگاه‌ها برای رفع آنها می‌شود. برای هکرهای مجرم و جاسوسان سایبری، نقص‌هایی که قبلاً برای توسعه‌دهندگان شناخته شده نیستند - معروف به روز صفر - به خصوص ارزشمندند زیرا هیچ راه حلی فوراً در دسترس نیست و سیستم‌ها را در معرض خطر قرار می‌دهد.

برخی شرکت‌ها در یافتن آسیب‌پذیری‌های روز صفر و فروش آنها به آژانس‌های اطلاعاتی دولتی تخصص دارند.

Pwn2Own در سال ۲۰۰۷ برای بررسی نقص‌های امنیتی احتمالی در سیستم عامل Mac OS X اپل ایجاد شد. از آن زمان، برندگان برای یافتن آسیب‌پذیری‌ها جوایز نقدی دریافت کرده‌اند، که سپس با شرکت نرم‌افزاری یا سازنده دستگاه به اشتراک گذاشته می‌شوند تا آنها را رفع کنند.

همه شرکت‌کنندگان، از جمله تیم‌های چینی، به این قوانین پایبند بودند. اما داکوتا کری از SentinelOne گفت که اولین سالی که تیم‌های چینی در سال ۲۰۱۸ از Pwn2Own غایب بودند، پکن اعلام کرد که آسیب‌پذیری‌های کشف شده در مسابقات هک چینی باید به دولت گزارش شوند.

سه سال بعد، قوانین امنیت داده که به اجرا درآمدند، مقرر کردند که آسیب‌پذیری‌های کشف شده توسط پژوهشگران چینی - چه در مسابقات پیدا شده باشند چه در جریان کارشان - مستقیماً به وزارت صنعت و فناوری اطلاعات چین گزارش شوند. این قوانین همچنین محدود می‌کنند که شرکت‌ها اطلاعات آسیب‌پذیری را با کسی به اشتراک بگذارند قبل از اینکه دولت چین فرصت رسیدگی به آنها را داشته باشد - با مهلت گزارش‌دهی ۴۸ ساعته. برای هر کسی که این مقررات را رعایت نکند، جریمه‌های مالی سنگین و اقدامات قانونی احتمالی در نظر گرفته شده است.

کارشناسان گفتند که سیاست چین مبنی بر الزام پژوهشگران به افشای باگ‌های کامپیوتری که پیدا می‌کنند به دولت، آن را از ایالات متحده و سایر کشورهای غربی متمایز می‌کند.

چایلدز، با اشاره به آژانس امنیت ملی ایالات متحده (NSA)، گفت: "ان‌اس‌ای ما را مجبور نمی‌کند که چیزی از این دست را به آنها افشا کنیم."

گرگ آستین (Greg Austin)، که بیش از یک دهه با دولت‌ها در زمینه سیاست سایبری و خارجی چین مشورت کرده است، گفت در حالی که ان‌اس‌ای افشای آسیب‌پذیری‌ها را اجباری نمی‌کند، این سازمان که پیشرو در رمزنگاری و اطلاعات سیگنال در دولت ایالات متحده است، آسیب‌پذیری‌ها را نیز ذخیره می‌کند. در یکی از حوادث در سال ۲۰۱۶، گروهی به نام شادو بروکرز (Shadow Brokers) مجموعه‌ای از اکسپلویت‌های نرم‌افزاری محرمانه - اساساً ابزارهای هک - را منتشر کردند که ادعا می‌شد از ان‌اس‌ای دزدیده شده‌اند.

او گفت: "ما در مورد آژانس‌هایی مانند آژانس اطلاعات مرکزی (CIA) و آژانس امنیت ملی صحبت می‌کنیم که آسیب‌پذیری‌هایی را کشف کرده‌اند که نمی‌خواهند افشا کنند تا بتوانند به سیستم‌ها در کشورهای دیگر حمله کنند. چین نیز همینطور است."

کارشناسان گفتند که از زمانی که قوانین داده به اجرا درآمدند، دستاوردهای هک چین بیشتر پشت پرده‌ای از رازداری پنهان شده است.

چایلدز گفت: "پرده‌ای در جلو وجود دارد که ما نمی‌توانیم ببینیم روی چه چیزی و به سمت چه چیزی کار می‌کنند. ما فقط نتایج آن را می‌بینیم زمانی که در فضای عمومی منتشر می‌شود و عملاً علیه یک طرف واقعی نمایش داده می‌شود."

اوجنیو بنین‌کازا (Eugenio Benincasa)، پژوهشگر ارشد دفاع سایبری در مرکز مطالعات امنیتی در ETH زوریخ، که گزارش‌های آنلاین این مسابقات را برای یافتن سرنخ‌هایی در مورد چالش‌ها و نتایج احتمالی آنها از نزدیک رصد می‌کند، گفت که مسابقات هک چینی نیز در سال‌های اخیر تکامل یافته‌اند. علاوه بر به چالش کشیدن شرکت‌کنندگان برای نفوذ به یک تسلا یا نرم‌افزار امنیتی، اکنون این رویدادها شامل وسایل نقلیه الکتریکی چینی، تلفن‌ها و رایانه‌ها می‌شوند.

بنین‌کازا گفت که افزایش تمرکز بر محصولات داخلی چینی با هدف کلی‌تر سیاست پکن معروف به "حذف آمریکا" (Delete America) همسو است، که به دنبال خودکفایی در فناوری‌های پیشرفته و کاهش وابستگی به تأمین‌کنندگان خارجی است. این امر همچنین در زمانی رخ می‌دهد که ایالات متحده و چین به محدود کردن صادرات قطعات کلیدی فناوری به یکدیگر ادامه می‌دهند.

بنین‌کازا گفت: "این بر هدف بومی‌سازی کامل زیرساخت فناوری اطلاعات چین و جایگزینی قطعات اصلی ساخت خارجی، مانند نیمه‌رساناها، نرم‌افزار و پایگاه‌های داده، با قطعات ساخت چین تأکید می‌کند."

https://www.bloomberg.com/news/articles/2025-04-30/chinese-hacking-competitions-fuel-the-country-s-broad-cyber-ambitions?srnd=homepage-canada