هکرهای Z-PENTEST ALLIANCE می نویسند:

ما فرض می کنیم که این ویدئو نیروگاه حرارتی و برق ترکیبی در Busto Arsizio را نشان می دهد. دسترسی کامل به سیستم گرمایش دیگ، کنترل آبرسانی و دمای آن به دست آمده است. ما نتوانستیم در برابر تغییر نام دیگ ها به صلاحدید خود مقاومت کنیم 😉
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

آسیب پذیری مولفه Data Manager در میان افزار دستگاه های چند منظوره SENTRON 7KT PAC1260 زیمنس برای اندازه گیری پارامترهای شبکه الکتریکی مربوط به استفاده از اعتبارنامه های رمزگذاری شده است. بهره برداری از این آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا از طریق پروتکل SSH به دستگاه دسترسی غیرمجاز داشته باشد.

BDU: 2025-04081
CVE-2024-41794

اقدامات جبرانی:
- محدود کردن دسترسی از راه دور به یک دستگاه آسیب پذیر از طریق پروتکل SSH.
- تقسیم بندی شبکه برای محدود کردن دسترسی به یک دستگاه آسیب پذیر از زیرشبکه های دیگر.
- تلاش برای ردیابی برای دسترسی از راه دور به دستگاه از طریق پروتکل SSH با استفاده از اعتبارنامه های رمزگذاری شده سخت.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه ها:
https://cert-portal.siemens.com/productcert/pdf/ssa-187636.pdf
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

روند به سمت انرژی هسته ای برای مراکز داده ادامه دارد: گوگل راکتورهای کوچک مدولار (SMR) با ظرفیت کل 500 مگاوات را به استارتاپ Kairos Power سفارش داده است. در مقایسه با ایستگاه های مقیاس بزرگ، تغییرات مدولار طراحی ذاتا ایمن تر و ساخت سریع تر را ارائه می دهند. ارزش این معامله اعلام نشده است.

SMR ها حداکثر ظرفیت 300 مگاوات دارند و می توانند 7.2 میلیون کیلووات ساعت در روز تولید کنند . در مقام مقایسه، نیروگاه های هسته ای بزرگ ظرفیت خروجی بیش از 1000 مگاوات دارند و می توانند 24 میلیون کیلووات ساعت در روز تولید کنند.

استارت آپ هفت ساله Kairos وعده می دهد که اولین راکتور تجاری خود را تا سال 2030 و با راکتورهای اضافی تا سال 2035 راه اندازی کند. این شرکت رآکتورهای خود را می سازد که به جای آب توسط نمک فلوراید مذاب خنک می شوند. کایروس همچنین از سوخت هسته ای پیشرفته ای به نام TRISO استفاده می کند که از هسته های اورانیوم، کربن و اکسیژن در لایه های محافظ کربن و سرامیک تشکیل شده است. این شرکت ادعا می کند که هر یک از کپسول های توپ گلف می تواند به اندازه چهار تن زغال سنگ انرژی تولید کند.

در دسامبر، Kairos Power از کمیسیون تنظیم مقررات هسته ای ایالات متحده برای ساخت یک راکتور نمایشی 50 مگاواتی در تنسی مجوز دریافت کرد. این راکتور در سال 2027 به بهره برداری می رسد. خود وزارتخانه 300 میلیون دلار در این راکتور سرمایه گذاری خواهد کرد.

این اولین تاییدیه نوع جدیدی از راکتور ایالات متحده در نیم قرن گذشته است. در طول 20 سال گذشته، ایالات متحده تنها سه راکتور را راه اندازی کرده است.

اکنون رآکتورهای هسته ای، از جمله، با پول فناوری های بزرگ ساخته می شوند. علاوه بر گوگل، مایکروسافت ماه گذشته توافقی برای راه اندازی مجدد نیروگاه هسته ای Three Mile Island در سال 2028 امضا کرد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

در یک کمپین جدید با استفاده از بدافزار HiatusRAT ، مهاجمان به یک سرور متعلق به وزارت دفاع ایالات متحده حمله کردند.

به گفته آزمایشگاه لوتوس سیاه لومن ، این حمله ماهیت شناسایی داشت، زیرا حملات قبلی سازمان‌هایی را در آمریکای لاتین و اروپا هدف قرار داده بود و برای به خطر انداختن روترهای DrayTek Vigor VPN شرکت‌ها استفاده می‌شد.

علاوه بر این، کارشناسان خاطرنشان کردند که با هدف قرار گرفتن سیستم تدارکات نظامی ایالات متحده و همچنین برخی سازمان های مستقر در تایوان، تلاش های اطلاعاتی کمپین به طور ناگهانی بین اواسط ژوئن تا اوت تغییر کرد.

نمونه‌های HiatusRAT برای معماری‌های مختلف دوباره کامپایل شدند و روی VPS‌های جدید مستقر شدند، با یکی از این گره‌ها در عملیات انتقال داده با پیشنهاد قرارداد نظامی ایالات متحده و سرور پیشنهاد استفاده می‌شود.

مهاجمان احتمالاً اطلاعات در دسترس عموم در مورد نیازهای نظامی را هدف قرار می دهند یا صرفاً سعی می کنند اطلاعاتی در مورد سازمان های دخیل در پایگاه صنعتی دفاعی ایالات متحده برای قراردادهای نظامی فعلی و آینده پیدا کنند.

این کمپین به دنبال یک سری حملات قبلی است که در آن بیش از صد شرکت، عمدتاً در اروپا، آمریکای شمالی و جنوبی، به HiatusRAT آلوده شدند تا یک شبکه پراکسی مخفی ایجاد کنند.

این بدافزار در درجه اول برای نصب بارهای اضافی بر روی دستگاه های آلوده و تبدیل سیستم های در معرض خطر به پراکسی های SOCKS5 برای برقراری ارتباط با سرور فرمان و کنترل استفاده می شود.

به طور کلی، لومن تاکید کرد، این تغییر در اولویت‌های جمع‌آوری اطلاعات و هدف‌گیری در راستای منافع استراتژیک چین است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

به گفته VulnCheck، بیش از 3000 سرور با استفاده از یک اکسپلویت جدید برای وصله‌شده CVE-2023-32315 در معرض خطر حملات قرار دارند.

Openfire که توسط Ignite Realtime ارائه می شود، یک سرور همکاری بلادرنگ بین پلتفرمی است که به زبان جاوا نوشته شده و با استفاده از پروتکل XMPP و از طریق یک رابط وب مدیریت می شود.

یک آسیب‌پذیری با شدت بالا در Openfire Administration Console مربوط به پیمایش مسیر از طریق محیط پیکربندی کشف شده است.

این اجازه می دهد تا مهاجمان احراز هویت نشده به صفحات محدود شده در کنسول مدیریت دسترسی داشته باشند.

این مشکل به دلیل عدم محافظت Openfire در برابر کدگذاری URL غیر استاندارد خاص برای کاراکترهای UTF-16 است که توسط وب سرور پشتیبانی نمی شود - پشتیبانی بدون به روز رسانی حفاظت اضافه شد.

همه نسخه‌های Openfire تحت تأثیر قرار می‌گیرند، از نسخه 3.10.0 که در آوریل 2015 منتشر شد و با نسخه‌های 4.7.5 و 4.6.8 که در می 2023 برای رفع این آسیب‌پذیری منتشر شد ، پایان می‌یابد.

این آسیب پذیری بیش از دو ماه در حملات مخرب مورد سوء استفاده قرار گرفت.

مشاهده شد که مهاجمان حساب‌های کاربری کنسول مدیریت جدیدی را برای نصب افزونه‌ای با پوسته وب راه دور ایجاد می‌کنند که به آنها اجازه می‌دهد دستورات دلخواه را اجرا کنند و به هر داده‌ای روی سرور دسترسی داشته باشند.

اکسپلویت های موجود تا به امروز که CVE-2023-32315 را هدف قرار می دهند، همگی یک طرح را اجرا می کنند.

با این حال، VulnCheck یک نوع جدید از اکسپلویت را کشف کرد که نیازی به ایجاد حساب مدیر ندارد.

علاوه بر این، محققان بیش از 6300 سرور Openfire را در اینترنت شناسایی کردند که حدود 50 درصد از سرورها از نسخه‌های آسیب‌پذیر استفاده می‌کردند.

از آنجایی که نقص امنیتی به مهاجمی که احراز هویت نشده اجازه دسترسی به نقطه پایانی مدیریت پلاگین را می دهد، مهاجم می تواند افزونه را مستقیما دانلود کرده و سپس به پوسته وب دسترسی داشته باشد، همچنین بدون احراز هویت.

این رویکرد هیچ اثری از ورود به سیستم در گزارش های ممیزی امنیتی باقی نمی گذارد و از ثبت اعلان های مربوط به افزونه بارگذاری شده جلوگیری می کند.

در حالی که فعالیت های مخرب ممکن است در openfire.log قابل مشاهده باشد، مهاجم می تواند از پیمایش مسیر برای حذف گزارش از طریق پوسته وب استفاده کند و خود افزونه را به عنوان تنها نشانگر سازش باقی بگذارد.

همانطور که محققان خاطرنشان می کنند، این آسیب پذیری قبلاً مورد سوء استفاده قرار گرفته است، احتمالاً حتی توسط یک بات نت معروف، و با توجه به سیستم های آسیب پذیر فراوان موجود در شبکه، فرض می شود که بهره برداری در آینده ادامه خواهد داشت.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

تیم تحقیقاتی Cybernews حادثه‌ای را کشف کرده است که مربوط به کشف یک نمونه باز از Kibana است که حاوی اطلاعات حساس در مورد Belcan، کارکنان آن و زیرساخت‌های داخلی از جمله دسترسی فوق‌العاده مدیر است.

این اشتباه می توانست به یک حمله بزرگ به زنجیره تامین منجر شود. از این گذشته، Belcan یک پیمانکار دفاعی و هوافضا حیاتی است که راه حل هایی در زمینه طراحی، زنجیره تامین نرم افزار، ساخت و مهندسی دیجیتال ارائه می دهد.

این شرکت 950 میلیون دلاری یک شریک استراتژیک با بیش از 40 آژانس فدرال ایالات متحده است.

Kibana یک داشبورد تجسم برای جستجوی داده ها و سیستم تجزیه و تحلیل ElasticSearch است. این سیستم ها به کسب و کارها کمک می کنند تا حجم زیادی از داده ها را پردازش کنند.

این نشت با یک پنتست امکان پذیر شد که نتایج آن به همراه اطلاعات کاربری مدیر با استفاده از bcrypt هش شده بود.

داده‌ها نشان می‌دهند که منبع نشت احتمالاً ابزاری بوده که توسط Belcan برای اسکن و نظارت بر زیرساخت‌ها برای آسیب‌پذیری‌ها استفاده می‌شود.

این شامل: ایمیل، نام‌های کاربری، نقش‌های مدیر و گذرواژه‌ها، آدرس‌های شبکه داخلی، نام میزبان و آدرس‌های IP زیرساخت داخلی، آسیب‌پذیری‌ها و اقدامات انجام شده برای از بین بردن آنها بود.

روی هم رفته، اطلاعات موجود می‌تواند به مهاجمان اجازه دهد تا سیستم‌های آسیب‌پذیری را که اصلاح نشده‌اند شناسایی کرده و دسترسی به اعتبارنامه‌های ممتاز را برای آنها فراهم کند، و حمله احتمالی به سازمان را بسیار آسان‌تر و سریع‌تر کند.

نقض Belcan خطر قابل توجهی را برای طیف گسترده‌تری از سازمان‌های مشتریان، از جمله هوافضا، دفاع و نهادهای دولتی ایالات متحده، که به طور بالقوه توسط APT یا گروه‌های دارای انگیزه مالی هدف قرار می‌گیرند، ایجاد می‌کند.

علاوه بر این، محققان همچنین متوجه ارجاعاتی در داده های فاش شده شدند که نشان می داد برخی از آسیب پذیری ها کشف شده اند اما توسط شرکت به موقع اصلاح نشده اند.

سایبرنیوز آسیب پذیری های کشف شده را به بلکان اطلاع داد و پس از آن این شرکت اقداماتی را برای رفع مشکلات انجام داد که فاش نکرد.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

Symantec Threat Hunters یک روش حمله زنجیره تامین نرم افزار جدید را کشف کرده است که سازمان هایی را که عمدتاً در هنگ کنگ و سایر بخش های آسیا قرار دارند را هدف قرار می دهد.

مجموعه حملات سایبری و روش آن Carderbee نام گرفت که در آن مجرمان سایبری از نسخه تروجانیزه شده نرم افزار EsafeNet Cobra DocGuard Client قانونی برای تزریق درب پشتی محبوب PlugX به شبکه های قربانیان استفاده کردند.

علاوه بر این، مهاجمان از بدافزار امضا شده با گواهی قانونی مایکروسافت استفاده کردند.

این تاکتیک قبلاً توسط ESET مشاهده شده بود که هک یک شرکت قمار ناشناخته در هنگ کنگ را در سپتامبر 2022 گزارش کرد.

در آن زمان، گمان می رفت که گروه تهدید چینی ماوس خوش شانس پشت این حمله بوده است.

با این حال، آخرین کمپینی که سیمانتک قبلاً در آوریل 2023 کشف کرده است، به ما اجازه نمی دهد که با اطمینان آن را به بازیگر فوق الذکر مرتبط کنیم، زیرا استفاده از PlugX توسط گروه های مختلف هکر چینی، انتساب را دشوار می کند.

به گفته کارشناسان، حدود 100 کامپیوتر در آخرین حملات آلوده شده اند، اگرچه اپلیکیشن Cobra DocGuard Client روی حدود 2000 نقطه پایانی نصب شده است که نشان دهنده ماهیت هدفمند تاثیر مهاجمان و تمرکز بر اهداف با ارزش بالاتر است.

در یکی از این موارد، مهاجمان از این آسیب‌پذیری برای استقرار یک دانلودکننده با گواهی دیجیتالی از مایکروسافت استفاده کردند که سپس برای استخراج و نصب PlugX از یک سرور راه دور استفاده شد.

مشخص نیست که Carderbee در کجا قرار دارد، اهداف نهایی آن چیست، یا اینکه آیا ارتباطی با Lucky Mouse دارد یا خیر. بیشتر جزئیات درباره این گروه ناشناخته مانده است.

با این حال، تنها چیزی که تا کنون نشان دهنده ارتباط با چین است، استفاده از PlugX توسط مهاجمان است.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

یکی از بزرگترین ارائه دهندگان خدمات ابری و میزبانی دنیا، Leaseweb، اعلام کرده است که سیستم های حیاتی به دنبال یک نقض امنیتی اخیر بازیابی شده اند.

یک ارائه‌دهنده ابر هلندی پس از شناسایی نشانه‌هایی از فعالیت غیرعادی در بخش‌هایی از زیرساخت خود اعلام کرده است که در حال بررسی است.

Leaseweb با مشکوک شدن به وجود مشکل، برخی از سیستم‌های آسیب‌دیده را برای کاهش خطرات امنیتی آفلاین کرد.

با قضاوت بر اساس زمینه، برخی از سیستم ها تحت تأثیر قرار گرفتند و قربانیانی نیز وجود داشت، زیرا این شرکت متخصصان Digital Forensics و Incident Response (DFIR) را برای کمک به کار آورد.

قطع شدن برخی از زیرساخت‌های ابری آن منجر به از کار افتادن تعداد کمی از مشتریان ابری شد و فروشنده می‌گوید تیمش در حال کار برای بازیابی سیستم‌های حیاتی متاثر از این حادثه است.

نمایندگان Leaseweb در حال حاضر سکوت کرده اند و هیچ جزئیاتی را فاش نمی کنند و با کمال میل اظهار نظر می کنند که هیچ اطلاعات مشتری یا شرکتی فاش نشده یا از بین رفته است.

با این حال، یکی از مشتریان، ATPS Online، که نرم‌افزار حضور و غیاب را در اختیار سازمان‌ها قرار می‌دهد، گزارش داد که قربانی یک حمله سایبری احتمالی به LeaseWeb شده است.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

تغییر اعتبار بدون رمز عبور: آسیب پذیری جدید در FortiSwitch

⚠️ Fortinet آسیب پذیری حیاتی CVE-2024-48887 (CVSS 9.8) را در سوئیچ های فورتی سوئیچ رفع کرده است . این مشکل امکان تغییر رمز عبور سرپرست را بدون احراز هویت با ارسال یک درخواست ویژه به نقطه پایانی set_password فراهم می‌کرد. حمله بسیار ساده است و نیازی به تعامل کاربر ندارد.

🌐 تمام نسخه های FortiSwitch از 6.4.0 تا 7.6.0 که در هزاران شبکه شرکتی در سراسر جهان استفاده می شود، آسیب پذیر بودند. اصلاحات در حال حاضر در به روز رسانی های 6.4.15، 7.0.11، 7.2.9، 7.4.5 و 7.6.1 موجود است. یک راه حل موقت برای کسانی که نمی توانند به روز رسانی کنند، غیرفعال کردن دسترسی HTTP/HTTPS به رابط اداری است.

🔎 محصولات Fortinet از اوایل سال 2025 همچنان مورد توجه هکرها قرار دارند. پیش از این، آسیب‌پذیری‌های روز صفر کشف شده بودند که در حملات باج‌افزار و سرقت اطلاعات کاربری در مشتری FortiClient VPN استفاده می‌شد.


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

🌊 هوش مصنوعی مولد به دریا می رسد: چگونه ارتش ایالات متحده شبکه های عصبی هوش مصنوعی را آزمایش می کند

در سال 2023، 2500 تفنگدار دریایی از پانزدهمین یگان اعزامی نیروی دریایی ایالات متحده ماه ها را در سواحل کره جنوبی، فیلیپین، هند و اندونزی آموزش دادند. در همان زمان، آزمایش دیگری روی کشتی ها در حال انجام بود: تحلیلگران گروه برای اولین بار از هوش مصنوعی مولد برای تجزیه و تحلیل داده های اطلاعاتی به طور مستقیم در طول مانورها استفاده کردند .

اعضای این واحد که مسئول مرتب‌سازی اطلاعات خارجی و اطلاع‌رسانی به مافوق خود در مورد تهدیدهای محلی احتمالی هستند، از هوش مصنوعی برای پردازش صدها هزار مطلب منبع باز (مقالات طبقه‌بندی نشده، گزارش‌ها، تصاویر و ویدئوهای جمع‌آوری‌شده از کشورهای مختلف محل کارشان) استفاده کردند تا اطلاعاتی را که قبلاً به صورت دستی پردازش می‌شد، مرتب و خلاصه کنند:

➡️ یکی از افسران اطلاعاتی اشاره به این واحد در رسانه های خارجی را زیر نظر داشت و تحلیل لحنی انجام داد.
➡️ دیگری از هوش مصنوعی برای تولید گزارش های روزانه و هفتگی استفاده کرد.

این سیستم توسط Vannevar Labs ، استارت آپی که توسط کهنه‌سربازان جامعه اطلاعاتی ایالات متحده تأسیس شده است، توسعه یافته است. در سال 2023، او یک قرارداد چشمگیر از پنتاگون دریافت کرد که بر اساس آن می تواند روی خرید نرم افزاری به ارزش 99 میلیون دلار حساب کند.

این شرکت از OpenAI، LLM مایکروسافت و مدل‌های خود برای تجزیه و تحلیل مقادیر انبوه OSINT، پردازش ترابایت داده روزانه از 180 کشور و به 80 زبان استفاده می‌کند.

▪️ شبکه های اجتماعی به عنوان منابع داده استفاده می شوند. رسانه های باز و مواد دارای دیوار پرداختی، از جمله در چین؛ گزارش از حسگرهای فیزیکی؛ اطلاعات جمع آوری شده توسط نمایندگان در سایت
▪️ این سیستم می‌تواند پیام‌ها را ترجمه کند و تونالیته را تجزیه و تحلیل کند، به دنبال نشانه‌هایی از تهدید باشد، احساسات سیاسی را ردیابی کند، و با پرسش‌های موضوعی خاص (به عنوان مثال، زنجیره‌های تامین فنتانیل یا مبارزه برای خاک‌های کمیاب در جنوب شرقی آسیا) کار کند.

تفنگداران دریایی که با هوش مصنوعی کار می کردند، خاطرنشان کردند که شبکه عصبی اشتباهات کمی مرتکب شده است، اما حتی آنها نیز جزئی بودند. در عین حال، صرفه جویی در زمان دستیار هوش مصنوعی در مقایسه با تجزیه و تحلیل دستی بسیار زیاد بود.

با این حال، استفاده از هوش مصنوعی در فناوری های نظامی اغلب مورد انتقاد قرار می گیرد. کارشناسان موسسه تحقیقاتی AI Now خاطرنشان می کنند که LLM هنوز برای تصمیم گیری های حیاتی مناسب نیست و تجزیه و تحلیل احساسات یک پیام خاص یک معیار ذهنی و غیرقابل اعتماد است، به ویژه برای استفاده نظامی. اندیشکده RAND Corporation اشاره می‌کند که هوش مصنوعی در تشخیص تبلیغات ضعیف است، به‌ویژه وقتی صحبت از اشکال پنهان یا پنهان نفوذ باشد.

🧨 اگر هوش مصنوعی خصومت را «ببیند» در جایی که وجود ندارد، می‌تواند منجر به تشدید احساسات شود و برعکس: اطلاعات حاوی تهدید را از دست بدهد.

با وجود خطرات، پنتاگون آماده ادامه همکاری با هوش مصنوعی است. آزمایشگاه‌های Vannevar، Microsoft و Palantir در حال آماده‌سازی مدل‌های جدید هستند - اکنون برای کار با داده‌های طبقه‌بندی شده. در ماه دسامبر، پنتاگون متعهد شد که 100 میلیون دلار در هوش مصنوعی مولد طی دو سال سرمایه گذاری کند.
https://www.technologyreview.com/2025/04/11/1114914/generative-ai-is-learning-to-spy-for-the-us-military
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

نسخه به روز شده یک بات نت مخرب به نام KmsdBot اکنون دستگاه های IoT با قابلیت های گسترده و سطح حمله را هدف قرار می دهد.

این نتیجه‌ای است که محققان Akamai به آن دست یافته‌اند و در نتیجه تجزیه و تحلیل خود خاطرنشان کردند که باینری اکنون شامل پشتیبانی از اسکن Telnet و معماری‌های بیشتر CPU است.

آخرین بار که از 16 ژوئیه 2023 مشاهده شد، چند ماه پس از آن فاش شد که بات نت به عنوان یک سرویس DDoS در زیرزمینی سایبری کار می کند.

در عین حال، به طور فعال پشتیبانی می شود و بنابراین کارایی بالایی را در حملات واقعی تضمین می کند.

KmsdBot اولین بار در نوامبر 2022 مورد تحقیق و مستندسازی قرار گرفت.

بدافزار مبتنی بر Golang شرکت‌های مختلف از شرکت‌های بازی و ارائه‌دهندگان میزبانی ابری گرفته تا برندهای خودروهای لوکس را هدف قرار داده است، اما از آن زمان در حملات به سایت‌های آموزشی دولت رومانی و اسپانیا استفاده شده است.

این بدافزار قابلیت اسکن طیف وسیعی از آدرس‌های IP را برای یافتن پورت‌های SSH باز و لیست‌های رمز عبور brute force دانلود شده از سروری که توسط مهاجمان کنترل می‌شود را دارد.

به‌روزرسانی‌های جدید شامل اسکن Telnet و بررسی سرویس‌های telnet قانونی است و پوشش معماری‌های CPU بیشتری را که معمولاً در دستگاه‌های IoT یافت می‌شوند، فعال می‌کند.

قابلیت های به روز شده از اواسط جولای 2023 مشاهده شده است.

مانند اسکنر SSH، اسکنر Telnet تابعی را فراخوانی می کند که یک آدرس IP تصادفی تولید می کند و سپس سعی می کند به پورت 23 در آن آدرس IP متصل شود.

با این حال، اسکنر Telnet تنها در گوش دادن به پورت متوقف نمی شود، بلکه بررسی می کند که آیا بافر دریافت کننده حاوی داده است یا خیر.

حمله Telnet با آپلود یک فایل متنی (telnet.txt) حاوی لیستی از رمزهای عبور ضعیف رایج و ترکیبات آنها برای طیف وسیعی از برنامه‌ها انجام می‌شود که عمدتاً بر این واقعیت تکیه می‌کند که بسیاری از دستگاه‌های اینترنت اشیا دارای اعتبار پیش‌فرض هستند.

یک کمپین بدافزار مداوم KmsdBot نشان می‌دهد که دستگاه‌های اینترنت اشیا به طور گسترده در اینترنت توزیع شده و آسیب‌پذیر هستند و آنها را به اهداف جذابی برای ایجاد شبکه‌ای از سیستم‌های آلوده تبدیل می‌کند.

از منظر فنی، افزودن قابلیت‌های اسکن telnet به معنای گسترش سطح حمله بات‌نت است که به آن امکان می‌دهد به طیف وسیع‌تری از دستگاه‌ها حمله کند.

علاوه بر این، با تکامل بدافزارها و افزودن پشتیبانی از معماری‌های بیشتر CPU، یک تهدید امنیتی جدی برای دستگاه‌های متصل به اینترنت ایجاد می‌کند و نیاز به اقدامات امنیتی و به‌روزرسانی‌های منظم را تقویت می‌کند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

هزینه امنیت سایبری چقدر است؟

>> اغلب ارائه دهندگان فناوری به خصوص در پروژه های بزرگ، الزامات امنیت سایبری را در طراحی خود به نفع عملیات یا تحت محدودیت های بودجه و زمان فراموش می کنند.

>> برخی از فروشندگان/ یکپارچه‌سازان امنیت سایبری را کار اضافی می‌دانند و یا اصلاً این کار را انجام نمی‌دهند یا درخواست‌های زیادی برای تغییر با هزینه اضافی درخواست می‌کنند تا حتی کارهای ساده‌ای مانند مدیریت آسیب‌پذیری و اصلاح محصولات خود را قبل از شروع زندگی پوشش دهند.

>> یکی از مهمترین توصیه ها برای خریداران این است که الزامات امنیت سایبری را به صورت قراردادی به عنوان بخشی از تحویل پروژه الزامی کنند.

>> آزمون پذیرش امنیتی باید در روز اول توافق شود.
>> تیم پروژه باید قبل از درگیر شدن در فعالیت های پروژه، سطح مشخصی از آگاهی و آموزش امنیت سایبری داشته باشد.
>> هر چه مالک فاز پروژه زودتر محصولات ایمن را انتخاب کند به دلایل بسیاری بهتر است: > مقرون به صرفه: رفع مشکلات امنیتی در مراحل اولیه بسیار ارزان تر از اصلاح پس از استقرار است.
> خطر را کاهش می دهد: قبل از شروع به کار سیستم ها، آسیب پذیری ها را شناسایی و کاهش می دهد.
> طراحی ایمن ایجاد می کند: امنیت بخشی از معماری می شود، نه یک فکر بعدی.
> انطباق را تضمین می کند: از روز اول به رعایت استانداردهای نظارتی و صنعتی کمک می کند. > اعتماد را افزایش می دهد: اعتماد ذینفعان را در قابلیت اطمینان و انعطاف پذیری سیستم افزایش می دهد.
> طبق دستورالعمل، خریداران باید هنگام انتخاب محصولات OT به دنبال عناصر امنیتی کلیدی زیر باشند:
1. مدیریت پیکربندی
2. ورود به محصول پایه
3. استانداردهای باز
4. مالکیت
5. حفاظت از داده ها
6. به طور پیش فرض ایمن است
7. ارتباطات ایمن
8. کنترل های ایمن
9. مدیریت آسیب‌پذیری
10. احراز هویت قوی
11. مدل سازی تهدید
12. ارتقاء و وصله ابزار

>> در حالی که این یک لیست بسیار محکم است، من معمولاً توصیه می‌کنم یک طرح امنیتی OT برای هر تسهیلاتی که به‌طور خاص برای مطابقت با نیازهای تجاری و زمینه آنها ساخته شده است، تعریف کنید.
👈برداشت شما چیست؟ لطفا بینش خود را به اشتراک بگذارید
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

🔴نشت جدید و بزرگ از بزرگترین ارائه دهنده تلفن همراه کشور

مهاجمی به نام TheShadowBits مدعی است که پایگاه داده همراه اول (MCI) - اصلی ترین شرکت تلفن همراه در ایران را منتشر کرده است.

بر اساس این پست، اطلاعات شامل نام کامل، شماره شناسایی، آدرس، شماره تلفن، مشخصات سیم کارت، تاریخ تولد و طرح خدمات است.
⛔️ صحت وسقم این خبر را تایید نمی‌کنیم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

آسیب پذیری مولفه Data Manager در میان افزار دستگاه های چند منظوره SENTRON 7KT PAC1260 زیمنس برای اندازه گیری پارامترهای شبکه الکتریکی مربوط به استفاده از اعتبارنامه های رمزگذاری شده است. بهره برداری از این آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا از طریق پروتکل SSH به دستگاه دسترسی غیرمجاز داشته باشد.

BDU: 2025-04081
CVE-2024-41794

اقدامات جبرانی:
- محدود کردن دسترسی از راه دور به یک دستگاه آسیب پذیر از طریق پروتکل SSH.
- تقسیم بندی شبکه برای محدود کردن دسترسی به یک دستگاه آسیب پذیر از زیرشبکه های دیگر.
- تلاش برای ردیابی برای دسترسی از راه دور به دستگاه از طریق پروتکل SSH با استفاده از اعتبارنامه های رمزگذاری شده سخت.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه ها:
https://cert-portal.siemens.com/productcert/pdf/ssa-187636.pdf
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

همگرایی IT / OT: آیا واقعا اتفاق می افتد؟

بله... اما پیچیده است.

صنایع برای دیجیتالی کردن، خودکارسازی و ایمن سازی سریعتر از همیشه تحت فشار هستند. این IT و جهان OT را به هم نزدیک می کند - اما شکاف های فرهنگی، فناوری قدیمی و اولویت های متناقض هنوز مانع هستند.

چرا همگرا می شود:
• تحول دیجیتال نیاز به داده های یکپارچه دارد
• محاسبات ابری و لبه خطوط را محو می کند
• تهدیدات سایبری استراتژی های امنیتی یکپارچه را مجبور می کند
• انطباق با مقررات نیاز به حاکمیت بین دامنه ای دارد

چرا هنوز به طور کامل همگرا نشده است:
• OT آپتایم را ترجیح می دهد. IT چابکی را در اولویت قرار می دهد
• سیستم های قدیمی در برابر ادغام مقاومت می کنند
• عدم تطابق چرخه عمر باعث ایجاد تنش می شود
• همگرایی بیشتر = سطح حمله بزرگتر

ما در مرحله همگرایی تدریجی و ناهموار هستیم - برخی از صنایع پیشرو هستند، برخی دیگر تازه شروع به کار کرده اند.

تجربه شما چیست؟
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است. :
https://t.me/ics_cert

بدون امنیت؟! "آیا مدل #پوردو به یک یادگار تبدیل شده است - یا هنوز اساس امنیت #OT / #ICS است ؟"

با اعلام #گارتنر (2023) که مدل پوردو (منتشر شده در سال 1990) در عصر #ابر ، #IIoT و معماری‌های توزیع‌شده «منسوخ» شده است، صنعت تقسیم شده است. منتقدان می گویند که سفت و سخت، سلسله مراتبی است و برای محیط های مدرن و پویا مناسب نیست.
طرفداران استدلال می کنند که هنوز یک چارچوب شفاف و لایه ای برای بخش بندی شبکه های صنعتی و حفظ مناطق امنیتی ارائه می دهد.
چرا اهمیت دارد: امنیت OT به #بخش_بندی متکی است و مدل ساختاریافته پوردو به تعریف آن کمک می کند. اما اگر سرویس‌های ابری، دسترسی به تلفن همراه و محاسبات لبه‌ای این لایه‌ها را نادیده بگیرند، آیا مدل همچنان کمک می‌کند یا گمراه می‌کند؟
فکرکنید: آیا زمان کشتن مدل پوردو فرا رسیده است یا آن را برای عصر اعتماد صفر مدرن کنیم؟
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏pedram_kiani@
کانال:
@ics_cert
واتس آپ :
chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
@ICSCERT_IR

• یکی از پروتکل های کلیدی اینترنت، FTP (پروتکل انتقال فایل)، امروز تولد 54 سالگی خود را جشن می گیرد. Abhay Bhushan، دانشجوی MIT، اولین مشخصات را با نام RFC 114 در 16 آوریل 1971 منتشر کرد ، مدتها قبل از وجود HTTP و حتی سه سال قبل از TCP ( RFC 793 ). استاندارد ساده برای کپی کردن فایل ها، در طول سال ها، از مدل های پیچیده تر کنترل، سازگاری و امنیت پشتیبانی کرده است. پس از 54 سال، FTP منسوخ نشده است و میلیون ها سرور FTP هنوز در اینترنت در دسترس هستند.

• به هر حال، نویسنده این پروتکل تنها کسی نبود که در توسعه FTP شرکت کرد، زیرا پس از فارغ التحصیلی از دانشگاه موقعیتی را در زیراکس به دست آورد و پروتکل بدون او به توسعه خود ادامه داد و یک سری به روز رسانی در قالب RFC در دهه های 1970 و 1980 دریافت کرد . از جمله پیاده سازی که پشتیبانی از مشخصات TCP/IP را ممکن می سازد.

• اگرچه به‌روزرسانی‌های جزئی در طول زمان برای به‌روز نگه‌داشتن پروتکل و پشتیبانی از فناوری‌های جدید انجام شده است، نسخه‌ای که امروز از آن استفاده می‌کنیم در سال 1985 هنگامی که Jon Postel و Joyce C. Reynolds RFC 959 را توسعه دادند، به‌روزرسانی پروتکل‌های قبلی که زیربنای نرم‌افزار مدرن FTP است، منتشر شد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

⚡️ کارشناسان آزمایشگاه کسپرسکی، همراه با کارشناسان امنیت سایبری T-Technologies، یک درب پشتی پیچیده که قبلاً ناشناخته بود را کشف کردند که در حملات هدفمند به سازمان‌ها در فدراسیون روسیه استفاده می‌شد.

درب پشتی که راه حل های امنیتی ما آن را تشخیص می دهند HEUR:Trojan.Win32.Loader.gen ، رایانه های متصل به شبکه ViPNet را هدف قرار می دهد.

این با پنهان کردن خود به عنوان یک به روز رسانی ViPNet Client توزیع شد و هدف نهایی آن جاسوسی سایبری بود.

بدافزار جدید شامل:

🢔 چندین فایل اجرایی که یک زنجیره اجرایی را تشکیل می دهند.
🢔 یک فایل رمزگذاری شده حاوی "بارگذاری" اصلی - یک درب پشتی جهانی و قبلا ناشناخته که قادر به اجرای کد دلخواه و مجموعه ای از دستورات است.

ده ها شرکت روسی از جمله شرکت های دولتی، آموزشی، مشاوره، تولیدی، خرده فروشی و مالی قربانی این درب پشتی شدند.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

آسیب پذیری سیستم عامل Fortinet FortiOS به دلیل نقص در مکانیسم احراز هویت .

بهره برداری از این آسیب پذیری می تواند به یک مهاجم راه دور اجازه دهد تا اطلاعات پیکربندی دستگاه را افشا کند و مکانیسم های امنیتی موجود را دور بزند.

BDU: 2025-04602

اقدامات جبرانی:
- استفاده از یک لیست "سفید" از آدرس های IP برای محدود کردن دسترسی به یک دستگاه آسیب پذیر.
- تقسیم بندی شبکه برای محدود کردن دسترسی به یک دستگاه آسیب پذیر از زیرشبکه های دیگر.
- محدود کردن دسترسی از شبکه های خارجی (اینترنت).

منابع اطلاعاتی:
https://gbhackers.com/fortigate-0-day-exploit-allegedly-up-for-sale/
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

موسسات پزشکی و دارویی در سراسر جهان خود را در کانون موج جدید سایبری می یابند. مقصر یک تروجان قدرتمند به نام ResolverRAT است که از طریق نامه های ظاهراً رسمی در مورد ادعاهای قانونی منتشر می شود. هکرها فقط تقلبی را ارسال نمی کنند - آنها متون را با زبان های محلی از جمله هندی، ایتالیایی و پرتغالی تطبیق می دهند و اثر اعتماد کامل را در گیرنده ایجاد می کنند. هدف این است که کاربر را مجبور کنند که پیوست را در سریع ترین زمان ممکن باز کند و بدافزار را راه اندازی کند.
پشت راه اندازی یک طرح پیشرفته نهفته است: ResolverRAT با استفاده از تکنیک های بارگذاری جانبی DLL به سیستم نفوذ می کند و خود را به عنوان برنامه های قانونی پنهان می کند. این بدافزار به طور انحصاری در حافظه کار می کند، بدون اینکه ردپای معمولی در سیستم فایل باقی بماند. معماری کار آن شبیه یک سیستم عامل مینیاتوری است - هر فرآیند در یک رشته جداگانه اجرا می شود و داده ها در بلوک های کوچک منتقل می شوند تا مشکوک نباشند.
چیزی که به ویژه نگران کننده است این است که تروجان می تواند ابزارهای تحلیل و نظارت استاندارد را دور بزند: از فراخوانی های معمول API استفاده نمی کند، سیستم گواهی خود را پیاده سازی می کند و ماشین های آلوده را از طریق جایگزینی IP و اعتبارسنجی کانال پیشرفته کنترل می کند. در صورت خرابی، به طور خودکار اتصال را بازیابی می کند و عملیات را طوری ادامه می دهد که انگار هیچ اتفاقی نیفتاده است.
محققان گمان می کنند که ResolverRAT ممکن است زاییده فکر توسعه دهندگان بدافزارهای خطرناک دیگری مانند Rhadamanthys یا Lumma باشد. مقیاس، سطح فنی و هماهنگی نشان دهنده یک گروه حرفه ای با دسترسی به منابع و تجربه کمپین های بین المللی است. با ادامه حملات، امکانات مراقبت های بهداشتی در سراسر جهان همچنان در خطر هستند.


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR