44 subscribers
30 photos
22 videos
2 files
42 links
Freedom through power. Power through intelligence.| voidNetwork.ir
Download Telegram
Mr. Nothing
نمونه‌های برجسته APT مرتبط با ایران
APT34 (OilRig/Helix Kitten): گروهی ایرانی وابسته به وزارت اطلاعات یا نهادهای دولتی، شناسایی‌شده از ۲۰۱۴. ماموریت اصلیش جاسوسی سایبری و شناسایی زیرساخت‌های منطقه‌ای علیه منافع ایران است. روش نفوذ: ترکیبی از سازوکار فیشینگ هدفمند (معمولاً ایمیل با اسناد دارای ماکرو مخرب) و بهره‌برداری از آسیب‌پذیری‌های نرم‌افزاری (مانند CVE-2017-11882، CVE-2017-0199). ابزارهای شناخته‌شده APT34 شامل اسکریپت‌های PowerShell سفارشی (POWRUNER)، بدافزارهای دانلودر مبتنی بر DGA (BONDUPDATER) و ویروس‌های جابجایی رخنه (POWBAT) است. نمونه حملات: هک چندین سازمان دولتی و مالی در خاورمیانه از سال ۲۰۱۶ به بعد؛ برای مثال حمله فیشینگ به بانک‌های منطقه که بدافزار POWBAT را پخش کرد. اثرات: دسترسی طولانی‌مدت به شبکه قربانیان برای جمع‌آوری اطلاعات محرمانه (اسناد دولتی، طرح‌های زیربنایی)، ایجاد پایه برای اقدامات بعدی (مانند کشف نفوذهای فرعی در انرژی و مخابرات). ایران به‌عنوان منبع اصلی این گروه شناسایی شده است (بنا بر نشانه‌هایی مانند ارجاع‌های زیرساختی به آدرس‌های ایران).
کشور/گروه منتسب: جمهوری اسلامی ایران (بخش اطلاعات وزارت اطلاعات یا IRGC)
اهداف: جاسوسی سایبری و شناسایی اطلاعات در صنایع مالی، انرژی، مخابرات و دولتی منطقه
روش‌های نفوذ: حملات spear-phishing با پیوست‌های مخرب، استفاده از اکسپلویت‌های Office (مثلاً CVE-2017-11882)، استقرار backdoorهای PowerShell (POWRUNER) و ابزارهایی مانند BONDUPDATER/DGA برای پایداری
نمونه حملات: کمپین فیشینگ بانک‌ها و سازمان‌های منطقه‌ای (بدافزار POWBAT)، حمله همزمان به سازمان‌های خاورمیانه با فایل‌های .rtf حاوی اکسپلویت‌های Office
اثرات: نفوذ عمیق در شبکه‌ها و جمع‌آوری اطلاعات مالی/دولتی، ایجاد امکان ادامه جاسوسی و مانور در زیرساخت‌های حساس
1
Mr. Nothing
نمونه‌های برجسته APT مرتبط با ایران
APT35 (Charming Kitten / Phosphorus / Mint Sandstorm): گروه شاخص ایرانی (وابسته به سازمان اطلاعات سپاه IRGC-IO) فعال از حدود ۲۰۱۳. اصلی‌ترین اهدافش «جمع‌آوری اطلاعات» از مخالفان رژیم، دیپلمات‌ها، روزنامه‌نگاران و نیروهای امنیتی است. روش نفوذ: فیشینگ پیچیده و مهندسی اجتماعی. اپراتورها با ایجاد هویت‌های جعلی (مانند خبرنگار یا پژوهشگر) ارتباط طولانی‌مدت برقرار کرده و اطلاعات هویتی و دسترسی قربانیان را می‌دزدند. ابزارهای این گروه شامل کی‌لاگرها و بدافزارهای سرقت اطلاعات و نسخه‌های بدافزار رمزگذار (ویپرسالاری نبوده و معمولاً بدون درخواست باج) است. Storm-0270 (DEV-0270/Nemesis Kitten) که گاهی همراه APT35 ذکر می‌شود، زیرمجموعه‌ای است که حملات رمزارز-مانند (living off the land) علیه سازمان‌های کوچک را انجام می‌دهد. اثرات: افشای گسترده ایمیل‌ها و داده‌های محرمانه فعالان و محققان (از جمله تسلیم اجباری IP و نشست‌های ویدئویی)، تأثیر بر جریان‌های سیاسی و کنترل سرمایه‌های فکری. مایکروسافت متوجه فعالیت شدید این گروه شد و در سال ۲۰۲۳ صدها دامنه فیشینگ را توقیف کرد.
کشور/گروه منتسب: جمهوری اسلامی ایران (سازمان اطلاعات سپاه پاسداران)
اهداف: جاسوسی اطلاعاتی و سیاسی – هدف قرار دادن مخالفان سیاسی، محققان حقوق بشر، دیپلمات‌ها و بنگاه‌های دفاعی و زیربنایی
روش‌های نفوذ: مهندسی اجتماعی (ساخت هویت‌های فیشینگ در شبکه‌های اجتماعی)، سرقت اعتبار‌نامه (credential harvesting)، ایمیل‌های فیشینگ پیچیده، استفاده از بدافزارهای سرقت‌ اطلاعات و کی‌لاگر
نمونه حملات: کمپین‌های هک حساب‌های ایمیل فعالان و دانشگاهیان، ارسال بدافزارهای قالب‌گیری‌شده در اسناد Word/Excel؛ عملیات سپر-۰۲۷۰ با سوءاستفاده از ابزارهای قانونی ویندوز (BitLocker) برای قفل‌کردن فایل‌ها
اثرات: نفوذ به محتوای شخصی و سازمانی معارضان، اختلال در جریان اطلاعات رسانه‌ای و آکادمیک، و افزایش احتیاط در جمع‌آوری داده‌ها؛ همچنین بخشی از پرونده حملات رمزارز مرموز علیه مؤسسات کوچک آمریکا
1
Mr. Nothing
نمونه‌های برجسته APT مرتبط با ایران
APT39 (Chafer/Remix Kitten): گروه جاسوسی سایبری ایرانی (وابسته به وزارت اطلاعات – MOIS) که از حدود ۲۰۱۴ فعال است. اهداف آن عمدتاً «اطلاعات شخصی» اقوام و مسافران (سوابق بلیت هواپیما، کارت اعتباری، جزئیات مخابراتی) است تا توانمندسازی ردیابی فیزیکی افراد مورد نظر (معترضان، روزنامه‌نگاران) فراهم شود. روش نفوذ: حملات Spear-phishing و بدافزارهای موبایل. مهاجمان با نفوذ به سازمان‌های دارای پایگاه داده‌های مسافرت و ارتباطات (هواپیمایی، شرکت‌های گردشگری و مخابرات) از طریق ایمیل‌های هدفمند و تروجان‌های اندرویدی، اطلاعات شخصی را استخراج می‌کنند. برخلاف APTهای دیگر، تمرکز APT39 کمتر بر اهداف نظامی/اقتصادی است و بیشتر روی سیستم‌های «ردیابی افراد» تمرکز دارد. اثرات: ایجاد زیرساخت جاسوسی گسترده برای نظارت بر رفت‌وآمد فعالان و مهاجران ایرانی؛ نفوذ در سیستم‌های هتل‌ها و خطوط هوایی که منجر به دسترسی به مسیرهای مسافرتی و سوابق ارتباطی می‌شود.
کشور/گروه منتسب: جمهوری اسلامی ایران (وزارت اطلاعات – MOIS)
اهداف: جمع‌آوری اطلاعات شخصی (مسافرتی، هویتی، مکالمات) افراد موردنظر برای مانیتورینگ و ردیابی آنها
روش‌های نفوذ: spear-phishing ایمیلی با ضمیمه‌های مخرب، استقرار بدافزارهای مخصوص موبایل (اندرویدی) و ابزارهای سرقت اطلاعات؛ بهره از آسیب‌پذیری‌های عمومی برای نفوذ به سیستم‌های مسافرت/مخابرات
نمونه حملات: نفوذ به شرکت‌های هواپیمایی، آژانس‌های مسافرت و اپراتورهای مخابراتی در خاورمیانه و اروپا (حمله‌هایی که منجر به دزدیدن جزئیات پروازها و CDR تلفن شد)
اثرات: توانایی دنبال‌کردن فیزیکی و اطلاعاتی افراد (به‌ویژه مخالفان و اعضای دیاسپورا) از طریق داده‌های بدست‌آمده؛ بی‌اعتمادی قربانیان به امنیت داده‌ها و افزایش اقدامات حفاظتی در بخش حمل‌ونقل و مخابرات.
1
Mr. Nothing
نمونه‌های برجسته APT مرتبط با ایران
APT42 (Crooked Charms / TA453): گروه جاسوسی ایرانی وابسته به سپاه (IRGC-IO) که از سال ۲۰۱۵ شناسایی شده است. مأموریت آن جمع‌آوری اطلاعات استراتژیک و نظارت بر افراد و سازمان‌های مهم برای حکومت ایران؛ اهداف شامل نهادهای مخالف در کشورهای غربی، پژوهشگران علمی و فعالان حقوق بشر بود. روش نفوذ: فیشینگ بسیار هدفمند؛ به ویژه ایمیل‌های مهندسی اجتماعی که قربانی را قانع به افشای رمز عبور می‌کند، و بدافزارهای موبایلی جاسوسی. عمده عملیات را credential harvesting تشکیل می‌دهد (سرقت MFA، کراک حساب‌های ایمیل). چندین ابزار سفارشی و روت‌کیت‌های اندروید برای جاسوسی بر روی دستگاه‌های شخصی استفاده می‌شود. اثرات: نفوذ به ایمیل‌های شخصی مقامات غربی و اعضای جامعه ایرانی خارج از کشور؛ امکان نظارت بر ارتباطات داخلی آنها و جمع‌آوری اطلاعات محرمانه. این گروه انعطاف‌پذیری بالایی دارد (مثلاً به سرعت به موضوع پاندمی کرونا روی آورد تا اطلاعات دارویی را سرقت کند).
کشور/گروه منتسب: جمهوری اسلامی ایران (سپاه IRGC – سازمان اطلاعات)
اهداف: جاسوسی و نظارت اطلاعاتی – هدف‌گیری فعالان، پژوهشگران، مقامات سابق و اعضای جامعه ایرانی خارج از کشور
روش‌های نفوذ: spear-phishing بسیار هوشمندانه (ساخت روابط طولانی‌مدت با قربانی)، مهاجرت به حساب‌های کاربری از طریق حملات credential harvesting و استفاده از بدافزارهای اندروید برای کنترل تلفن همراه
نمونه حملات: صدها عملیات تاییدشده از سال ۲۰۱۵ تا ۲۰۲۲؛ نفوذ به حساب‌های شخصی ایمیل و نصب تروجان موبایل برای ردیابی؛ تغییر تمرکز عملیات با تغییر اولویت‌های ایران (مثلاً هدف قرار دادن شرکت‌های دارویی در اوایل کرونا)
اثرات: درز داده‌های شخصی و شرکتی مربوط به اهداف معاند، از جمله محل فیزیکی و محتوای پیام‌های آنها؛ امکان جاسوسی مضاعف بر روی شبکه‌های دولتی از طریق حساب‌های آلود‌ه.
1
Mr. Nothing
نمونه‌های برجسته APT مرتبط با ایران
Rampant Kitten: گروهی ایرانی (احتمالاً وابسته به IRGC) با فعالیت از حدود ۲۰۱۴. مأموریت اصلی آن جاسوسی و افشای اطلاعات مخالفان حکومتی و اقلیت‌های تحت‌پیگرد است. روش نفوذ: استفاده از بدافزارهای سرقت اطلاعات (Information Stealer) که داده‌های برنامه‌های مدیریت گذرواژه (مانند KeePass) و پیام‌های تلگرام را می‌دزدند، همراه با صفحات فیشینگ پیشرفته. حتی برای دورزدن احراز هویت دو عاملی، بدافزارهای اندرویدی برای استخراج کدهای MFA به‌کار می‌رود. نمونه حملات: کمپین‌هایی که با جعل صفحات ورود جعلی و بدافزار اندروید یک‌شبه‌ای، رمزهای عبور تلفن همراه و پیام‌ها را سرقت کردند؛ کارکرد اندروید trojan برای گرفتن کد دو مرحله‌ای. اثرات: درز اسناد شخصی و پیام‌های خصوصی فعالان، ایجاد فشار امنیتی و روانی بر گروه‌های مخالف، اختلال در فعالیت شبکه‌ای و افزایش خودسانسوری در میان شهروندان معترض.
کشور/گروه منتسب: جمهوری اسلامی ایران (احتمالاً سپاه پاسداران)
اهداف: جاسوسی اطلاعاتی و افشای اطلاعات مخالفان داخلی، به‌ویژه اقلیت‌های قومی و دینی، برای سرکوب سیاسی
روش‌های نفوذ: بدافزارهای استیلر پیشرفته برای سرقت اطلاعات ورود (از جمله از KeePass)، حملات فیشینگ با صفحاتی شبیه‌سازی‌شده، هک دو مرحله‌ای (بهره‌برداری از رمز دوم)
نمونه حملات: به‌کارگیری نرم‌افزار اندرویدی مخرب برای دزدیدن کدهای SMS 2FA و اطلاعات لوکال، ارسال هرزنامه‌های هدفمند با بدافزار Dharma علیه بخشی از کاربران
اثرات: به دست‌آوردن اطلاعات حساس شخصیت‌ها، ایجاد ترس و دسیسه‌سازی خبری علیه اپوزیسیون (دکمه منتشر کردن اسناد به‌عنوان ابزار فشاری)، لطمه به ارتباطات خصوصی جامعه مدنی.
1
Pioneer Kitten (Parisite/Fox Kitten): گروه ایرانی که در اکسپلویت‌کردن آسیب‌پذیری‌های زیرساخت لبه شبکه تخصص دارد. عمدتاً در سال‌های اخیر ظاهر شده و هدفش دسترسی اولیه به شبکه‌های سازمانی با استفاده از حفره‌های امنیتی در VPNها، گیت‌وی‌های Citrix، سرورهای RDP و سرویس‌های از راه دور بوده است. روش نفوذ: بهره‌جویی از آسیب‌پذیری‌های شناخته‌شده (مانند CVE-2018-13379 در Fortinet و CVE-2019-11510 در Citrix) و استقرار وب‌شل یا backdoor. پس از نفوذ، ابزارهای متن‌باز (مانند SSH تَنل و Mimikatz) برای گسترش نفوذ و ارتقای سطح دسترسی استفاده می‌شود. این گروه همچنین پس از نفوذ، دسترسی‌های خود را می‌فروشد یا با گروه‌های دیگر به اشتراک می‌گذارد و نقشی مهم در زنجیره حملات پیچیده‌تر ایفا می‌کند. اثرات: ایجاد درب پشتی گسترده به زیرساخت‌های حمل‌ونقل، بهداشت و دفاع در منطقه، به‌گونه‌ای که میتواند مورد استفاده گروه‌های دیگر نیز قرار گیرد.
کشور/گروه منتسب: جمهوری اسلامی ایران (جاسوس‌افزار وابسته به IRGC)
اهداف: نفوذ به زیرساخت‌های تکنولوژیک حیاتی (سرورهای VPN/Citrix/Remote Desktop) و فراهم‌کردن دسترسی دائم به شبکه‌های هدف
روش‌های نفوذ: سوءاستفاده از آسیب‌پذیری‌های شناخته‌شده روی تجهیزات لبه (مثل VPN)، استقرار وب‌شل، استفاده از ابزار متن‌باز (SSH تَنل، Mimikatz) برای حفظ دسترسی
نمونه حملات: کمپین‌های حمله به شبکه‌های دولتی و بهداشتی که از exploit گیت‌وی‌های Forti/Citrix استفاده کردند؛ گزارش شده دسترسی حاصل‌شده در شبکه‌های شرکتی مختلف در اسراییل، امریکا و خاورمیانه.
اثرات: تأسیس دسترسی‌های ریشه‌ای (Persistence) در شبکه قربانی، امکان گسترش حملات جاسوسی یا خرابکارانه توسط گروه‌های وابسته، فروش دسترسی به سایر واحدهای اطلاعاتی.
1
Mr. Nothing
نمونه‌های برجسته APT مرتبط با ایران
Static Kitten (MuddyWater/Seedworm): یک گروه جاسوسی زیر نظر وزارت اطلاعات ایران که از حدود ۲۰۱۷ فعال است. این گروه به صورت مداوم ابزارهای خود را ارتقا داده و تقریباً در تمام مناطق خاورمیانه و حتی اروپا هدف قرار گرفته است. اهداف: جمع‌آوری اطلاعات از نهادهای دولتی، صنایع مخابرات و گردشگری (سازمان‌های حمل‌ونقل و گردشگری، دولت‌ها و شرکت‌های مخابراتی). روش نفوذ: spear-phishing ایمیلی با فایل‌های پیوست مخرب (مانند اسناد PDF یا لینک‌ها)، استفاده از ابزارهای مدیریت از راه دور (RMM) قانونی برای تثبیت دسترسی، و گاهی به‌کارگیری بدافزارهای سفارشی Powershell (مثلاً PowerStats, PowGoop) برای گسترش. پس از نفوذ اولیه، مجوزهای محلی بالا برده شده و از حساب‌های ایمیل هک‌شده برای حملات بعدی بهره می‌برند. اثرات: سرقت مقادیر زیادی از اطلاعات دولتی و صنعتی؛ کمپین Olalampo (۲۰۲۶) نشان داد که ممکن است ابزارهای مخابراتی جدید (مثل بات تلگرام) هم برای کنترل سیستم‌ها به‌کار رود. این گروه گاهی برای پنهان ماندن، از بدافزارهای عمومی مانند ransomware یا بدافزارهای DGA (مثل Tsundere) بهره می‌گیرد.
کشور/گروه منتسب: جمهوری اسلامی ایران (وزارت اطلاعات MOIS)
اهداف: جاسوسی سایبری گسترده – اهداف دولت‌ها، صنایع مخابرات، گردشگری و ساختارهای خدمتی در خاورمیانه و فراتر
روش‌های نفوذ: حملات spear-phishing با پیوست‌های مخرب یا لینک، سوءاستفاده از ابزارهای معتبر مدیریت از راه دور، استقرار web shell و بارگذاری بدافزار (به‌ویژه Powershell Trojan)
نمونه حملات: کمپین‌های فیشینگ سازمانی در ایران و کشورهای همسایه، استفاده از ایمیل‌های به‌دست‌آمده برای حملات بعدی؛ در اوایل ۲۰۲۶، اولین استفاده شناخته‌شده از بات تلگرام به‌عنوان کانال C2 توسط این گروه گزارش شد.
اثرات: نفوذ بلندمدت و گسترده به شبکه قربانیان، سرقت اطلاعات حساس دولتی و صنعتی، ایجاد اختلال در بخش‌های مورد هدف و ارائه تجربیات جدید در TTPها (مانند ترکیب عملیات جاسوسی با ابزارهای سایبری عمومی).
1
Tortoiseshell (Imperial Kitten): گروهی ایرانی وابسته به سپاه که از ۲۰۱۸ فعالیت می‌کند. تخصص آن حملات زنجیره تأمین سایبری است؛ تمرکز روی فراهم‌کنندگان فناوری اطلاعات (IT) در صنایع دفاع و انرژی خاورمیانه دارد. روش نفوذ: ترکیبی از بدافزارهای سفارشی (مانند Syskit) و ابزارهای متداول، با هدف دست‌یابی به شبکه‌های تأمین‌کنندگان. پس از نفوذ اولیه، با داشتن دسترسی مدیریتی (domain admin) در سیستم ارائه‌دهنده، به‌راحتی برای نفوذ به سازمان‌های مشتری (که از خدمات آن استفاده می‌کنند) استفاده می‌شود. نمونه حملات: کمپین حمله به چند تأمین‌کننده شبکه در عربستان سعودی که منجر به کنترل دامنه قربانیان فرعی شده؛ برای مثال ساخت دامنه‌های بدافزاری که نرم‌افزار Syskit را بارگذاری می‌کردند. اثرات: زنجیره گسترده‌ای از دسترسی‌های مخفی در سازمان‌های دفاعی و انرژی، که می‌تواند به سرقت داده‌های حساس یا حملات پسین (مثلاً جاسوسی از مشتریان این ارائه‌دهندگان) منجر شود.
کشور/گروه منتسب: جمهوری اسلامی ایران (سپاه پاسداران، فرماندهی سایبری)
اهداف: نفوذ به زنجیره تأمین فناوری و سازمان‌های زیرمجموعه (به ویژه شرکت‌های ارائه‌دهنده خدمات IT در صنایع دفاع و انرژی)
روش‌های نفوذ: استفاده از بدافزارهای سفارشی (مانند بارگذار Syskit) و ابزارهای عمومی، بهره‌برداری از ضعف‌های ساختاری در سرورهای ارائه‌دهنده خدمات، حرکت جانبی سریع با صلاحیت‌های بالا
نمونه حملات: نفوذ به چند ارائه‌دهنده شبکه در خاورمیانه (مانند حمله سال ۲۰۱۹ به یک شرکت فن‌آوری اطلاعات سعودی) که به کنترل دامنه و دسترسی مدیریتی در شبکه‌های مرتبط انجامید
اثرات: کسب دسترسی هم‌زمان به مشتریان متعدد این سرویس‌دهندگان؛ پتانسیل تغییر کاربری زیرساخت‌های قربانی برای نفوذ به اهداف دیگر (مشتریان)، به‌ویژه در صنایع حساس.
2
Mr. Nothing
نمونه‌های برجسته APT مرتبط با ایران
Moses Staff (گروه DEV-0500): گروهی هکری ایرانی که از سپتامبر ۲۰۲۱ گزارش شده و عمدتاً شرکت‌های اسرائیلی را هدف می‌گیرد. این گروه خود را به عنوان مهاجمانی سیاسی معرفی کرده که با افشای گسترده اطلاعات حساس و رمزگذاری شبکه‌های قربانی (بدون اخذ باج) قصد «آسیب‌رساندن» به سازمان‌ها را دارند. روش نفوذ: حملات سایبری نوین شامل نفوذ به زیرساخت‌های عمومی (مثلاً بهره‌برداری از Exchange Server)، انتشار وب‌شل و اسکریپت‌های خودکار، و استفاده از بدافزارهای رمزگذاری سفارشی (مانند ابزار DiskCryptor). این گروه از روش‌های پوشش (کدگذاری/رمزگذاری داده‌ها) استفاده می‌کند تا نشانه‌گذاری تحقیقات را دشوار سازد. نمونه حملات: چند حمله علیه شرکت‌های صنعتی و خدماتی در اسرائیل و حتی کشورهای دیگر (ایتالیا، آمریکا)، شامل انتشار دسته‌ای از فایل‌های در اختیار عموم و رمزارز کردن درایوها. اثرات: اختلال عمده در عملیات شبکه‌ای قربانیان و افشای اطلاعات محرمانه؛ اهمیت این حملات در نوع «جنگ اطلاعات» و انگیزش سیاسی آشکار است.
کشور/گروه منتسب: جمهوری اسلامی ایران (سپاه پاسداران / واحد سایبری ارتش)
اهداف: عملیات انتقام‌جویانه علیه نهادهای اسرائیلی و غیراسرائيلي (شرکت‌های خصوصی و دولتی)، با انگیزه سیاسی/ایدئولوژیک
روش‌های نفوذ: بهره‌برداری از آسیب‌پذیری‌های عمومی (مانند سرورهای Exchange)، استقرار وب‌شل، بدافزارهای رمزگذاری سفارشی (DiskCryptor)، اسکریپت‌های حذف یا قفل‌سازی داده بدون درخواست باج
نمونه حملات: حملات متعدد در ۲۰۲۱ تا کنون علیه بنگاه‌های اسرائیلی (امنیتی و مالی)، شامل سرقت داده‌های محرمانه و انتشار آن‌ها در شبکه‌های اجتماعی و رمزگذاری فایل‌ها توسط بدافزارِ مشابه رانسوم‌ویر
اثرات: کاهش کارایی عملیاتی و افشای سازمانی قربانیان، ایجاد ترس و بی‌اعتمادی عمومی با انتشار اطلاعات محرمانه (جنگ روانی)، و بالا بردن تنش سیاسی از طریق عملیات سایبری آشکار.
1
Mr. Nothing
نمونه‌های برجسته APT مرتبط با ایران
Stuxnet (عملیات Olympic Games): بدافزاری پیشرفته که در سال ۲۰۱۰ کشف شد و هدف آن تأسیسات غنی‌سازی هسته‌ای ایران (کارخانه نطنز) بود. گرچه رسماً عامل آن اعلام نشد، منابع متعدد آمریکا و اسرائیل را مسئول این حمله می‌دانند. روش نفوذ: یک کرم کامپیوتری با سه جزء اصلی (پخش‌گری، payload و rootkit) بود که از طریق حافظه‌ی USB وارد شبکه‌های حساس می‌شد. استاکس‌نت از چهار آسیب‌پذیری صفر-روز در ویندوز و کار با نرم‌افزار کنترل صنعتی Siemens Step7 بهره برد. پس از نفوذ، Stuxnet برنامه‌های PLC کنترل‌کننده ماشین‌های سانتریفیوژ را تغییر می‌داد تا سرعت غیرطبیعی ایجاد کند و در نتیجه سبب تخریب آن‌ها شود. اثرات: تقریبا ۲۰٪ از سانتریفیوژهای ایران نابود شد و خسارت اقتصادی و تأخیر قابل‌توجهی به برنامه هسته‌ای این کشور وارد آمد. این عملیات، اولین مورد از حملات سایبری با تأثیر فیزیکی گسترده شناخته‌شده است.
کشور/گروه منتسب: ایالات متحده و اسرائیل (بر اساس گزارش‌های مستقل)
اهداف: خرابکاری صنعتی در برنامه هسته‌ای ایران (کارخانه غنی‌سازی نطنز)
روش‌های نفوذ: استفاده از چهار آسیب‌پذیری صفر-روز ویندوز، انتشار کرم از طریق حافظه USB، مخفی‌سازی rootkit برای نفوذ به PLCهای زیمنس
نمونه حملات: ویروس انحصاری Stuxnet که موجب تغییر برنامه‌های کنترلی سانتریفیوژها شد
اثرات: تخریب فیزیکی گسترده سانتریفیوژها (حدود یک‌پنجم آن‌ها) و ایجاد وقفه در چرخه هسته‌ای ایران.
1
روند تکامل APTها در دهه اخیر
در سال‌های اخیر، گروه‌های APT ایرانی از مرحله استفاده از بدافزارهای ساده و حملات ابتدایی به تاکتیک‌های پیچیده و چندمرحله‌ای تبدیل شده‌اند. به‌ویژه پس از حمله استاکس‌نت (۲۰۱۰) به تأسیسات هسته‌ای ایران که نشان داد درگیری سایبری می‌تواند اثر فیزیکی داشته باشد، تهران سرمایه‌گذاری عظیمی در توسعه توانمندی‌های سایبری کرد. با گذشت یک دهه، همگام با رقبا (روسیه/چین)، تهدیدگران ایرانی بر انعطاف‌پذیری و خودکارسازی کار خود افزوده‌اند. به‌عنوان مثال، ابزارهایی چون بدافزارهای روز-صفر پیشرفته، فعالیت‌های پنهان (fileless)، و استفاده از پلتفرم‌های ابری برای پایداری در شبکه مشاهده شده‌است.
تغییر تکنیک‌ها: در گذشته غالب APTها به spear-phishing و بدافزارهای عمومی متکی بودند، اما اکنون حملات پیچیده‌تر شده است. گروه‌هایی مانند Tortoiseshell به حملات زنجیره تأمین روی آورده‌اند (نفوذ به تأمین‌کنندگان فناوری برای دسترسی به شبکه‌های مشتریان). همچنین، بهره‌برداری از آسیب‌پذیری‌های شناخته‌شده (مانند حملات ProxyShell روی Exchange) جایگزین برخی عملیات هدف‌مند خاص شده است. سازمان CISA و FBI هم هشدار داده‌اند APTهای ایرانی بیشتر به جای هدف‌گیری بخش خاص، عمدتاً از رخنه‌های عمومی استفاده می‌کنند و سپس از دسترسی به روش‌هایی چون Credential Access، Lateral Movement و حتی Ransomware‌های «living-off-the-land» برای تحمیل خسارت استفاده می‌کنند.
صنایع هدف: اولویت اصلی این APTها حوزه‌های امنیتی، انرژی و اطلاعاتی است. طبق گزارش‌ها، حملات APT ایرانی دولت‌ها، صنایع نفت و گاز، پتروشیمی و زیرساخت‌های حیاتی (تأمین برق، بهداشت، حمل‌ونقل) را هدف قرار داده‌اند. به‌ویژه می‌توان به هدف‌گیری صنعت دفاعی و فضایی توسط APT33، شرکت‌های دولتی و بانک‌ها توسط APT34، و مخابرات و حمل‌ونقل (برای ردیابی افراد) توسط APT39 اشاره کرد. اخیراً نیز حوزه سلامت و خدمات عمومی در آمریکا و استرالیا در تیررس این حملات قرار گرفته است. در مجموع، دولت، صنایع انرژی (نفت/هسته‌ای)، گردشگری/مخابرات (داده‌های شهری)، و بخش مالی-فناوری بیشترین «جاذبه اطلاعاتی» را برای این گروه‌ها دارند.
1
رتبه‌بندی حملات از نظر اهمیت
۱. Stuxnet (۲۰۱۰): احتمالاً مهم‌ترین حمله سایبری تاریخی علیه ایران با تأثیر فیزیکی گسترده (نابودی سانتریفیوژها).
۲. Flame (۲۰۱۲): مجموعه‌بدافزاری پیچیده جاسوسی که عمدتاً در ایران و خاورمیانه شناسایی شد و اطلاعات حساسی را جمع‌آوری کرد.
۳. APT35 (Charming Kitten/Phosphorus): به علت دامنه جهانی عملیات جاسوسی (مخالفان سیاسی و اندیشکده‌ها در آمریکا و اروپا) و اقدامات متقابل بین‌المللی (مسدودسازی دامنه‌های فیشینگ توسط مایکروسافت) اهمیت بالایی دارد.
۴. APT33/34 (Elfin/OilRig): حملات گسترده به صنایع هوافضا، انرژی و دولتی منطقه که سرقت مالکیت فکری و شناسایی زیرساخت‌ها را هدف قرار داده‌اند.
۵. سایر عملیات بزرگ: از جمله حملات زنجیره‌ای Tortoiseshell به زیرساخت‌های انرژی و دفاع، کمپین‌های گسترده MuddyWater در خاورمیانه و اروپا، و رخدادهای موسوم به Hack-and-Leak (افشای اطلاعات با انگیزه سیاسی) توسط گروه‌هایی مانند Moses Staff. هرچند حجم حملات کمتری نسبت به موارد فوق دارند، اما به دلیل هدف‌گیری حیاتی و همگامی با منافع امنیتی، در سطح جهانی قابل توجه هستند.
منابع: بررسی‌های CISA، گزارش‌های Threat Intelligence شرکت‌ها (Mandiant, Microsoft, CrowdStrike)، و منابع تحقیقاتی مستقل که بالا ذکر شد. کلیه اطلاعات فنی و جزییّات فوق بر پایه اسناد و تحلیل‌های مستند استخراج شده است.
1
Stuxnet 2010:
1) آغاز توسعه (حدود 2005–2007)
بر اساس تحلیل‌های مهندسی معکوس (خصوصاً Symantec و Kaspersky)، توسعه Stuxnet احتمالاً از میانه دهه 2000 (حدود 2005 یا 2006) شروع شده.
این فاز شامل:
طراحی payload برای PLCهای Siemens S7
توسعه rootkit در سطح kernel ویندوز
طراحی exploitهای Zero-Day متعدد (حداقل 4 تا 5 آسیب‌پذیری Zero-Day)
📌 نکته فنی:
استاکس‌نت یکی از اولین malwareهای شناخته‌شده با multi-zero-day weaponization در سطح APT دولتی است.
2) فاز تست و آماده‌سازی عملیاتی (2007–2009)
در این دوره، نمونه‌های اولیه احتمالاً در محیط‌های کنترل‌شده صنعتی (ICS testbeds) آزمایش شدند.
برخی شواهد نشان می‌دهد که:
رفتارهای مرتبط با PLC manipulation در محیط‌های شبیه‌سازی‌شده Siemens بررسی شده
نسخه‌های اولیه از طریق USB propagation طراحی شده بودند (air-gapped network bypass)
📌 نکته مهم:
هیچ شواهد عمومی قطعی وجود ندارد که “نطنز در 2009 آلوده شد”؛ اما بر اساس تحلیل‌های بعدی، آلودگی می‌تواند از 2007 تا 2009 رخ داده باشد.
3) استقرار در نطنز (احتمالاً 2007–2009، کشف بعدی)
هدف اصلی: تأسیسات غنی‌سازی اورانیوم نطنز
روش نفوذ:
USB worm propagation (به دلیل air-gap بودن شبکه)
استفاده از سیستم‌های پیمانکار یا زنجیره تأمین انسانی (supply chain human vector)
payload:
دستکاری سرعت centrifugeها (IR-1 centrifuges)
ایجاد “physical degradation” بدون هشدار اپراتور
📌 تکنیک MITRE ATT&CK:
T1091 (Replication Through Removable Media)
T1204 (User Execution)
T1490 (Inhibit System Recovery)
ICS-specific manipulation (T0831 / T0855)
4) کشف عمومی (2010)
در ژوئن 2010 توسط VirusBlokAda کشف شد
سپس تحلیل گسترده توسط:
Symantec
Kaspersky
Microsoft
CISA / ICS-CERT
3
VOID pinned «نمونه‌های برجسته APT مرتبط با ایران»
مرکز اصلی حملات APT
روسیه،کره شمالی، ایران،چین
هستن
واقعا حملاتی که توسط این چهار کشور انجام شده مهندسی شده و دقیق هست
هیچکس نمی دونه شاید همین الان هم هزاران حمله در حال عملیاتی شدن باشه
dwell time
3
یک سوءتفاهم خطرناک وجود دارد.

بعضی‌ها تصور می‌کنند اگر روزی یک عملیات APT علیه زیرساخت‌های کشور انجام شود، مهاجم مستقیماً سراغ حساس‌ترین مراکز خواهد رفت.

اما واقعیت دنیای حملات پیشرفته چیز دیگری است.

مهاجم حرفه‌ای از جایی وارد می‌شود که کمترین توجه امنیتی روی آن وجود دارد.

از یک شعبه فراموش‌شده.
از یک پیمانکار.
از یک لینک ارتباطی قدیمی.
از یک تجهیز Edge که ماه‌ها یا سال‌ها به‌روزرسانی نشده است.

تاریخ امنیت سایبری بارها ثابت کرده که نفوذهای بزرگ معمولاً از ضعیف‌ترین حلقه زنجیره آغاز می‌شوند، نه از قوی‌ترین.

نگرانی اصلی وجود یک آسیب‌پذیری نیست.

نگرانی اصلی این است که بسیاری از سازمان‌ها حتی تصویر دقیقی از سطح حمله (Attack Surface) خود ندارند.

APTها برای ایجاد سر و صدا وارد شبکه نمی‌شوند.

آن‌ها وارد می‌شوند تا دیده نشوند.

ماه‌ها حضور پیدا می‌کنند.
اعتبارنامه جمع‌آوری می‌کنند.
دسترسی‌ها را گسترش می‌دهند.
نقشه شبکه را ترسیم می‌کنند.
و زمانی شناسایی می‌شوند که بخش مهمی از مأموریت خود را انجام داده‌اند.

سؤال واقعی این نیست که «آیا هدف حمله هستیم یا نه؟»

سؤال واقعی این است:

اگر همین حالا یک مهاجم سطح دولت-ملت در بخشی از زیرساخت حضور داشته باشد، چه کسی متوجه خواهد شد؟

یک ساعت بعد؟

یک هفته بعد؟

یا چند ماه یا چندسال بعد؟


سکوت شبکه الزاماً نشانه امنیت نیست.

گاهی فقط نشانه این است که هنوز کسی ردپاها را پیدا نکرده است
من از سکوت بیشتر ترس دارم .
3
Forwarded from Ping Channel (علی کیائی‌فر)
📝اطلاعیه فرماندهی سایبری کشور درباره اختلال در خدمات کارت‌محور بانکی
⬛️در پی رصد و بررسی‌های فنی صورت‌گرفته در مرکز فرماندهی سایبری، مشخص شد اختلال ایجادشده در سامانه‌های کارت‌محور برخی بانک‌ها از جمله بانک‌های ملی، صادرات و تجارت ناشی از یک حمله سایبری هدفمند به زیرساخت‌های مرتبط بوده است.
⬛️بر اساس ارزیابی‌های اولیه، این حمله با هدف ایجاد اختلال در ارائه خدمات بانکی انجام شده و بلافاصله پس از شناسایی، اقدامات دفاعی و حفاظتی در سطح شبکه‌های بانکی و سامانه‌های پردازش تراکنش فعال گردید. در همین راستا و به‌منظور جلوگیری از هرگونه سوءاستفاده احتمالی و حفظ امنیت داده‌ها و دارایی‌های مشتریان، بخشی از خدمات مبتنی بر کارت به‌صورت موقت از دسترس خارج شده است.
⬛️تیم‌های تخصصی امنیت سایبری، کارشناسان زیرساخت و مراکز عملیات امنیت در حال پایش لحظه‌ای سامانه‌ها و رفع آثار این حمله هستند و فرآیند بازگردانی کامل خدمات با بالاترین سطح ایمنی در حال انجام است.
⬛️فرماندهی سایبری کشور ضمن اطمینان‌بخشی به شهروندان اعلام می‌کند امنیت داده‌ها و دارایی‌های بانکی مردم در اولویت کامل قرار دارد و هرگونه اقدام مخرب در فضای سایبری با رصد، مقابله و پیگیری تخصصی مواجه خواهد شد.
⬛️از شهروندان گرامی درخواست می‌شود اخبار و اطلاعیه‌های تکمیلی را صرفاً از طریق مراجع رسمی دنبال کنند.
#مرکز_ملی‌_فضای‌مجازی

✈️@PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🅰️🅰️🅰️🅰️
Please open Telegram to view this post
VIEW IN TELEGRAM
3
Media is too big
VIEW IN TELEGRAM
∆ Join VOID
3