Mr. Nothing
نمونههای برجسته APT مرتبط با ایران
APT34 (OilRig/Helix Kitten): گروهی ایرانی وابسته به وزارت اطلاعات یا نهادهای دولتی، شناساییشده از ۲۰۱۴. ماموریت اصلیش جاسوسی سایبری و شناسایی زیرساختهای منطقهای علیه منافع ایران است. روش نفوذ: ترکیبی از سازوکار فیشینگ هدفمند (معمولاً ایمیل با اسناد دارای ماکرو مخرب) و بهرهبرداری از آسیبپذیریهای نرمافزاری (مانند CVE-2017-11882، CVE-2017-0199). ابزارهای شناختهشده APT34 شامل اسکریپتهای PowerShell سفارشی (POWRUNER)، بدافزارهای دانلودر مبتنی بر DGA (BONDUPDATER) و ویروسهای جابجایی رخنه (POWBAT) است. نمونه حملات: هک چندین سازمان دولتی و مالی در خاورمیانه از سال ۲۰۱۶ به بعد؛ برای مثال حمله فیشینگ به بانکهای منطقه که بدافزار POWBAT را پخش کرد. اثرات: دسترسی طولانیمدت به شبکه قربانیان برای جمعآوری اطلاعات محرمانه (اسناد دولتی، طرحهای زیربنایی)، ایجاد پایه برای اقدامات بعدی (مانند کشف نفوذهای فرعی در انرژی و مخابرات). ایران بهعنوان منبع اصلی این گروه شناسایی شده است (بنا بر نشانههایی مانند ارجاعهای زیرساختی به آدرسهای ایران).
کشور/گروه منتسب: جمهوری اسلامی ایران (بخش اطلاعات وزارت اطلاعات یا IRGC)
اهداف: جاسوسی سایبری و شناسایی اطلاعات در صنایع مالی، انرژی، مخابرات و دولتی منطقه
روشهای نفوذ: حملات spear-phishing با پیوستهای مخرب، استفاده از اکسپلویتهای Office (مثلاً CVE-2017-11882)، استقرار backdoorهای PowerShell (POWRUNER) و ابزارهایی مانند BONDUPDATER/DGA برای پایداری
نمونه حملات: کمپین فیشینگ بانکها و سازمانهای منطقهای (بدافزار POWBAT)، حمله همزمان به سازمانهای خاورمیانه با فایلهای .rtf حاوی اکسپلویتهای Office
اثرات: نفوذ عمیق در شبکهها و جمعآوری اطلاعات مالی/دولتی، ایجاد امکان ادامه جاسوسی و مانور در زیرساختهای حساس
کشور/گروه منتسب: جمهوری اسلامی ایران (بخش اطلاعات وزارت اطلاعات یا IRGC)
اهداف: جاسوسی سایبری و شناسایی اطلاعات در صنایع مالی، انرژی، مخابرات و دولتی منطقه
روشهای نفوذ: حملات spear-phishing با پیوستهای مخرب، استفاده از اکسپلویتهای Office (مثلاً CVE-2017-11882)، استقرار backdoorهای PowerShell (POWRUNER) و ابزارهایی مانند BONDUPDATER/DGA برای پایداری
نمونه حملات: کمپین فیشینگ بانکها و سازمانهای منطقهای (بدافزار POWBAT)، حمله همزمان به سازمانهای خاورمیانه با فایلهای .rtf حاوی اکسپلویتهای Office
اثرات: نفوذ عمیق در شبکهها و جمعآوری اطلاعات مالی/دولتی، ایجاد امکان ادامه جاسوسی و مانور در زیرساختهای حساس
❤1
Mr. Nothing
نمونههای برجسته APT مرتبط با ایران
APT35 (Charming Kitten / Phosphorus / Mint Sandstorm): گروه شاخص ایرانی (وابسته به سازمان اطلاعات سپاه IRGC-IO) فعال از حدود ۲۰۱۳. اصلیترین اهدافش «جمعآوری اطلاعات» از مخالفان رژیم، دیپلماتها، روزنامهنگاران و نیروهای امنیتی است. روش نفوذ: فیشینگ پیچیده و مهندسی اجتماعی. اپراتورها با ایجاد هویتهای جعلی (مانند خبرنگار یا پژوهشگر) ارتباط طولانیمدت برقرار کرده و اطلاعات هویتی و دسترسی قربانیان را میدزدند. ابزارهای این گروه شامل کیلاگرها و بدافزارهای سرقت اطلاعات و نسخههای بدافزار رمزگذار (ویپرسالاری نبوده و معمولاً بدون درخواست باج) است. Storm-0270 (DEV-0270/Nemesis Kitten) که گاهی همراه APT35 ذکر میشود، زیرمجموعهای است که حملات رمزارز-مانند (living off the land) علیه سازمانهای کوچک را انجام میدهد. اثرات: افشای گسترده ایمیلها و دادههای محرمانه فعالان و محققان (از جمله تسلیم اجباری IP و نشستهای ویدئویی)، تأثیر بر جریانهای سیاسی و کنترل سرمایههای فکری. مایکروسافت متوجه فعالیت شدید این گروه شد و در سال ۲۰۲۳ صدها دامنه فیشینگ را توقیف کرد.
کشور/گروه منتسب: جمهوری اسلامی ایران (سازمان اطلاعات سپاه پاسداران)
اهداف: جاسوسی اطلاعاتی و سیاسی – هدف قرار دادن مخالفان سیاسی، محققان حقوق بشر، دیپلماتها و بنگاههای دفاعی و زیربنایی
روشهای نفوذ: مهندسی اجتماعی (ساخت هویتهای فیشینگ در شبکههای اجتماعی)، سرقت اعتبارنامه (credential harvesting)، ایمیلهای فیشینگ پیچیده، استفاده از بدافزارهای سرقت اطلاعات و کیلاگر
نمونه حملات: کمپینهای هک حسابهای ایمیل فعالان و دانشگاهیان، ارسال بدافزارهای قالبگیریشده در اسناد Word/Excel؛ عملیات سپر-۰۲۷۰ با سوءاستفاده از ابزارهای قانونی ویندوز (BitLocker) برای قفلکردن فایلها
اثرات: نفوذ به محتوای شخصی و سازمانی معارضان، اختلال در جریان اطلاعات رسانهای و آکادمیک، و افزایش احتیاط در جمعآوری دادهها؛ همچنین بخشی از پرونده حملات رمزارز مرموز علیه مؤسسات کوچک آمریکا
کشور/گروه منتسب: جمهوری اسلامی ایران (سازمان اطلاعات سپاه پاسداران)
اهداف: جاسوسی اطلاعاتی و سیاسی – هدف قرار دادن مخالفان سیاسی، محققان حقوق بشر، دیپلماتها و بنگاههای دفاعی و زیربنایی
روشهای نفوذ: مهندسی اجتماعی (ساخت هویتهای فیشینگ در شبکههای اجتماعی)، سرقت اعتبارنامه (credential harvesting)، ایمیلهای فیشینگ پیچیده، استفاده از بدافزارهای سرقت اطلاعات و کیلاگر
نمونه حملات: کمپینهای هک حسابهای ایمیل فعالان و دانشگاهیان، ارسال بدافزارهای قالبگیریشده در اسناد Word/Excel؛ عملیات سپر-۰۲۷۰ با سوءاستفاده از ابزارهای قانونی ویندوز (BitLocker) برای قفلکردن فایلها
اثرات: نفوذ به محتوای شخصی و سازمانی معارضان، اختلال در جریان اطلاعات رسانهای و آکادمیک، و افزایش احتیاط در جمعآوری دادهها؛ همچنین بخشی از پرونده حملات رمزارز مرموز علیه مؤسسات کوچک آمریکا
❤1
Mr. Nothing
نمونههای برجسته APT مرتبط با ایران
APT39 (Chafer/Remix Kitten): گروه جاسوسی سایبری ایرانی (وابسته به وزارت اطلاعات – MOIS) که از حدود ۲۰۱۴ فعال است. اهداف آن عمدتاً «اطلاعات شخصی» اقوام و مسافران (سوابق بلیت هواپیما، کارت اعتباری، جزئیات مخابراتی) است تا توانمندسازی ردیابی فیزیکی افراد مورد نظر (معترضان، روزنامهنگاران) فراهم شود. روش نفوذ: حملات Spear-phishing و بدافزارهای موبایل. مهاجمان با نفوذ به سازمانهای دارای پایگاه دادههای مسافرت و ارتباطات (هواپیمایی، شرکتهای گردشگری و مخابرات) از طریق ایمیلهای هدفمند و تروجانهای اندرویدی، اطلاعات شخصی را استخراج میکنند. برخلاف APTهای دیگر، تمرکز APT39 کمتر بر اهداف نظامی/اقتصادی است و بیشتر روی سیستمهای «ردیابی افراد» تمرکز دارد. اثرات: ایجاد زیرساخت جاسوسی گسترده برای نظارت بر رفتوآمد فعالان و مهاجران ایرانی؛ نفوذ در سیستمهای هتلها و خطوط هوایی که منجر به دسترسی به مسیرهای مسافرتی و سوابق ارتباطی میشود.
کشور/گروه منتسب: جمهوری اسلامی ایران (وزارت اطلاعات – MOIS)
اهداف: جمعآوری اطلاعات شخصی (مسافرتی، هویتی، مکالمات) افراد موردنظر برای مانیتورینگ و ردیابی آنها
روشهای نفوذ: spear-phishing ایمیلی با ضمیمههای مخرب، استقرار بدافزارهای مخصوص موبایل (اندرویدی) و ابزارهای سرقت اطلاعات؛ بهره از آسیبپذیریهای عمومی برای نفوذ به سیستمهای مسافرت/مخابرات
نمونه حملات: نفوذ به شرکتهای هواپیمایی، آژانسهای مسافرت و اپراتورهای مخابراتی در خاورمیانه و اروپا (حملههایی که منجر به دزدیدن جزئیات پروازها و CDR تلفن شد)
اثرات: توانایی دنبالکردن فیزیکی و اطلاعاتی افراد (بهویژه مخالفان و اعضای دیاسپورا) از طریق دادههای بدستآمده؛ بیاعتمادی قربانیان به امنیت دادهها و افزایش اقدامات حفاظتی در بخش حملونقل و مخابرات.
کشور/گروه منتسب: جمهوری اسلامی ایران (وزارت اطلاعات – MOIS)
اهداف: جمعآوری اطلاعات شخصی (مسافرتی، هویتی، مکالمات) افراد موردنظر برای مانیتورینگ و ردیابی آنها
روشهای نفوذ: spear-phishing ایمیلی با ضمیمههای مخرب، استقرار بدافزارهای مخصوص موبایل (اندرویدی) و ابزارهای سرقت اطلاعات؛ بهره از آسیبپذیریهای عمومی برای نفوذ به سیستمهای مسافرت/مخابرات
نمونه حملات: نفوذ به شرکتهای هواپیمایی، آژانسهای مسافرت و اپراتورهای مخابراتی در خاورمیانه و اروپا (حملههایی که منجر به دزدیدن جزئیات پروازها و CDR تلفن شد)
اثرات: توانایی دنبالکردن فیزیکی و اطلاعاتی افراد (بهویژه مخالفان و اعضای دیاسپورا) از طریق دادههای بدستآمده؛ بیاعتمادی قربانیان به امنیت دادهها و افزایش اقدامات حفاظتی در بخش حملونقل و مخابرات.
❤1
Mr. Nothing
نمونههای برجسته APT مرتبط با ایران
APT42 (Crooked Charms / TA453): گروه جاسوسی ایرانی وابسته به سپاه (IRGC-IO) که از سال ۲۰۱۵ شناسایی شده است. مأموریت آن جمعآوری اطلاعات استراتژیک و نظارت بر افراد و سازمانهای مهم برای حکومت ایران؛ اهداف شامل نهادهای مخالف در کشورهای غربی، پژوهشگران علمی و فعالان حقوق بشر بود. روش نفوذ: فیشینگ بسیار هدفمند؛ به ویژه ایمیلهای مهندسی اجتماعی که قربانی را قانع به افشای رمز عبور میکند، و بدافزارهای موبایلی جاسوسی. عمده عملیات را credential harvesting تشکیل میدهد (سرقت MFA، کراک حسابهای ایمیل). چندین ابزار سفارشی و روتکیتهای اندروید برای جاسوسی بر روی دستگاههای شخصی استفاده میشود. اثرات: نفوذ به ایمیلهای شخصی مقامات غربی و اعضای جامعه ایرانی خارج از کشور؛ امکان نظارت بر ارتباطات داخلی آنها و جمعآوری اطلاعات محرمانه. این گروه انعطافپذیری بالایی دارد (مثلاً به سرعت به موضوع پاندمی کرونا روی آورد تا اطلاعات دارویی را سرقت کند).
کشور/گروه منتسب: جمهوری اسلامی ایران (سپاه IRGC – سازمان اطلاعات)
اهداف: جاسوسی و نظارت اطلاعاتی – هدفگیری فعالان، پژوهشگران، مقامات سابق و اعضای جامعه ایرانی خارج از کشور
روشهای نفوذ: spear-phishing بسیار هوشمندانه (ساخت روابط طولانیمدت با قربانی)، مهاجرت به حسابهای کاربری از طریق حملات credential harvesting و استفاده از بدافزارهای اندروید برای کنترل تلفن همراه
نمونه حملات: صدها عملیات تاییدشده از سال ۲۰۱۵ تا ۲۰۲۲؛ نفوذ به حسابهای شخصی ایمیل و نصب تروجان موبایل برای ردیابی؛ تغییر تمرکز عملیات با تغییر اولویتهای ایران (مثلاً هدف قرار دادن شرکتهای دارویی در اوایل کرونا)
اثرات: درز دادههای شخصی و شرکتی مربوط به اهداف معاند، از جمله محل فیزیکی و محتوای پیامهای آنها؛ امکان جاسوسی مضاعف بر روی شبکههای دولتی از طریق حسابهای آلوده.
کشور/گروه منتسب: جمهوری اسلامی ایران (سپاه IRGC – سازمان اطلاعات)
اهداف: جاسوسی و نظارت اطلاعاتی – هدفگیری فعالان، پژوهشگران، مقامات سابق و اعضای جامعه ایرانی خارج از کشور
روشهای نفوذ: spear-phishing بسیار هوشمندانه (ساخت روابط طولانیمدت با قربانی)، مهاجرت به حسابهای کاربری از طریق حملات credential harvesting و استفاده از بدافزارهای اندروید برای کنترل تلفن همراه
نمونه حملات: صدها عملیات تاییدشده از سال ۲۰۱۵ تا ۲۰۲۲؛ نفوذ به حسابهای شخصی ایمیل و نصب تروجان موبایل برای ردیابی؛ تغییر تمرکز عملیات با تغییر اولویتهای ایران (مثلاً هدف قرار دادن شرکتهای دارویی در اوایل کرونا)
اثرات: درز دادههای شخصی و شرکتی مربوط به اهداف معاند، از جمله محل فیزیکی و محتوای پیامهای آنها؛ امکان جاسوسی مضاعف بر روی شبکههای دولتی از طریق حسابهای آلوده.
❤1
Mr. Nothing
نمونههای برجسته APT مرتبط با ایران
Rampant Kitten: گروهی ایرانی (احتمالاً وابسته به IRGC) با فعالیت از حدود ۲۰۱۴. مأموریت اصلی آن جاسوسی و افشای اطلاعات مخالفان حکومتی و اقلیتهای تحتپیگرد است. روش نفوذ: استفاده از بدافزارهای سرقت اطلاعات (Information Stealer) که دادههای برنامههای مدیریت گذرواژه (مانند KeePass) و پیامهای تلگرام را میدزدند، همراه با صفحات فیشینگ پیشرفته. حتی برای دورزدن احراز هویت دو عاملی، بدافزارهای اندرویدی برای استخراج کدهای MFA بهکار میرود. نمونه حملات: کمپینهایی که با جعل صفحات ورود جعلی و بدافزار اندروید یکشبهای، رمزهای عبور تلفن همراه و پیامها را سرقت کردند؛ کارکرد اندروید trojan برای گرفتن کد دو مرحلهای. اثرات: درز اسناد شخصی و پیامهای خصوصی فعالان، ایجاد فشار امنیتی و روانی بر گروههای مخالف، اختلال در فعالیت شبکهای و افزایش خودسانسوری در میان شهروندان معترض.
کشور/گروه منتسب: جمهوری اسلامی ایران (احتمالاً سپاه پاسداران)
اهداف: جاسوسی اطلاعاتی و افشای اطلاعات مخالفان داخلی، بهویژه اقلیتهای قومی و دینی، برای سرکوب سیاسی
روشهای نفوذ: بدافزارهای استیلر پیشرفته برای سرقت اطلاعات ورود (از جمله از KeePass)، حملات فیشینگ با صفحاتی شبیهسازیشده، هک دو مرحلهای (بهرهبرداری از رمز دوم)
نمونه حملات: بهکارگیری نرمافزار اندرویدی مخرب برای دزدیدن کدهای SMS 2FA و اطلاعات لوکال، ارسال هرزنامههای هدفمند با بدافزار Dharma علیه بخشی از کاربران
اثرات: به دستآوردن اطلاعات حساس شخصیتها، ایجاد ترس و دسیسهسازی خبری علیه اپوزیسیون (دکمه منتشر کردن اسناد بهعنوان ابزار فشاری)، لطمه به ارتباطات خصوصی جامعه مدنی.
کشور/گروه منتسب: جمهوری اسلامی ایران (احتمالاً سپاه پاسداران)
اهداف: جاسوسی اطلاعاتی و افشای اطلاعات مخالفان داخلی، بهویژه اقلیتهای قومی و دینی، برای سرکوب سیاسی
روشهای نفوذ: بدافزارهای استیلر پیشرفته برای سرقت اطلاعات ورود (از جمله از KeePass)، حملات فیشینگ با صفحاتی شبیهسازیشده، هک دو مرحلهای (بهرهبرداری از رمز دوم)
نمونه حملات: بهکارگیری نرمافزار اندرویدی مخرب برای دزدیدن کدهای SMS 2FA و اطلاعات لوکال، ارسال هرزنامههای هدفمند با بدافزار Dharma علیه بخشی از کاربران
اثرات: به دستآوردن اطلاعات حساس شخصیتها، ایجاد ترس و دسیسهسازی خبری علیه اپوزیسیون (دکمه منتشر کردن اسناد بهعنوان ابزار فشاری)، لطمه به ارتباطات خصوصی جامعه مدنی.
❤1
Pioneer Kitten (Parisite/Fox Kitten): گروه ایرانی که در اکسپلویتکردن آسیبپذیریهای زیرساخت لبه شبکه تخصص دارد. عمدتاً در سالهای اخیر ظاهر شده و هدفش دسترسی اولیه به شبکههای سازمانی با استفاده از حفرههای امنیتی در VPNها، گیتویهای Citrix، سرورهای RDP و سرویسهای از راه دور بوده است. روش نفوذ: بهرهجویی از آسیبپذیریهای شناختهشده (مانند CVE-2018-13379 در Fortinet و CVE-2019-11510 در Citrix) و استقرار وبشل یا backdoor. پس از نفوذ، ابزارهای متنباز (مانند SSH تَنل و Mimikatz) برای گسترش نفوذ و ارتقای سطح دسترسی استفاده میشود. این گروه همچنین پس از نفوذ، دسترسیهای خود را میفروشد یا با گروههای دیگر به اشتراک میگذارد و نقشی مهم در زنجیره حملات پیچیدهتر ایفا میکند. اثرات: ایجاد درب پشتی گسترده به زیرساختهای حملونقل، بهداشت و دفاع در منطقه، بهگونهای که میتواند مورد استفاده گروههای دیگر نیز قرار گیرد.
کشور/گروه منتسب: جمهوری اسلامی ایران (جاسوسافزار وابسته به IRGC)
اهداف: نفوذ به زیرساختهای تکنولوژیک حیاتی (سرورهای VPN/Citrix/Remote Desktop) و فراهمکردن دسترسی دائم به شبکههای هدف
روشهای نفوذ: سوءاستفاده از آسیبپذیریهای شناختهشده روی تجهیزات لبه (مثل VPN)، استقرار وبشل، استفاده از ابزار متنباز (SSH تَنل، Mimikatz) برای حفظ دسترسی
نمونه حملات: کمپینهای حمله به شبکههای دولتی و بهداشتی که از exploit گیتویهای Forti/Citrix استفاده کردند؛ گزارش شده دسترسی حاصلشده در شبکههای شرکتی مختلف در اسراییل، امریکا و خاورمیانه.
اثرات: تأسیس دسترسیهای ریشهای (Persistence) در شبکه قربانی، امکان گسترش حملات جاسوسی یا خرابکارانه توسط گروههای وابسته، فروش دسترسی به سایر واحدهای اطلاعاتی.
کشور/گروه منتسب: جمهوری اسلامی ایران (جاسوسافزار وابسته به IRGC)
اهداف: نفوذ به زیرساختهای تکنولوژیک حیاتی (سرورهای VPN/Citrix/Remote Desktop) و فراهمکردن دسترسی دائم به شبکههای هدف
روشهای نفوذ: سوءاستفاده از آسیبپذیریهای شناختهشده روی تجهیزات لبه (مثل VPN)، استقرار وبشل، استفاده از ابزار متنباز (SSH تَنل، Mimikatz) برای حفظ دسترسی
نمونه حملات: کمپینهای حمله به شبکههای دولتی و بهداشتی که از exploit گیتویهای Forti/Citrix استفاده کردند؛ گزارش شده دسترسی حاصلشده در شبکههای شرکتی مختلف در اسراییل، امریکا و خاورمیانه.
اثرات: تأسیس دسترسیهای ریشهای (Persistence) در شبکه قربانی، امکان گسترش حملات جاسوسی یا خرابکارانه توسط گروههای وابسته، فروش دسترسی به سایر واحدهای اطلاعاتی.
❤1
Mr. Nothing
نمونههای برجسته APT مرتبط با ایران
Static Kitten (MuddyWater/Seedworm): یک گروه جاسوسی زیر نظر وزارت اطلاعات ایران که از حدود ۲۰۱۷ فعال است. این گروه به صورت مداوم ابزارهای خود را ارتقا داده و تقریباً در تمام مناطق خاورمیانه و حتی اروپا هدف قرار گرفته است. اهداف: جمعآوری اطلاعات از نهادهای دولتی، صنایع مخابرات و گردشگری (سازمانهای حملونقل و گردشگری، دولتها و شرکتهای مخابراتی). روش نفوذ: spear-phishing ایمیلی با فایلهای پیوست مخرب (مانند اسناد PDF یا لینکها)، استفاده از ابزارهای مدیریت از راه دور (RMM) قانونی برای تثبیت دسترسی، و گاهی بهکارگیری بدافزارهای سفارشی Powershell (مثلاً PowerStats, PowGoop) برای گسترش. پس از نفوذ اولیه، مجوزهای محلی بالا برده شده و از حسابهای ایمیل هکشده برای حملات بعدی بهره میبرند. اثرات: سرقت مقادیر زیادی از اطلاعات دولتی و صنعتی؛ کمپین Olalampo (۲۰۲۶) نشان داد که ممکن است ابزارهای مخابراتی جدید (مثل بات تلگرام) هم برای کنترل سیستمها بهکار رود. این گروه گاهی برای پنهان ماندن، از بدافزارهای عمومی مانند ransomware یا بدافزارهای DGA (مثل Tsundere) بهره میگیرد.
کشور/گروه منتسب: جمهوری اسلامی ایران (وزارت اطلاعات MOIS)
اهداف: جاسوسی سایبری گسترده – اهداف دولتها، صنایع مخابرات، گردشگری و ساختارهای خدمتی در خاورمیانه و فراتر
روشهای نفوذ: حملات spear-phishing با پیوستهای مخرب یا لینک، سوءاستفاده از ابزارهای معتبر مدیریت از راه دور، استقرار web shell و بارگذاری بدافزار (بهویژه Powershell Trojan)
نمونه حملات: کمپینهای فیشینگ سازمانی در ایران و کشورهای همسایه، استفاده از ایمیلهای بهدستآمده برای حملات بعدی؛ در اوایل ۲۰۲۶، اولین استفاده شناختهشده از بات تلگرام بهعنوان کانال C2 توسط این گروه گزارش شد.
اثرات: نفوذ بلندمدت و گسترده به شبکه قربانیان، سرقت اطلاعات حساس دولتی و صنعتی، ایجاد اختلال در بخشهای مورد هدف و ارائه تجربیات جدید در TTPها (مانند ترکیب عملیات جاسوسی با ابزارهای سایبری عمومی).
کشور/گروه منتسب: جمهوری اسلامی ایران (وزارت اطلاعات MOIS)
اهداف: جاسوسی سایبری گسترده – اهداف دولتها، صنایع مخابرات، گردشگری و ساختارهای خدمتی در خاورمیانه و فراتر
روشهای نفوذ: حملات spear-phishing با پیوستهای مخرب یا لینک، سوءاستفاده از ابزارهای معتبر مدیریت از راه دور، استقرار web shell و بارگذاری بدافزار (بهویژه Powershell Trojan)
نمونه حملات: کمپینهای فیشینگ سازمانی در ایران و کشورهای همسایه، استفاده از ایمیلهای بهدستآمده برای حملات بعدی؛ در اوایل ۲۰۲۶، اولین استفاده شناختهشده از بات تلگرام بهعنوان کانال C2 توسط این گروه گزارش شد.
اثرات: نفوذ بلندمدت و گسترده به شبکه قربانیان، سرقت اطلاعات حساس دولتی و صنعتی، ایجاد اختلال در بخشهای مورد هدف و ارائه تجربیات جدید در TTPها (مانند ترکیب عملیات جاسوسی با ابزارهای سایبری عمومی).
❤1
Tortoiseshell (Imperial Kitten): گروهی ایرانی وابسته به سپاه که از ۲۰۱۸ فعالیت میکند. تخصص آن حملات زنجیره تأمین سایبری است؛ تمرکز روی فراهمکنندگان فناوری اطلاعات (IT) در صنایع دفاع و انرژی خاورمیانه دارد. روش نفوذ: ترکیبی از بدافزارهای سفارشی (مانند Syskit) و ابزارهای متداول، با هدف دستیابی به شبکههای تأمینکنندگان. پس از نفوذ اولیه، با داشتن دسترسی مدیریتی (domain admin) در سیستم ارائهدهنده، بهراحتی برای نفوذ به سازمانهای مشتری (که از خدمات آن استفاده میکنند) استفاده میشود. نمونه حملات: کمپین حمله به چند تأمینکننده شبکه در عربستان سعودی که منجر به کنترل دامنه قربانیان فرعی شده؛ برای مثال ساخت دامنههای بدافزاری که نرمافزار Syskit را بارگذاری میکردند. اثرات: زنجیره گستردهای از دسترسیهای مخفی در سازمانهای دفاعی و انرژی، که میتواند به سرقت دادههای حساس یا حملات پسین (مثلاً جاسوسی از مشتریان این ارائهدهندگان) منجر شود.
کشور/گروه منتسب: جمهوری اسلامی ایران (سپاه پاسداران، فرماندهی سایبری)
اهداف: نفوذ به زنجیره تأمین فناوری و سازمانهای زیرمجموعه (به ویژه شرکتهای ارائهدهنده خدمات IT در صنایع دفاع و انرژی)
روشهای نفوذ: استفاده از بدافزارهای سفارشی (مانند بارگذار Syskit) و ابزارهای عمومی، بهرهبرداری از ضعفهای ساختاری در سرورهای ارائهدهنده خدمات، حرکت جانبی سریع با صلاحیتهای بالا
نمونه حملات: نفوذ به چند ارائهدهنده شبکه در خاورمیانه (مانند حمله سال ۲۰۱۹ به یک شرکت فنآوری اطلاعات سعودی) که به کنترل دامنه و دسترسی مدیریتی در شبکههای مرتبط انجامید
اثرات: کسب دسترسی همزمان به مشتریان متعدد این سرویسدهندگان؛ پتانسیل تغییر کاربری زیرساختهای قربانی برای نفوذ به اهداف دیگر (مشتریان)، بهویژه در صنایع حساس.
کشور/گروه منتسب: جمهوری اسلامی ایران (سپاه پاسداران، فرماندهی سایبری)
اهداف: نفوذ به زنجیره تأمین فناوری و سازمانهای زیرمجموعه (به ویژه شرکتهای ارائهدهنده خدمات IT در صنایع دفاع و انرژی)
روشهای نفوذ: استفاده از بدافزارهای سفارشی (مانند بارگذار Syskit) و ابزارهای عمومی، بهرهبرداری از ضعفهای ساختاری در سرورهای ارائهدهنده خدمات، حرکت جانبی سریع با صلاحیتهای بالا
نمونه حملات: نفوذ به چند ارائهدهنده شبکه در خاورمیانه (مانند حمله سال ۲۰۱۹ به یک شرکت فنآوری اطلاعات سعودی) که به کنترل دامنه و دسترسی مدیریتی در شبکههای مرتبط انجامید
اثرات: کسب دسترسی همزمان به مشتریان متعدد این سرویسدهندگان؛ پتانسیل تغییر کاربری زیرساختهای قربانی برای نفوذ به اهداف دیگر (مشتریان)، بهویژه در صنایع حساس.
❤2
Mr. Nothing
نمونههای برجسته APT مرتبط با ایران
Moses Staff (گروه DEV-0500): گروهی هکری ایرانی که از سپتامبر ۲۰۲۱ گزارش شده و عمدتاً شرکتهای اسرائیلی را هدف میگیرد. این گروه خود را به عنوان مهاجمانی سیاسی معرفی کرده که با افشای گسترده اطلاعات حساس و رمزگذاری شبکههای قربانی (بدون اخذ باج) قصد «آسیبرساندن» به سازمانها را دارند. روش نفوذ: حملات سایبری نوین شامل نفوذ به زیرساختهای عمومی (مثلاً بهرهبرداری از Exchange Server)، انتشار وبشل و اسکریپتهای خودکار، و استفاده از بدافزارهای رمزگذاری سفارشی (مانند ابزار DiskCryptor). این گروه از روشهای پوشش (کدگذاری/رمزگذاری دادهها) استفاده میکند تا نشانهگذاری تحقیقات را دشوار سازد. نمونه حملات: چند حمله علیه شرکتهای صنعتی و خدماتی در اسرائیل و حتی کشورهای دیگر (ایتالیا، آمریکا)، شامل انتشار دستهای از فایلهای در اختیار عموم و رمزارز کردن درایوها. اثرات: اختلال عمده در عملیات شبکهای قربانیان و افشای اطلاعات محرمانه؛ اهمیت این حملات در نوع «جنگ اطلاعات» و انگیزش سیاسی آشکار است.
کشور/گروه منتسب: جمهوری اسلامی ایران (سپاه پاسداران / واحد سایبری ارتش)
اهداف: عملیات انتقامجویانه علیه نهادهای اسرائیلی و غیراسرائيلي (شرکتهای خصوصی و دولتی)، با انگیزه سیاسی/ایدئولوژیک
روشهای نفوذ: بهرهبرداری از آسیبپذیریهای عمومی (مانند سرورهای Exchange)، استقرار وبشل، بدافزارهای رمزگذاری سفارشی (DiskCryptor)، اسکریپتهای حذف یا قفلسازی داده بدون درخواست باج
نمونه حملات: حملات متعدد در ۲۰۲۱ تا کنون علیه بنگاههای اسرائیلی (امنیتی و مالی)، شامل سرقت دادههای محرمانه و انتشار آنها در شبکههای اجتماعی و رمزگذاری فایلها توسط بدافزارِ مشابه رانسومویر
اثرات: کاهش کارایی عملیاتی و افشای سازمانی قربانیان، ایجاد ترس و بیاعتمادی عمومی با انتشار اطلاعات محرمانه (جنگ روانی)، و بالا بردن تنش سیاسی از طریق عملیات سایبری آشکار.
کشور/گروه منتسب: جمهوری اسلامی ایران (سپاه پاسداران / واحد سایبری ارتش)
اهداف: عملیات انتقامجویانه علیه نهادهای اسرائیلی و غیراسرائيلي (شرکتهای خصوصی و دولتی)، با انگیزه سیاسی/ایدئولوژیک
روشهای نفوذ: بهرهبرداری از آسیبپذیریهای عمومی (مانند سرورهای Exchange)، استقرار وبشل، بدافزارهای رمزگذاری سفارشی (DiskCryptor)، اسکریپتهای حذف یا قفلسازی داده بدون درخواست باج
نمونه حملات: حملات متعدد در ۲۰۲۱ تا کنون علیه بنگاههای اسرائیلی (امنیتی و مالی)، شامل سرقت دادههای محرمانه و انتشار آنها در شبکههای اجتماعی و رمزگذاری فایلها توسط بدافزارِ مشابه رانسومویر
اثرات: کاهش کارایی عملیاتی و افشای سازمانی قربانیان، ایجاد ترس و بیاعتمادی عمومی با انتشار اطلاعات محرمانه (جنگ روانی)، و بالا بردن تنش سیاسی از طریق عملیات سایبری آشکار.
❤1
Mr. Nothing
نمونههای برجسته APT مرتبط با ایران
Stuxnet (عملیات Olympic Games): بدافزاری پیشرفته که در سال ۲۰۱۰ کشف شد و هدف آن تأسیسات غنیسازی هستهای ایران (کارخانه نطنز) بود. گرچه رسماً عامل آن اعلام نشد، منابع متعدد آمریکا و اسرائیل را مسئول این حمله میدانند. روش نفوذ: یک کرم کامپیوتری با سه جزء اصلی (پخشگری، payload و rootkit) بود که از طریق حافظهی USB وارد شبکههای حساس میشد. استاکسنت از چهار آسیبپذیری صفر-روز در ویندوز و کار با نرمافزار کنترل صنعتی Siemens Step7 بهره برد. پس از نفوذ، Stuxnet برنامههای PLC کنترلکننده ماشینهای سانتریفیوژ را تغییر میداد تا سرعت غیرطبیعی ایجاد کند و در نتیجه سبب تخریب آنها شود. اثرات: تقریبا ۲۰٪ از سانتریفیوژهای ایران نابود شد و خسارت اقتصادی و تأخیر قابلتوجهی به برنامه هستهای این کشور وارد آمد. این عملیات، اولین مورد از حملات سایبری با تأثیر فیزیکی گسترده شناختهشده است.
کشور/گروه منتسب: ایالات متحده و اسرائیل (بر اساس گزارشهای مستقل)
اهداف: خرابکاری صنعتی در برنامه هستهای ایران (کارخانه غنیسازی نطنز)
روشهای نفوذ: استفاده از چهار آسیبپذیری صفر-روز ویندوز، انتشار کرم از طریق حافظه USB، مخفیسازی rootkit برای نفوذ به PLCهای زیمنس
نمونه حملات: ویروس انحصاری Stuxnet که موجب تغییر برنامههای کنترلی سانتریفیوژها شد
اثرات: تخریب فیزیکی گسترده سانتریفیوژها (حدود یکپنجم آنها) و ایجاد وقفه در چرخه هستهای ایران.
کشور/گروه منتسب: ایالات متحده و اسرائیل (بر اساس گزارشهای مستقل)
اهداف: خرابکاری صنعتی در برنامه هستهای ایران (کارخانه غنیسازی نطنز)
روشهای نفوذ: استفاده از چهار آسیبپذیری صفر-روز ویندوز، انتشار کرم از طریق حافظه USB، مخفیسازی rootkit برای نفوذ به PLCهای زیمنس
نمونه حملات: ویروس انحصاری Stuxnet که موجب تغییر برنامههای کنترلی سانتریفیوژها شد
اثرات: تخریب فیزیکی گسترده سانتریفیوژها (حدود یکپنجم آنها) و ایجاد وقفه در چرخه هستهای ایران.
❤1
روند تکامل APTها در دهه اخیر
در سالهای اخیر، گروههای APT ایرانی از مرحله استفاده از بدافزارهای ساده و حملات ابتدایی به تاکتیکهای پیچیده و چندمرحلهای تبدیل شدهاند. بهویژه پس از حمله استاکسنت (۲۰۱۰) به تأسیسات هستهای ایران که نشان داد درگیری سایبری میتواند اثر فیزیکی داشته باشد، تهران سرمایهگذاری عظیمی در توسعه توانمندیهای سایبری کرد. با گذشت یک دهه، همگام با رقبا (روسیه/چین)، تهدیدگران ایرانی بر انعطافپذیری و خودکارسازی کار خود افزودهاند. بهعنوان مثال، ابزارهایی چون بدافزارهای روز-صفر پیشرفته، فعالیتهای پنهان (fileless)، و استفاده از پلتفرمهای ابری برای پایداری در شبکه مشاهده شدهاست.
تغییر تکنیکها: در گذشته غالب APTها به spear-phishing و بدافزارهای عمومی متکی بودند، اما اکنون حملات پیچیدهتر شده است. گروههایی مانند Tortoiseshell به حملات زنجیره تأمین روی آوردهاند (نفوذ به تأمینکنندگان فناوری برای دسترسی به شبکههای مشتریان). همچنین، بهرهبرداری از آسیبپذیریهای شناختهشده (مانند حملات ProxyShell روی Exchange) جایگزین برخی عملیات هدفمند خاص شده است. سازمان CISA و FBI هم هشدار دادهاند APTهای ایرانی بیشتر به جای هدفگیری بخش خاص، عمدتاً از رخنههای عمومی استفاده میکنند و سپس از دسترسی به روشهایی چون Credential Access، Lateral Movement و حتی Ransomwareهای «living-off-the-land» برای تحمیل خسارت استفاده میکنند.
صنایع هدف: اولویت اصلی این APTها حوزههای امنیتی، انرژی و اطلاعاتی است. طبق گزارشها، حملات APT ایرانی دولتها، صنایع نفت و گاز، پتروشیمی و زیرساختهای حیاتی (تأمین برق، بهداشت، حملونقل) را هدف قرار دادهاند. بهویژه میتوان به هدفگیری صنعت دفاعی و فضایی توسط APT33، شرکتهای دولتی و بانکها توسط APT34، و مخابرات و حملونقل (برای ردیابی افراد) توسط APT39 اشاره کرد. اخیراً نیز حوزه سلامت و خدمات عمومی در آمریکا و استرالیا در تیررس این حملات قرار گرفته است. در مجموع، دولت، صنایع انرژی (نفت/هستهای)، گردشگری/مخابرات (دادههای شهری)، و بخش مالی-فناوری بیشترین «جاذبه اطلاعاتی» را برای این گروهها دارند.
در سالهای اخیر، گروههای APT ایرانی از مرحله استفاده از بدافزارهای ساده و حملات ابتدایی به تاکتیکهای پیچیده و چندمرحلهای تبدیل شدهاند. بهویژه پس از حمله استاکسنت (۲۰۱۰) به تأسیسات هستهای ایران که نشان داد درگیری سایبری میتواند اثر فیزیکی داشته باشد، تهران سرمایهگذاری عظیمی در توسعه توانمندیهای سایبری کرد. با گذشت یک دهه، همگام با رقبا (روسیه/چین)، تهدیدگران ایرانی بر انعطافپذیری و خودکارسازی کار خود افزودهاند. بهعنوان مثال، ابزارهایی چون بدافزارهای روز-صفر پیشرفته، فعالیتهای پنهان (fileless)، و استفاده از پلتفرمهای ابری برای پایداری در شبکه مشاهده شدهاست.
تغییر تکنیکها: در گذشته غالب APTها به spear-phishing و بدافزارهای عمومی متکی بودند، اما اکنون حملات پیچیدهتر شده است. گروههایی مانند Tortoiseshell به حملات زنجیره تأمین روی آوردهاند (نفوذ به تأمینکنندگان فناوری برای دسترسی به شبکههای مشتریان). همچنین، بهرهبرداری از آسیبپذیریهای شناختهشده (مانند حملات ProxyShell روی Exchange) جایگزین برخی عملیات هدفمند خاص شده است. سازمان CISA و FBI هم هشدار دادهاند APTهای ایرانی بیشتر به جای هدفگیری بخش خاص، عمدتاً از رخنههای عمومی استفاده میکنند و سپس از دسترسی به روشهایی چون Credential Access، Lateral Movement و حتی Ransomwareهای «living-off-the-land» برای تحمیل خسارت استفاده میکنند.
صنایع هدف: اولویت اصلی این APTها حوزههای امنیتی، انرژی و اطلاعاتی است. طبق گزارشها، حملات APT ایرانی دولتها، صنایع نفت و گاز، پتروشیمی و زیرساختهای حیاتی (تأمین برق، بهداشت، حملونقل) را هدف قرار دادهاند. بهویژه میتوان به هدفگیری صنعت دفاعی و فضایی توسط APT33، شرکتهای دولتی و بانکها توسط APT34، و مخابرات و حملونقل (برای ردیابی افراد) توسط APT39 اشاره کرد. اخیراً نیز حوزه سلامت و خدمات عمومی در آمریکا و استرالیا در تیررس این حملات قرار گرفته است. در مجموع، دولت، صنایع انرژی (نفت/هستهای)، گردشگری/مخابرات (دادههای شهری)، و بخش مالی-فناوری بیشترین «جاذبه اطلاعاتی» را برای این گروهها دارند.
❤1
رتبهبندی حملات از نظر اهمیت
۱. Stuxnet (۲۰۱۰): احتمالاً مهمترین حمله سایبری تاریخی علیه ایران با تأثیر فیزیکی گسترده (نابودی سانتریفیوژها).
۲. Flame (۲۰۱۲): مجموعهبدافزاری پیچیده جاسوسی که عمدتاً در ایران و خاورمیانه شناسایی شد و اطلاعات حساسی را جمعآوری کرد.
۳. APT35 (Charming Kitten/Phosphorus): به علت دامنه جهانی عملیات جاسوسی (مخالفان سیاسی و اندیشکدهها در آمریکا و اروپا) و اقدامات متقابل بینالمللی (مسدودسازی دامنههای فیشینگ توسط مایکروسافت) اهمیت بالایی دارد.
۴. APT33/34 (Elfin/OilRig): حملات گسترده به صنایع هوافضا، انرژی و دولتی منطقه که سرقت مالکیت فکری و شناسایی زیرساختها را هدف قرار دادهاند.
۵. سایر عملیات بزرگ: از جمله حملات زنجیرهای Tortoiseshell به زیرساختهای انرژی و دفاع، کمپینهای گسترده MuddyWater در خاورمیانه و اروپا، و رخدادهای موسوم به Hack-and-Leak (افشای اطلاعات با انگیزه سیاسی) توسط گروههایی مانند Moses Staff. هرچند حجم حملات کمتری نسبت به موارد فوق دارند، اما به دلیل هدفگیری حیاتی و همگامی با منافع امنیتی، در سطح جهانی قابل توجه هستند.
منابع: بررسیهای CISA، گزارشهای Threat Intelligence شرکتها (Mandiant, Microsoft, CrowdStrike)، و منابع تحقیقاتی مستقل که بالا ذکر شد. کلیه اطلاعات فنی و جزییّات فوق بر پایه اسناد و تحلیلهای مستند استخراج شده است.
۱. Stuxnet (۲۰۱۰): احتمالاً مهمترین حمله سایبری تاریخی علیه ایران با تأثیر فیزیکی گسترده (نابودی سانتریفیوژها).
۲. Flame (۲۰۱۲): مجموعهبدافزاری پیچیده جاسوسی که عمدتاً در ایران و خاورمیانه شناسایی شد و اطلاعات حساسی را جمعآوری کرد.
۳. APT35 (Charming Kitten/Phosphorus): به علت دامنه جهانی عملیات جاسوسی (مخالفان سیاسی و اندیشکدهها در آمریکا و اروپا) و اقدامات متقابل بینالمللی (مسدودسازی دامنههای فیشینگ توسط مایکروسافت) اهمیت بالایی دارد.
۴. APT33/34 (Elfin/OilRig): حملات گسترده به صنایع هوافضا، انرژی و دولتی منطقه که سرقت مالکیت فکری و شناسایی زیرساختها را هدف قرار دادهاند.
۵. سایر عملیات بزرگ: از جمله حملات زنجیرهای Tortoiseshell به زیرساختهای انرژی و دفاع، کمپینهای گسترده MuddyWater در خاورمیانه و اروپا، و رخدادهای موسوم به Hack-and-Leak (افشای اطلاعات با انگیزه سیاسی) توسط گروههایی مانند Moses Staff. هرچند حجم حملات کمتری نسبت به موارد فوق دارند، اما به دلیل هدفگیری حیاتی و همگامی با منافع امنیتی، در سطح جهانی قابل توجه هستند.
منابع: بررسیهای CISA، گزارشهای Threat Intelligence شرکتها (Mandiant, Microsoft, CrowdStrike)، و منابع تحقیقاتی مستقل که بالا ذکر شد. کلیه اطلاعات فنی و جزییّات فوق بر پایه اسناد و تحلیلهای مستند استخراج شده است.
❤1
Stuxnet 2010:
1) آغاز توسعه (حدود 2005–2007)
بر اساس تحلیلهای مهندسی معکوس (خصوصاً Symantec و Kaspersky)، توسعه Stuxnet احتمالاً از میانه دهه 2000 (حدود 2005 یا 2006) شروع شده.
این فاز شامل:
طراحی payload برای PLCهای Siemens S7
توسعه rootkit در سطح kernel ویندوز
طراحی exploitهای Zero-Day متعدد (حداقل 4 تا 5 آسیبپذیری Zero-Day)
📌 نکته فنی:
استاکسنت یکی از اولین malwareهای شناختهشده با multi-zero-day weaponization در سطح APT دولتی است.
2) فاز تست و آمادهسازی عملیاتی (2007–2009)
در این دوره، نمونههای اولیه احتمالاً در محیطهای کنترلشده صنعتی (ICS testbeds) آزمایش شدند.
برخی شواهد نشان میدهد که:
رفتارهای مرتبط با PLC manipulation در محیطهای شبیهسازیشده Siemens بررسی شده
نسخههای اولیه از طریق USB propagation طراحی شده بودند (air-gapped network bypass)
📌 نکته مهم:
هیچ شواهد عمومی قطعی وجود ندارد که “نطنز در 2009 آلوده شد”؛ اما بر اساس تحلیلهای بعدی، آلودگی میتواند از 2007 تا 2009 رخ داده باشد.
3) استقرار در نطنز (احتمالاً 2007–2009، کشف بعدی)
هدف اصلی: تأسیسات غنیسازی اورانیوم نطنز
روش نفوذ:
USB worm propagation (به دلیل air-gap بودن شبکه)
استفاده از سیستمهای پیمانکار یا زنجیره تأمین انسانی (supply chain human vector)
payload:
دستکاری سرعت centrifugeها (IR-1 centrifuges)
ایجاد “physical degradation” بدون هشدار اپراتور
📌 تکنیک MITRE ATT&CK:
T1091 (Replication Through Removable Media)
T1204 (User Execution)
T1490 (Inhibit System Recovery)
ICS-specific manipulation (T0831 / T0855)
4) کشف عمومی (2010)
در ژوئن 2010 توسط VirusBlokAda کشف شد
سپس تحلیل گسترده توسط:
Symantec
Kaspersky
Microsoft
CISA / ICS-CERT
1) آغاز توسعه (حدود 2005–2007)
بر اساس تحلیلهای مهندسی معکوس (خصوصاً Symantec و Kaspersky)، توسعه Stuxnet احتمالاً از میانه دهه 2000 (حدود 2005 یا 2006) شروع شده.
این فاز شامل:
طراحی payload برای PLCهای Siemens S7
توسعه rootkit در سطح kernel ویندوز
طراحی exploitهای Zero-Day متعدد (حداقل 4 تا 5 آسیبپذیری Zero-Day)
📌 نکته فنی:
استاکسنت یکی از اولین malwareهای شناختهشده با multi-zero-day weaponization در سطح APT دولتی است.
2) فاز تست و آمادهسازی عملیاتی (2007–2009)
در این دوره، نمونههای اولیه احتمالاً در محیطهای کنترلشده صنعتی (ICS testbeds) آزمایش شدند.
برخی شواهد نشان میدهد که:
رفتارهای مرتبط با PLC manipulation در محیطهای شبیهسازیشده Siemens بررسی شده
نسخههای اولیه از طریق USB propagation طراحی شده بودند (air-gapped network bypass)
📌 نکته مهم:
هیچ شواهد عمومی قطعی وجود ندارد که “نطنز در 2009 آلوده شد”؛ اما بر اساس تحلیلهای بعدی، آلودگی میتواند از 2007 تا 2009 رخ داده باشد.
3) استقرار در نطنز (احتمالاً 2007–2009، کشف بعدی)
هدف اصلی: تأسیسات غنیسازی اورانیوم نطنز
روش نفوذ:
USB worm propagation (به دلیل air-gap بودن شبکه)
استفاده از سیستمهای پیمانکار یا زنجیره تأمین انسانی (supply chain human vector)
payload:
دستکاری سرعت centrifugeها (IR-1 centrifuges)
ایجاد “physical degradation” بدون هشدار اپراتور
📌 تکنیک MITRE ATT&CK:
T1091 (Replication Through Removable Media)
T1204 (User Execution)
T1490 (Inhibit System Recovery)
ICS-specific manipulation (T0831 / T0855)
4) کشف عمومی (2010)
در ژوئن 2010 توسط VirusBlokAda کشف شد
سپس تحلیل گسترده توسط:
Symantec
Kaspersky
Microsoft
CISA / ICS-CERT
❤3
Mr. Nothing
Stuxnet 2010: 1) آغاز توسعه (حدود 2005–2007) بر اساس تحلیلهای مهندسی معکوس (خصوصاً Symantec و Kaspersky)، توسعه Stuxnet احتمالاً از میانه دهه 2000 (حدود 2005 یا 2006) شروع شده. این فاز شامل: طراحی payload برای PLCهای Siemens S7 توسعه rootkit در سطح kernel…
اولین cyber-physical weapon واقعی بود
یعنی تخریب فیزیکی تجهیزات صنعتی
یعنی تخریب فیزیکی تجهیزات صنعتی
❤3
مرکز اصلی حملات APT
روسیه،کره شمالی، ایران،چین
هستن
واقعا حملاتی که توسط این چهار کشور انجام شده مهندسی شده و دقیق هست
هیچکس نمی دونه شاید همین الان هم هزاران حمله در حال عملیاتی شدن باشه
روسیه،کره شمالی، ایران،چین
هستن
واقعا حملاتی که توسط این چهار کشور انجام شده مهندسی شده و دقیق هست
هیچکس نمی دونه شاید همین الان هم هزاران حمله در حال عملیاتی شدن باشه
dwell time
❤3
یک سوءتفاهم خطرناک وجود دارد.
بعضیها تصور میکنند اگر روزی یک عملیات APT علیه زیرساختهای کشور انجام شود، مهاجم مستقیماً سراغ حساسترین مراکز خواهد رفت.
اما واقعیت دنیای حملات پیشرفته چیز دیگری است.
مهاجم حرفهای از جایی وارد میشود که کمترین توجه امنیتی روی آن وجود دارد.
از یک شعبه فراموششده.
از یک پیمانکار.
از یک لینک ارتباطی قدیمی.
از یک تجهیز Edge که ماهها یا سالها بهروزرسانی نشده است.
تاریخ امنیت سایبری بارها ثابت کرده که نفوذهای بزرگ معمولاً از ضعیفترین حلقه زنجیره آغاز میشوند، نه از قویترین.
نگرانی اصلی وجود یک آسیبپذیری نیست.
نگرانی اصلی این است که بسیاری از سازمانها حتی تصویر دقیقی از سطح حمله (Attack Surface) خود ندارند.
APTها برای ایجاد سر و صدا وارد شبکه نمیشوند.
آنها وارد میشوند تا دیده نشوند.
ماهها حضور پیدا میکنند.
اعتبارنامه جمعآوری میکنند.
دسترسیها را گسترش میدهند.
نقشه شبکه را ترسیم میکنند.
و زمانی شناسایی میشوند که بخش مهمی از مأموریت خود را انجام دادهاند.
سؤال واقعی این نیست که «آیا هدف حمله هستیم یا نه؟»
سؤال واقعی این است:
اگر همین حالا یک مهاجم سطح دولت-ملت در بخشی از زیرساخت حضور داشته باشد، چه کسی متوجه خواهد شد؟
یک ساعت بعد؟
یک هفته بعد؟
یا چند ماه یا چندسال بعد؟
سکوت شبکه الزاماً نشانه امنیت نیست.
گاهی فقط نشانه این است که هنوز کسی ردپاها را پیدا نکرده است
من از سکوت بیشتر ترس دارم .
بعضیها تصور میکنند اگر روزی یک عملیات APT علیه زیرساختهای کشور انجام شود، مهاجم مستقیماً سراغ حساسترین مراکز خواهد رفت.
اما واقعیت دنیای حملات پیشرفته چیز دیگری است.
مهاجم حرفهای از جایی وارد میشود که کمترین توجه امنیتی روی آن وجود دارد.
از یک شعبه فراموششده.
از یک پیمانکار.
از یک لینک ارتباطی قدیمی.
از یک تجهیز Edge که ماهها یا سالها بهروزرسانی نشده است.
تاریخ امنیت سایبری بارها ثابت کرده که نفوذهای بزرگ معمولاً از ضعیفترین حلقه زنجیره آغاز میشوند، نه از قویترین.
نگرانی اصلی وجود یک آسیبپذیری نیست.
نگرانی اصلی این است که بسیاری از سازمانها حتی تصویر دقیقی از سطح حمله (Attack Surface) خود ندارند.
APTها برای ایجاد سر و صدا وارد شبکه نمیشوند.
آنها وارد میشوند تا دیده نشوند.
ماهها حضور پیدا میکنند.
اعتبارنامه جمعآوری میکنند.
دسترسیها را گسترش میدهند.
نقشه شبکه را ترسیم میکنند.
و زمانی شناسایی میشوند که بخش مهمی از مأموریت خود را انجام دادهاند.
سؤال واقعی این نیست که «آیا هدف حمله هستیم یا نه؟»
سؤال واقعی این است:
اگر همین حالا یک مهاجم سطح دولت-ملت در بخشی از زیرساخت حضور داشته باشد، چه کسی متوجه خواهد شد؟
یک ساعت بعد؟
یک هفته بعد؟
یا چند ماه یا چندسال بعد؟
سکوت شبکه الزاماً نشانه امنیت نیست.
گاهی فقط نشانه این است که هنوز کسی ردپاها را پیدا نکرده است
من از سکوت بیشتر ترس دارم .
❤3
Forwarded from Ping Channel (علی کیائیفر)
#مرکز_ملی_فضایمجازی
خبر، تحلیل، انتقاد - فناوری اطلاعات
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3