Mr. Nothing
نمونههای برجسته APT مرتبط با ایران
Moses Staff (گروه DEV-0500): گروهی هکری ایرانی که از سپتامبر ۲۰۲۱ گزارش شده و عمدتاً شرکتهای اسرائیلی را هدف میگیرد. این گروه خود را به عنوان مهاجمانی سیاسی معرفی کرده که با افشای گسترده اطلاعات حساس و رمزگذاری شبکههای قربانی (بدون اخذ باج) قصد «آسیبرساندن» به سازمانها را دارند. روش نفوذ: حملات سایبری نوین شامل نفوذ به زیرساختهای عمومی (مثلاً بهرهبرداری از Exchange Server)، انتشار وبشل و اسکریپتهای خودکار، و استفاده از بدافزارهای رمزگذاری سفارشی (مانند ابزار DiskCryptor). این گروه از روشهای پوشش (کدگذاری/رمزگذاری دادهها) استفاده میکند تا نشانهگذاری تحقیقات را دشوار سازد. نمونه حملات: چند حمله علیه شرکتهای صنعتی و خدماتی در اسرائیل و حتی کشورهای دیگر (ایتالیا، آمریکا)، شامل انتشار دستهای از فایلهای در اختیار عموم و رمزارز کردن درایوها. اثرات: اختلال عمده در عملیات شبکهای قربانیان و افشای اطلاعات محرمانه؛ اهمیت این حملات در نوع «جنگ اطلاعات» و انگیزش سیاسی آشکار است.
کشور/گروه منتسب: جمهوری اسلامی ایران (سپاه پاسداران / واحد سایبری ارتش)
اهداف: عملیات انتقامجویانه علیه نهادهای اسرائیلی و غیراسرائيلي (شرکتهای خصوصی و دولتی)، با انگیزه سیاسی/ایدئولوژیک
روشهای نفوذ: بهرهبرداری از آسیبپذیریهای عمومی (مانند سرورهای Exchange)، استقرار وبشل، بدافزارهای رمزگذاری سفارشی (DiskCryptor)، اسکریپتهای حذف یا قفلسازی داده بدون درخواست باج
نمونه حملات: حملات متعدد در ۲۰۲۱ تا کنون علیه بنگاههای اسرائیلی (امنیتی و مالی)، شامل سرقت دادههای محرمانه و انتشار آنها در شبکههای اجتماعی و رمزگذاری فایلها توسط بدافزارِ مشابه رانسومویر
اثرات: کاهش کارایی عملیاتی و افشای سازمانی قربانیان، ایجاد ترس و بیاعتمادی عمومی با انتشار اطلاعات محرمانه (جنگ روانی)، و بالا بردن تنش سیاسی از طریق عملیات سایبری آشکار.
کشور/گروه منتسب: جمهوری اسلامی ایران (سپاه پاسداران / واحد سایبری ارتش)
اهداف: عملیات انتقامجویانه علیه نهادهای اسرائیلی و غیراسرائيلي (شرکتهای خصوصی و دولتی)، با انگیزه سیاسی/ایدئولوژیک
روشهای نفوذ: بهرهبرداری از آسیبپذیریهای عمومی (مانند سرورهای Exchange)، استقرار وبشل، بدافزارهای رمزگذاری سفارشی (DiskCryptor)، اسکریپتهای حذف یا قفلسازی داده بدون درخواست باج
نمونه حملات: حملات متعدد در ۲۰۲۱ تا کنون علیه بنگاههای اسرائیلی (امنیتی و مالی)، شامل سرقت دادههای محرمانه و انتشار آنها در شبکههای اجتماعی و رمزگذاری فایلها توسط بدافزارِ مشابه رانسومویر
اثرات: کاهش کارایی عملیاتی و افشای سازمانی قربانیان، ایجاد ترس و بیاعتمادی عمومی با انتشار اطلاعات محرمانه (جنگ روانی)، و بالا بردن تنش سیاسی از طریق عملیات سایبری آشکار.
❤1
Mr. Nothing
نمونههای برجسته APT مرتبط با ایران
Stuxnet (عملیات Olympic Games): بدافزاری پیشرفته که در سال ۲۰۱۰ کشف شد و هدف آن تأسیسات غنیسازی هستهای ایران (کارخانه نطنز) بود. گرچه رسماً عامل آن اعلام نشد، منابع متعدد آمریکا و اسرائیل را مسئول این حمله میدانند. روش نفوذ: یک کرم کامپیوتری با سه جزء اصلی (پخشگری، payload و rootkit) بود که از طریق حافظهی USB وارد شبکههای حساس میشد. استاکسنت از چهار آسیبپذیری صفر-روز در ویندوز و کار با نرمافزار کنترل صنعتی Siemens Step7 بهره برد. پس از نفوذ، Stuxnet برنامههای PLC کنترلکننده ماشینهای سانتریفیوژ را تغییر میداد تا سرعت غیرطبیعی ایجاد کند و در نتیجه سبب تخریب آنها شود. اثرات: تقریبا ۲۰٪ از سانتریفیوژهای ایران نابود شد و خسارت اقتصادی و تأخیر قابلتوجهی به برنامه هستهای این کشور وارد آمد. این عملیات، اولین مورد از حملات سایبری با تأثیر فیزیکی گسترده شناختهشده است.
کشور/گروه منتسب: ایالات متحده و اسرائیل (بر اساس گزارشهای مستقل)
اهداف: خرابکاری صنعتی در برنامه هستهای ایران (کارخانه غنیسازی نطنز)
روشهای نفوذ: استفاده از چهار آسیبپذیری صفر-روز ویندوز، انتشار کرم از طریق حافظه USB، مخفیسازی rootkit برای نفوذ به PLCهای زیمنس
نمونه حملات: ویروس انحصاری Stuxnet که موجب تغییر برنامههای کنترلی سانتریفیوژها شد
اثرات: تخریب فیزیکی گسترده سانتریفیوژها (حدود یکپنجم آنها) و ایجاد وقفه در چرخه هستهای ایران.
کشور/گروه منتسب: ایالات متحده و اسرائیل (بر اساس گزارشهای مستقل)
اهداف: خرابکاری صنعتی در برنامه هستهای ایران (کارخانه غنیسازی نطنز)
روشهای نفوذ: استفاده از چهار آسیبپذیری صفر-روز ویندوز، انتشار کرم از طریق حافظه USB، مخفیسازی rootkit برای نفوذ به PLCهای زیمنس
نمونه حملات: ویروس انحصاری Stuxnet که موجب تغییر برنامههای کنترلی سانتریفیوژها شد
اثرات: تخریب فیزیکی گسترده سانتریفیوژها (حدود یکپنجم آنها) و ایجاد وقفه در چرخه هستهای ایران.
❤1
روند تکامل APTها در دهه اخیر
در سالهای اخیر، گروههای APT ایرانی از مرحله استفاده از بدافزارهای ساده و حملات ابتدایی به تاکتیکهای پیچیده و چندمرحلهای تبدیل شدهاند. بهویژه پس از حمله استاکسنت (۲۰۱۰) به تأسیسات هستهای ایران که نشان داد درگیری سایبری میتواند اثر فیزیکی داشته باشد، تهران سرمایهگذاری عظیمی در توسعه توانمندیهای سایبری کرد. با گذشت یک دهه، همگام با رقبا (روسیه/چین)، تهدیدگران ایرانی بر انعطافپذیری و خودکارسازی کار خود افزودهاند. بهعنوان مثال، ابزارهایی چون بدافزارهای روز-صفر پیشرفته، فعالیتهای پنهان (fileless)، و استفاده از پلتفرمهای ابری برای پایداری در شبکه مشاهده شدهاست.
تغییر تکنیکها: در گذشته غالب APTها به spear-phishing و بدافزارهای عمومی متکی بودند، اما اکنون حملات پیچیدهتر شده است. گروههایی مانند Tortoiseshell به حملات زنجیره تأمین روی آوردهاند (نفوذ به تأمینکنندگان فناوری برای دسترسی به شبکههای مشتریان). همچنین، بهرهبرداری از آسیبپذیریهای شناختهشده (مانند حملات ProxyShell روی Exchange) جایگزین برخی عملیات هدفمند خاص شده است. سازمان CISA و FBI هم هشدار دادهاند APTهای ایرانی بیشتر به جای هدفگیری بخش خاص، عمدتاً از رخنههای عمومی استفاده میکنند و سپس از دسترسی به روشهایی چون Credential Access، Lateral Movement و حتی Ransomwareهای «living-off-the-land» برای تحمیل خسارت استفاده میکنند.
صنایع هدف: اولویت اصلی این APTها حوزههای امنیتی، انرژی و اطلاعاتی است. طبق گزارشها، حملات APT ایرانی دولتها، صنایع نفت و گاز، پتروشیمی و زیرساختهای حیاتی (تأمین برق، بهداشت، حملونقل) را هدف قرار دادهاند. بهویژه میتوان به هدفگیری صنعت دفاعی و فضایی توسط APT33، شرکتهای دولتی و بانکها توسط APT34، و مخابرات و حملونقل (برای ردیابی افراد) توسط APT39 اشاره کرد. اخیراً نیز حوزه سلامت و خدمات عمومی در آمریکا و استرالیا در تیررس این حملات قرار گرفته است. در مجموع، دولت، صنایع انرژی (نفت/هستهای)، گردشگری/مخابرات (دادههای شهری)، و بخش مالی-فناوری بیشترین «جاذبه اطلاعاتی» را برای این گروهها دارند.
در سالهای اخیر، گروههای APT ایرانی از مرحله استفاده از بدافزارهای ساده و حملات ابتدایی به تاکتیکهای پیچیده و چندمرحلهای تبدیل شدهاند. بهویژه پس از حمله استاکسنت (۲۰۱۰) به تأسیسات هستهای ایران که نشان داد درگیری سایبری میتواند اثر فیزیکی داشته باشد، تهران سرمایهگذاری عظیمی در توسعه توانمندیهای سایبری کرد. با گذشت یک دهه، همگام با رقبا (روسیه/چین)، تهدیدگران ایرانی بر انعطافپذیری و خودکارسازی کار خود افزودهاند. بهعنوان مثال، ابزارهایی چون بدافزارهای روز-صفر پیشرفته، فعالیتهای پنهان (fileless)، و استفاده از پلتفرمهای ابری برای پایداری در شبکه مشاهده شدهاست.
تغییر تکنیکها: در گذشته غالب APTها به spear-phishing و بدافزارهای عمومی متکی بودند، اما اکنون حملات پیچیدهتر شده است. گروههایی مانند Tortoiseshell به حملات زنجیره تأمین روی آوردهاند (نفوذ به تأمینکنندگان فناوری برای دسترسی به شبکههای مشتریان). همچنین، بهرهبرداری از آسیبپذیریهای شناختهشده (مانند حملات ProxyShell روی Exchange) جایگزین برخی عملیات هدفمند خاص شده است. سازمان CISA و FBI هم هشدار دادهاند APTهای ایرانی بیشتر به جای هدفگیری بخش خاص، عمدتاً از رخنههای عمومی استفاده میکنند و سپس از دسترسی به روشهایی چون Credential Access، Lateral Movement و حتی Ransomwareهای «living-off-the-land» برای تحمیل خسارت استفاده میکنند.
صنایع هدف: اولویت اصلی این APTها حوزههای امنیتی، انرژی و اطلاعاتی است. طبق گزارشها، حملات APT ایرانی دولتها، صنایع نفت و گاز، پتروشیمی و زیرساختهای حیاتی (تأمین برق، بهداشت، حملونقل) را هدف قرار دادهاند. بهویژه میتوان به هدفگیری صنعت دفاعی و فضایی توسط APT33، شرکتهای دولتی و بانکها توسط APT34، و مخابرات و حملونقل (برای ردیابی افراد) توسط APT39 اشاره کرد. اخیراً نیز حوزه سلامت و خدمات عمومی در آمریکا و استرالیا در تیررس این حملات قرار گرفته است. در مجموع، دولت، صنایع انرژی (نفت/هستهای)، گردشگری/مخابرات (دادههای شهری)، و بخش مالی-فناوری بیشترین «جاذبه اطلاعاتی» را برای این گروهها دارند.
❤1
رتبهبندی حملات از نظر اهمیت
۱. Stuxnet (۲۰۱۰): احتمالاً مهمترین حمله سایبری تاریخی علیه ایران با تأثیر فیزیکی گسترده (نابودی سانتریفیوژها).
۲. Flame (۲۰۱۲): مجموعهبدافزاری پیچیده جاسوسی که عمدتاً در ایران و خاورمیانه شناسایی شد و اطلاعات حساسی را جمعآوری کرد.
۳. APT35 (Charming Kitten/Phosphorus): به علت دامنه جهانی عملیات جاسوسی (مخالفان سیاسی و اندیشکدهها در آمریکا و اروپا) و اقدامات متقابل بینالمللی (مسدودسازی دامنههای فیشینگ توسط مایکروسافت) اهمیت بالایی دارد.
۴. APT33/34 (Elfin/OilRig): حملات گسترده به صنایع هوافضا، انرژی و دولتی منطقه که سرقت مالکیت فکری و شناسایی زیرساختها را هدف قرار دادهاند.
۵. سایر عملیات بزرگ: از جمله حملات زنجیرهای Tortoiseshell به زیرساختهای انرژی و دفاع، کمپینهای گسترده MuddyWater در خاورمیانه و اروپا، و رخدادهای موسوم به Hack-and-Leak (افشای اطلاعات با انگیزه سیاسی) توسط گروههایی مانند Moses Staff. هرچند حجم حملات کمتری نسبت به موارد فوق دارند، اما به دلیل هدفگیری حیاتی و همگامی با منافع امنیتی، در سطح جهانی قابل توجه هستند.
منابع: بررسیهای CISA، گزارشهای Threat Intelligence شرکتها (Mandiant, Microsoft, CrowdStrike)، و منابع تحقیقاتی مستقل که بالا ذکر شد. کلیه اطلاعات فنی و جزییّات فوق بر پایه اسناد و تحلیلهای مستند استخراج شده است.
۱. Stuxnet (۲۰۱۰): احتمالاً مهمترین حمله سایبری تاریخی علیه ایران با تأثیر فیزیکی گسترده (نابودی سانتریفیوژها).
۲. Flame (۲۰۱۲): مجموعهبدافزاری پیچیده جاسوسی که عمدتاً در ایران و خاورمیانه شناسایی شد و اطلاعات حساسی را جمعآوری کرد.
۳. APT35 (Charming Kitten/Phosphorus): به علت دامنه جهانی عملیات جاسوسی (مخالفان سیاسی و اندیشکدهها در آمریکا و اروپا) و اقدامات متقابل بینالمللی (مسدودسازی دامنههای فیشینگ توسط مایکروسافت) اهمیت بالایی دارد.
۴. APT33/34 (Elfin/OilRig): حملات گسترده به صنایع هوافضا، انرژی و دولتی منطقه که سرقت مالکیت فکری و شناسایی زیرساختها را هدف قرار دادهاند.
۵. سایر عملیات بزرگ: از جمله حملات زنجیرهای Tortoiseshell به زیرساختهای انرژی و دفاع، کمپینهای گسترده MuddyWater در خاورمیانه و اروپا، و رخدادهای موسوم به Hack-and-Leak (افشای اطلاعات با انگیزه سیاسی) توسط گروههایی مانند Moses Staff. هرچند حجم حملات کمتری نسبت به موارد فوق دارند، اما به دلیل هدفگیری حیاتی و همگامی با منافع امنیتی، در سطح جهانی قابل توجه هستند.
منابع: بررسیهای CISA، گزارشهای Threat Intelligence شرکتها (Mandiant, Microsoft, CrowdStrike)، و منابع تحقیقاتی مستقل که بالا ذکر شد. کلیه اطلاعات فنی و جزییّات فوق بر پایه اسناد و تحلیلهای مستند استخراج شده است.
❤1
Stuxnet 2010:
1) آغاز توسعه (حدود 2005–2007)
بر اساس تحلیلهای مهندسی معکوس (خصوصاً Symantec و Kaspersky)، توسعه Stuxnet احتمالاً از میانه دهه 2000 (حدود 2005 یا 2006) شروع شده.
این فاز شامل:
طراحی payload برای PLCهای Siemens S7
توسعه rootkit در سطح kernel ویندوز
طراحی exploitهای Zero-Day متعدد (حداقل 4 تا 5 آسیبپذیری Zero-Day)
📌 نکته فنی:
استاکسنت یکی از اولین malwareهای شناختهشده با multi-zero-day weaponization در سطح APT دولتی است.
2) فاز تست و آمادهسازی عملیاتی (2007–2009)
در این دوره، نمونههای اولیه احتمالاً در محیطهای کنترلشده صنعتی (ICS testbeds) آزمایش شدند.
برخی شواهد نشان میدهد که:
رفتارهای مرتبط با PLC manipulation در محیطهای شبیهسازیشده Siemens بررسی شده
نسخههای اولیه از طریق USB propagation طراحی شده بودند (air-gapped network bypass)
📌 نکته مهم:
هیچ شواهد عمومی قطعی وجود ندارد که “نطنز در 2009 آلوده شد”؛ اما بر اساس تحلیلهای بعدی، آلودگی میتواند از 2007 تا 2009 رخ داده باشد.
3) استقرار در نطنز (احتمالاً 2007–2009، کشف بعدی)
هدف اصلی: تأسیسات غنیسازی اورانیوم نطنز
روش نفوذ:
USB worm propagation (به دلیل air-gap بودن شبکه)
استفاده از سیستمهای پیمانکار یا زنجیره تأمین انسانی (supply chain human vector)
payload:
دستکاری سرعت centrifugeها (IR-1 centrifuges)
ایجاد “physical degradation” بدون هشدار اپراتور
📌 تکنیک MITRE ATT&CK:
T1091 (Replication Through Removable Media)
T1204 (User Execution)
T1490 (Inhibit System Recovery)
ICS-specific manipulation (T0831 / T0855)
4) کشف عمومی (2010)
در ژوئن 2010 توسط VirusBlokAda کشف شد
سپس تحلیل گسترده توسط:
Symantec
Kaspersky
Microsoft
CISA / ICS-CERT
1) آغاز توسعه (حدود 2005–2007)
بر اساس تحلیلهای مهندسی معکوس (خصوصاً Symantec و Kaspersky)، توسعه Stuxnet احتمالاً از میانه دهه 2000 (حدود 2005 یا 2006) شروع شده.
این فاز شامل:
طراحی payload برای PLCهای Siemens S7
توسعه rootkit در سطح kernel ویندوز
طراحی exploitهای Zero-Day متعدد (حداقل 4 تا 5 آسیبپذیری Zero-Day)
📌 نکته فنی:
استاکسنت یکی از اولین malwareهای شناختهشده با multi-zero-day weaponization در سطح APT دولتی است.
2) فاز تست و آمادهسازی عملیاتی (2007–2009)
در این دوره، نمونههای اولیه احتمالاً در محیطهای کنترلشده صنعتی (ICS testbeds) آزمایش شدند.
برخی شواهد نشان میدهد که:
رفتارهای مرتبط با PLC manipulation در محیطهای شبیهسازیشده Siemens بررسی شده
نسخههای اولیه از طریق USB propagation طراحی شده بودند (air-gapped network bypass)
📌 نکته مهم:
هیچ شواهد عمومی قطعی وجود ندارد که “نطنز در 2009 آلوده شد”؛ اما بر اساس تحلیلهای بعدی، آلودگی میتواند از 2007 تا 2009 رخ داده باشد.
3) استقرار در نطنز (احتمالاً 2007–2009، کشف بعدی)
هدف اصلی: تأسیسات غنیسازی اورانیوم نطنز
روش نفوذ:
USB worm propagation (به دلیل air-gap بودن شبکه)
استفاده از سیستمهای پیمانکار یا زنجیره تأمین انسانی (supply chain human vector)
payload:
دستکاری سرعت centrifugeها (IR-1 centrifuges)
ایجاد “physical degradation” بدون هشدار اپراتور
📌 تکنیک MITRE ATT&CK:
T1091 (Replication Through Removable Media)
T1204 (User Execution)
T1490 (Inhibit System Recovery)
ICS-specific manipulation (T0831 / T0855)
4) کشف عمومی (2010)
در ژوئن 2010 توسط VirusBlokAda کشف شد
سپس تحلیل گسترده توسط:
Symantec
Kaspersky
Microsoft
CISA / ICS-CERT
❤3
Mr. Nothing
Stuxnet 2010: 1) آغاز توسعه (حدود 2005–2007) بر اساس تحلیلهای مهندسی معکوس (خصوصاً Symantec و Kaspersky)، توسعه Stuxnet احتمالاً از میانه دهه 2000 (حدود 2005 یا 2006) شروع شده. این فاز شامل: طراحی payload برای PLCهای Siemens S7 توسعه rootkit در سطح kernel…
اولین cyber-physical weapon واقعی بود
یعنی تخریب فیزیکی تجهیزات صنعتی
یعنی تخریب فیزیکی تجهیزات صنعتی
❤3
مرکز اصلی حملات APT
روسیه،کره شمالی، ایران،چین
هستن
واقعا حملاتی که توسط این چهار کشور انجام شده مهندسی شده و دقیق هست
هیچکس نمی دونه شاید همین الان هم هزاران حمله در حال عملیاتی شدن باشه
روسیه،کره شمالی، ایران،چین
هستن
واقعا حملاتی که توسط این چهار کشور انجام شده مهندسی شده و دقیق هست
هیچکس نمی دونه شاید همین الان هم هزاران حمله در حال عملیاتی شدن باشه
dwell time
❤3
یک سوءتفاهم خطرناک وجود دارد.
بعضیها تصور میکنند اگر روزی یک عملیات APT علیه زیرساختهای کشور انجام شود، مهاجم مستقیماً سراغ حساسترین مراکز خواهد رفت.
اما واقعیت دنیای حملات پیشرفته چیز دیگری است.
مهاجم حرفهای از جایی وارد میشود که کمترین توجه امنیتی روی آن وجود دارد.
از یک شعبه فراموششده.
از یک پیمانکار.
از یک لینک ارتباطی قدیمی.
از یک تجهیز Edge که ماهها یا سالها بهروزرسانی نشده است.
تاریخ امنیت سایبری بارها ثابت کرده که نفوذهای بزرگ معمولاً از ضعیفترین حلقه زنجیره آغاز میشوند، نه از قویترین.
نگرانی اصلی وجود یک آسیبپذیری نیست.
نگرانی اصلی این است که بسیاری از سازمانها حتی تصویر دقیقی از سطح حمله (Attack Surface) خود ندارند.
APTها برای ایجاد سر و صدا وارد شبکه نمیشوند.
آنها وارد میشوند تا دیده نشوند.
ماهها حضور پیدا میکنند.
اعتبارنامه جمعآوری میکنند.
دسترسیها را گسترش میدهند.
نقشه شبکه را ترسیم میکنند.
و زمانی شناسایی میشوند که بخش مهمی از مأموریت خود را انجام دادهاند.
سؤال واقعی این نیست که «آیا هدف حمله هستیم یا نه؟»
سؤال واقعی این است:
اگر همین حالا یک مهاجم سطح دولت-ملت در بخشی از زیرساخت حضور داشته باشد، چه کسی متوجه خواهد شد؟
یک ساعت بعد؟
یک هفته بعد؟
یا چند ماه یا چندسال بعد؟
سکوت شبکه الزاماً نشانه امنیت نیست.
گاهی فقط نشانه این است که هنوز کسی ردپاها را پیدا نکرده است
من از سکوت بیشتر ترس دارم .
بعضیها تصور میکنند اگر روزی یک عملیات APT علیه زیرساختهای کشور انجام شود، مهاجم مستقیماً سراغ حساسترین مراکز خواهد رفت.
اما واقعیت دنیای حملات پیشرفته چیز دیگری است.
مهاجم حرفهای از جایی وارد میشود که کمترین توجه امنیتی روی آن وجود دارد.
از یک شعبه فراموششده.
از یک پیمانکار.
از یک لینک ارتباطی قدیمی.
از یک تجهیز Edge که ماهها یا سالها بهروزرسانی نشده است.
تاریخ امنیت سایبری بارها ثابت کرده که نفوذهای بزرگ معمولاً از ضعیفترین حلقه زنجیره آغاز میشوند، نه از قویترین.
نگرانی اصلی وجود یک آسیبپذیری نیست.
نگرانی اصلی این است که بسیاری از سازمانها حتی تصویر دقیقی از سطح حمله (Attack Surface) خود ندارند.
APTها برای ایجاد سر و صدا وارد شبکه نمیشوند.
آنها وارد میشوند تا دیده نشوند.
ماهها حضور پیدا میکنند.
اعتبارنامه جمعآوری میکنند.
دسترسیها را گسترش میدهند.
نقشه شبکه را ترسیم میکنند.
و زمانی شناسایی میشوند که بخش مهمی از مأموریت خود را انجام دادهاند.
سؤال واقعی این نیست که «آیا هدف حمله هستیم یا نه؟»
سؤال واقعی این است:
اگر همین حالا یک مهاجم سطح دولت-ملت در بخشی از زیرساخت حضور داشته باشد، چه کسی متوجه خواهد شد؟
یک ساعت بعد؟
یک هفته بعد؟
یا چند ماه یا چندسال بعد؟
سکوت شبکه الزاماً نشانه امنیت نیست.
گاهی فقط نشانه این است که هنوز کسی ردپاها را پیدا نکرده است
من از سکوت بیشتر ترس دارم .
❤3
Forwarded from Ping Channel (علی کیائیفر)
#مرکز_ملی_فضایمجازی
خبر، تحلیل، انتقاد - فناوری اطلاعات
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3
Mr. Nothing
app-release.apk
برای دوستانی که درباره امنیت پروژه و احتمال RAT بودن آن سؤال داشتند، بد نیست چند نکته را شفاف توضیح بدهم:
اول از همه، این پروژه از روز اول بهصورت Open Source توسعه داده شده و نسخه جدید آن نیز بهزودی در GitHub منتشر خواهد شد تا همه بتوانند سورس کد را بررسی کنند.
نکته دوم اینکه از نظر فنی، Flutter اساساً انتخاب رایجی برای توسعه RAT یا بدافزارهای اندرویدی نیست و معمولاً چنین ابزارهایی با فناوریها و ساختارهای کاملاً متفاوتی پیادهسازی میشوند.
مهمتر از همه، یک RAT برای انجام فعالیتهای مخرب معمولاً به مجوزهای حساس مختلفی نیاز دارد؛ در حالی که همانطور که قبلاً فایل AndroidManifest پروژه را منتشر کردم، نه تنها هیچ دسترسی حساسی مانند مخاطبین، پیامکها، تماسها یا فایلهای شخصی درخواست نشده، بلکه حتی مجوز دسترسی به اینترنت (Network Permission) نیز در برنامه تعریف نشده است.
همچنین این پروژه در آینده نزدیک در فروشگاههای معتبر اپلیکیشن نیز منتشر خواهد شد و طبیعتاً در آن پلتفرمها تحت بررسیهای امنیتی و فنی قرار میگیرد.
بنابراین جای نگرانی وجود ندارد؛ هدف این پروژه صرفاً ارائه قابلیتهای اعلامشده است و هیچ نیازی به جمعآوری اطلاعات شخصی کاربران ندارد.
اول از همه، این پروژه از روز اول بهصورت Open Source توسعه داده شده و نسخه جدید آن نیز بهزودی در GitHub منتشر خواهد شد تا همه بتوانند سورس کد را بررسی کنند.
نکته دوم اینکه از نظر فنی، Flutter اساساً انتخاب رایجی برای توسعه RAT یا بدافزارهای اندرویدی نیست و معمولاً چنین ابزارهایی با فناوریها و ساختارهای کاملاً متفاوتی پیادهسازی میشوند.
مهمتر از همه، یک RAT برای انجام فعالیتهای مخرب معمولاً به مجوزهای حساس مختلفی نیاز دارد؛ در حالی که همانطور که قبلاً فایل AndroidManifest پروژه را منتشر کردم، نه تنها هیچ دسترسی حساسی مانند مخاطبین، پیامکها، تماسها یا فایلهای شخصی درخواست نشده، بلکه حتی مجوز دسترسی به اینترنت (Network Permission) نیز در برنامه تعریف نشده است.
همچنین این پروژه در آینده نزدیک در فروشگاههای معتبر اپلیکیشن نیز منتشر خواهد شد و طبیعتاً در آن پلتفرمها تحت بررسیهای امنیتی و فنی قرار میگیرد.
بنابراین جای نگرانی وجود ندارد؛ هدف این پروژه صرفاً ارائه قابلیتهای اعلامشده است و هیچ نیازی به جمعآوری اطلاعات شخصی کاربران ندارد.
❤3