44 subscribers
30 photos
22 videos
2 files
42 links
Freedom through power. Power through intelligence.| voidNetwork.ir
Download Telegram
Mr. Nothing
نمونه‌های برجسته APT مرتبط با ایران
Moses Staff (گروه DEV-0500): گروهی هکری ایرانی که از سپتامبر ۲۰۲۱ گزارش شده و عمدتاً شرکت‌های اسرائیلی را هدف می‌گیرد. این گروه خود را به عنوان مهاجمانی سیاسی معرفی کرده که با افشای گسترده اطلاعات حساس و رمزگذاری شبکه‌های قربانی (بدون اخذ باج) قصد «آسیب‌رساندن» به سازمان‌ها را دارند. روش نفوذ: حملات سایبری نوین شامل نفوذ به زیرساخت‌های عمومی (مثلاً بهره‌برداری از Exchange Server)، انتشار وب‌شل و اسکریپت‌های خودکار، و استفاده از بدافزارهای رمزگذاری سفارشی (مانند ابزار DiskCryptor). این گروه از روش‌های پوشش (کدگذاری/رمزگذاری داده‌ها) استفاده می‌کند تا نشانه‌گذاری تحقیقات را دشوار سازد. نمونه حملات: چند حمله علیه شرکت‌های صنعتی و خدماتی در اسرائیل و حتی کشورهای دیگر (ایتالیا، آمریکا)، شامل انتشار دسته‌ای از فایل‌های در اختیار عموم و رمزارز کردن درایوها. اثرات: اختلال عمده در عملیات شبکه‌ای قربانیان و افشای اطلاعات محرمانه؛ اهمیت این حملات در نوع «جنگ اطلاعات» و انگیزش سیاسی آشکار است.
کشور/گروه منتسب: جمهوری اسلامی ایران (سپاه پاسداران / واحد سایبری ارتش)
اهداف: عملیات انتقام‌جویانه علیه نهادهای اسرائیلی و غیراسرائيلي (شرکت‌های خصوصی و دولتی)، با انگیزه سیاسی/ایدئولوژیک
روش‌های نفوذ: بهره‌برداری از آسیب‌پذیری‌های عمومی (مانند سرورهای Exchange)، استقرار وب‌شل، بدافزارهای رمزگذاری سفارشی (DiskCryptor)، اسکریپت‌های حذف یا قفل‌سازی داده بدون درخواست باج
نمونه حملات: حملات متعدد در ۲۰۲۱ تا کنون علیه بنگاه‌های اسرائیلی (امنیتی و مالی)، شامل سرقت داده‌های محرمانه و انتشار آن‌ها در شبکه‌های اجتماعی و رمزگذاری فایل‌ها توسط بدافزارِ مشابه رانسوم‌ویر
اثرات: کاهش کارایی عملیاتی و افشای سازمانی قربانیان، ایجاد ترس و بی‌اعتمادی عمومی با انتشار اطلاعات محرمانه (جنگ روانی)، و بالا بردن تنش سیاسی از طریق عملیات سایبری آشکار.
1
Mr. Nothing
نمونه‌های برجسته APT مرتبط با ایران
Stuxnet (عملیات Olympic Games): بدافزاری پیشرفته که در سال ۲۰۱۰ کشف شد و هدف آن تأسیسات غنی‌سازی هسته‌ای ایران (کارخانه نطنز) بود. گرچه رسماً عامل آن اعلام نشد، منابع متعدد آمریکا و اسرائیل را مسئول این حمله می‌دانند. روش نفوذ: یک کرم کامپیوتری با سه جزء اصلی (پخش‌گری، payload و rootkit) بود که از طریق حافظه‌ی USB وارد شبکه‌های حساس می‌شد. استاکس‌نت از چهار آسیب‌پذیری صفر-روز در ویندوز و کار با نرم‌افزار کنترل صنعتی Siemens Step7 بهره برد. پس از نفوذ، Stuxnet برنامه‌های PLC کنترل‌کننده ماشین‌های سانتریفیوژ را تغییر می‌داد تا سرعت غیرطبیعی ایجاد کند و در نتیجه سبب تخریب آن‌ها شود. اثرات: تقریبا ۲۰٪ از سانتریفیوژهای ایران نابود شد و خسارت اقتصادی و تأخیر قابل‌توجهی به برنامه هسته‌ای این کشور وارد آمد. این عملیات، اولین مورد از حملات سایبری با تأثیر فیزیکی گسترده شناخته‌شده است.
کشور/گروه منتسب: ایالات متحده و اسرائیل (بر اساس گزارش‌های مستقل)
اهداف: خرابکاری صنعتی در برنامه هسته‌ای ایران (کارخانه غنی‌سازی نطنز)
روش‌های نفوذ: استفاده از چهار آسیب‌پذیری صفر-روز ویندوز، انتشار کرم از طریق حافظه USB، مخفی‌سازی rootkit برای نفوذ به PLCهای زیمنس
نمونه حملات: ویروس انحصاری Stuxnet که موجب تغییر برنامه‌های کنترلی سانتریفیوژها شد
اثرات: تخریب فیزیکی گسترده سانتریفیوژها (حدود یک‌پنجم آن‌ها) و ایجاد وقفه در چرخه هسته‌ای ایران.
1
روند تکامل APTها در دهه اخیر
در سال‌های اخیر، گروه‌های APT ایرانی از مرحله استفاده از بدافزارهای ساده و حملات ابتدایی به تاکتیک‌های پیچیده و چندمرحله‌ای تبدیل شده‌اند. به‌ویژه پس از حمله استاکس‌نت (۲۰۱۰) به تأسیسات هسته‌ای ایران که نشان داد درگیری سایبری می‌تواند اثر فیزیکی داشته باشد، تهران سرمایه‌گذاری عظیمی در توسعه توانمندی‌های سایبری کرد. با گذشت یک دهه، همگام با رقبا (روسیه/چین)، تهدیدگران ایرانی بر انعطاف‌پذیری و خودکارسازی کار خود افزوده‌اند. به‌عنوان مثال، ابزارهایی چون بدافزارهای روز-صفر پیشرفته، فعالیت‌های پنهان (fileless)، و استفاده از پلتفرم‌های ابری برای پایداری در شبکه مشاهده شده‌است.
تغییر تکنیک‌ها: در گذشته غالب APTها به spear-phishing و بدافزارهای عمومی متکی بودند، اما اکنون حملات پیچیده‌تر شده است. گروه‌هایی مانند Tortoiseshell به حملات زنجیره تأمین روی آورده‌اند (نفوذ به تأمین‌کنندگان فناوری برای دسترسی به شبکه‌های مشتریان). همچنین، بهره‌برداری از آسیب‌پذیری‌های شناخته‌شده (مانند حملات ProxyShell روی Exchange) جایگزین برخی عملیات هدف‌مند خاص شده است. سازمان CISA و FBI هم هشدار داده‌اند APTهای ایرانی بیشتر به جای هدف‌گیری بخش خاص، عمدتاً از رخنه‌های عمومی استفاده می‌کنند و سپس از دسترسی به روش‌هایی چون Credential Access، Lateral Movement و حتی Ransomware‌های «living-off-the-land» برای تحمیل خسارت استفاده می‌کنند.
صنایع هدف: اولویت اصلی این APTها حوزه‌های امنیتی، انرژی و اطلاعاتی است. طبق گزارش‌ها، حملات APT ایرانی دولت‌ها، صنایع نفت و گاز، پتروشیمی و زیرساخت‌های حیاتی (تأمین برق، بهداشت، حمل‌ونقل) را هدف قرار داده‌اند. به‌ویژه می‌توان به هدف‌گیری صنعت دفاعی و فضایی توسط APT33، شرکت‌های دولتی و بانک‌ها توسط APT34، و مخابرات و حمل‌ونقل (برای ردیابی افراد) توسط APT39 اشاره کرد. اخیراً نیز حوزه سلامت و خدمات عمومی در آمریکا و استرالیا در تیررس این حملات قرار گرفته است. در مجموع، دولت، صنایع انرژی (نفت/هسته‌ای)، گردشگری/مخابرات (داده‌های شهری)، و بخش مالی-فناوری بیشترین «جاذبه اطلاعاتی» را برای این گروه‌ها دارند.
1
رتبه‌بندی حملات از نظر اهمیت
۱. Stuxnet (۲۰۱۰): احتمالاً مهم‌ترین حمله سایبری تاریخی علیه ایران با تأثیر فیزیکی گسترده (نابودی سانتریفیوژها).
۲. Flame (۲۰۱۲): مجموعه‌بدافزاری پیچیده جاسوسی که عمدتاً در ایران و خاورمیانه شناسایی شد و اطلاعات حساسی را جمع‌آوری کرد.
۳. APT35 (Charming Kitten/Phosphorus): به علت دامنه جهانی عملیات جاسوسی (مخالفان سیاسی و اندیشکده‌ها در آمریکا و اروپا) و اقدامات متقابل بین‌المللی (مسدودسازی دامنه‌های فیشینگ توسط مایکروسافت) اهمیت بالایی دارد.
۴. APT33/34 (Elfin/OilRig): حملات گسترده به صنایع هوافضا، انرژی و دولتی منطقه که سرقت مالکیت فکری و شناسایی زیرساخت‌ها را هدف قرار داده‌اند.
۵. سایر عملیات بزرگ: از جمله حملات زنجیره‌ای Tortoiseshell به زیرساخت‌های انرژی و دفاع، کمپین‌های گسترده MuddyWater در خاورمیانه و اروپا، و رخدادهای موسوم به Hack-and-Leak (افشای اطلاعات با انگیزه سیاسی) توسط گروه‌هایی مانند Moses Staff. هرچند حجم حملات کمتری نسبت به موارد فوق دارند، اما به دلیل هدف‌گیری حیاتی و همگامی با منافع امنیتی، در سطح جهانی قابل توجه هستند.
منابع: بررسی‌های CISA، گزارش‌های Threat Intelligence شرکت‌ها (Mandiant, Microsoft, CrowdStrike)، و منابع تحقیقاتی مستقل که بالا ذکر شد. کلیه اطلاعات فنی و جزییّات فوق بر پایه اسناد و تحلیل‌های مستند استخراج شده است.
1
Stuxnet 2010:
1) آغاز توسعه (حدود 2005–2007)
بر اساس تحلیل‌های مهندسی معکوس (خصوصاً Symantec و Kaspersky)، توسعه Stuxnet احتمالاً از میانه دهه 2000 (حدود 2005 یا 2006) شروع شده.
این فاز شامل:
طراحی payload برای PLCهای Siemens S7
توسعه rootkit در سطح kernel ویندوز
طراحی exploitهای Zero-Day متعدد (حداقل 4 تا 5 آسیب‌پذیری Zero-Day)
📌 نکته فنی:
استاکس‌نت یکی از اولین malwareهای شناخته‌شده با multi-zero-day weaponization در سطح APT دولتی است.
2) فاز تست و آماده‌سازی عملیاتی (2007–2009)
در این دوره، نمونه‌های اولیه احتمالاً در محیط‌های کنترل‌شده صنعتی (ICS testbeds) آزمایش شدند.
برخی شواهد نشان می‌دهد که:
رفتارهای مرتبط با PLC manipulation در محیط‌های شبیه‌سازی‌شده Siemens بررسی شده
نسخه‌های اولیه از طریق USB propagation طراحی شده بودند (air-gapped network bypass)
📌 نکته مهم:
هیچ شواهد عمومی قطعی وجود ندارد که “نطنز در 2009 آلوده شد”؛ اما بر اساس تحلیل‌های بعدی، آلودگی می‌تواند از 2007 تا 2009 رخ داده باشد.
3) استقرار در نطنز (احتمالاً 2007–2009، کشف بعدی)
هدف اصلی: تأسیسات غنی‌سازی اورانیوم نطنز
روش نفوذ:
USB worm propagation (به دلیل air-gap بودن شبکه)
استفاده از سیستم‌های پیمانکار یا زنجیره تأمین انسانی (supply chain human vector)
payload:
دستکاری سرعت centrifugeها (IR-1 centrifuges)
ایجاد “physical degradation” بدون هشدار اپراتور
📌 تکنیک MITRE ATT&CK:
T1091 (Replication Through Removable Media)
T1204 (User Execution)
T1490 (Inhibit System Recovery)
ICS-specific manipulation (T0831 / T0855)
4) کشف عمومی (2010)
در ژوئن 2010 توسط VirusBlokAda کشف شد
سپس تحلیل گسترده توسط:
Symantec
Kaspersky
Microsoft
CISA / ICS-CERT
3
VOID pinned «نمونه‌های برجسته APT مرتبط با ایران»
مرکز اصلی حملات APT
روسیه،کره شمالی، ایران،چین
هستن
واقعا حملاتی که توسط این چهار کشور انجام شده مهندسی شده و دقیق هست
هیچکس نمی دونه شاید همین الان هم هزاران حمله در حال عملیاتی شدن باشه
dwell time
3
یک سوءتفاهم خطرناک وجود دارد.

بعضی‌ها تصور می‌کنند اگر روزی یک عملیات APT علیه زیرساخت‌های کشور انجام شود، مهاجم مستقیماً سراغ حساس‌ترین مراکز خواهد رفت.

اما واقعیت دنیای حملات پیشرفته چیز دیگری است.

مهاجم حرفه‌ای از جایی وارد می‌شود که کمترین توجه امنیتی روی آن وجود دارد.

از یک شعبه فراموش‌شده.
از یک پیمانکار.
از یک لینک ارتباطی قدیمی.
از یک تجهیز Edge که ماه‌ها یا سال‌ها به‌روزرسانی نشده است.

تاریخ امنیت سایبری بارها ثابت کرده که نفوذهای بزرگ معمولاً از ضعیف‌ترین حلقه زنجیره آغاز می‌شوند، نه از قوی‌ترین.

نگرانی اصلی وجود یک آسیب‌پذیری نیست.

نگرانی اصلی این است که بسیاری از سازمان‌ها حتی تصویر دقیقی از سطح حمله (Attack Surface) خود ندارند.

APTها برای ایجاد سر و صدا وارد شبکه نمی‌شوند.

آن‌ها وارد می‌شوند تا دیده نشوند.

ماه‌ها حضور پیدا می‌کنند.
اعتبارنامه جمع‌آوری می‌کنند.
دسترسی‌ها را گسترش می‌دهند.
نقشه شبکه را ترسیم می‌کنند.
و زمانی شناسایی می‌شوند که بخش مهمی از مأموریت خود را انجام داده‌اند.

سؤال واقعی این نیست که «آیا هدف حمله هستیم یا نه؟»

سؤال واقعی این است:

اگر همین حالا یک مهاجم سطح دولت-ملت در بخشی از زیرساخت حضور داشته باشد، چه کسی متوجه خواهد شد؟

یک ساعت بعد؟

یک هفته بعد؟

یا چند ماه یا چندسال بعد؟


سکوت شبکه الزاماً نشانه امنیت نیست.

گاهی فقط نشانه این است که هنوز کسی ردپاها را پیدا نکرده است
من از سکوت بیشتر ترس دارم .
3
Forwarded from Ping Channel (علی کیائی‌فر)
📝اطلاعیه فرماندهی سایبری کشور درباره اختلال در خدمات کارت‌محور بانکی
⬛️در پی رصد و بررسی‌های فنی صورت‌گرفته در مرکز فرماندهی سایبری، مشخص شد اختلال ایجادشده در سامانه‌های کارت‌محور برخی بانک‌ها از جمله بانک‌های ملی، صادرات و تجارت ناشی از یک حمله سایبری هدفمند به زیرساخت‌های مرتبط بوده است.
⬛️بر اساس ارزیابی‌های اولیه، این حمله با هدف ایجاد اختلال در ارائه خدمات بانکی انجام شده و بلافاصله پس از شناسایی، اقدامات دفاعی و حفاظتی در سطح شبکه‌های بانکی و سامانه‌های پردازش تراکنش فعال گردید. در همین راستا و به‌منظور جلوگیری از هرگونه سوءاستفاده احتمالی و حفظ امنیت داده‌ها و دارایی‌های مشتریان، بخشی از خدمات مبتنی بر کارت به‌صورت موقت از دسترس خارج شده است.
⬛️تیم‌های تخصصی امنیت سایبری، کارشناسان زیرساخت و مراکز عملیات امنیت در حال پایش لحظه‌ای سامانه‌ها و رفع آثار این حمله هستند و فرآیند بازگردانی کامل خدمات با بالاترین سطح ایمنی در حال انجام است.
⬛️فرماندهی سایبری کشور ضمن اطمینان‌بخشی به شهروندان اعلام می‌کند امنیت داده‌ها و دارایی‌های بانکی مردم در اولویت کامل قرار دارد و هرگونه اقدام مخرب در فضای سایبری با رصد، مقابله و پیگیری تخصصی مواجه خواهد شد.
⬛️از شهروندان گرامی درخواست می‌شود اخبار و اطلاعیه‌های تکمیلی را صرفاً از طریق مراجع رسمی دنبال کنند.
#مرکز_ملی‌_فضای‌مجازی

✈️@PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🅰️🅰️🅰️🅰️
Please open Telegram to view this post
VIEW IN TELEGRAM
3
Media is too big
VIEW IN TELEGRAM
∆ Join VOID
3
app-release.apk
48.5 MB
Cipher guard
Source
∆ Join VOID
3
Mr. Nothing
app-release.apk
نمیدونم مایکت تایید می‌کنه یا نه
احتمالا بگن اسرائیل و حذف کن😂
3
ولی مایکت میزارمش
گوگل پلی جدی دردسر داره
3
VOID pinned a file
Mr. Nothing
app-release.apk
برای دوستانی که درباره امنیت پروژه و احتمال RAT بودن آن سؤال داشتند، بد نیست چند نکته را شفاف توضیح بدهم:

اول از همه، این پروژه از روز اول به‌صورت Open Source توسعه داده شده و نسخه جدید آن نیز به‌زودی در GitHub منتشر خواهد شد تا همه بتوانند سورس کد را بررسی کنند.

نکته دوم اینکه از نظر فنی، Flutter اساساً انتخاب رایجی برای توسعه RAT یا بدافزارهای اندرویدی نیست و معمولاً چنین ابزارهایی با فناوری‌ها و ساختارهای کاملاً متفاوتی پیاده‌سازی می‌شوند.

مهم‌تر از همه، یک RAT برای انجام فعالیت‌های مخرب معمولاً به مجوزهای حساس مختلفی نیاز دارد؛ در حالی که همان‌طور که قبلاً فایل AndroidManifest پروژه را منتشر کردم، نه تنها هیچ دسترسی حساسی مانند مخاطبین، پیامک‌ها، تماس‌ها یا فایل‌های شخصی درخواست نشده، بلکه حتی مجوز دسترسی به اینترنت (Network Permission) نیز در برنامه تعریف نشده است.

همچنین این پروژه در آینده نزدیک در فروشگاه‌های معتبر اپلیکیشن نیز منتشر خواهد شد و طبیعتاً در آن پلتفرم‌ها تحت بررسی‌های امنیتی و فنی قرار می‌گیرد.

بنابراین جای نگرانی وجود ندارد؛ هدف این پروژه صرفاً ارائه قابلیت‌های اعلام‌شده است و هیچ نیازی به جمع‌آوری اطلاعات شخصی کاربران ندارد.
3
Mr. Nothing
app-release.apk
3