رتبهبندی حملات از نظر اهمیت
۱. Stuxnet (۲۰۱۰): احتمالاً مهمترین حمله سایبری تاریخی علیه ایران با تأثیر فیزیکی گسترده (نابودی سانتریفیوژها).
۲. Flame (۲۰۱۲): مجموعهبدافزاری پیچیده جاسوسی که عمدتاً در ایران و خاورمیانه شناسایی شد و اطلاعات حساسی را جمعآوری کرد.
۳. APT35 (Charming Kitten/Phosphorus): به علت دامنه جهانی عملیات جاسوسی (مخالفان سیاسی و اندیشکدهها در آمریکا و اروپا) و اقدامات متقابل بینالمللی (مسدودسازی دامنههای فیشینگ توسط مایکروسافت) اهمیت بالایی دارد.
۴. APT33/34 (Elfin/OilRig): حملات گسترده به صنایع هوافضا، انرژی و دولتی منطقه که سرقت مالکیت فکری و شناسایی زیرساختها را هدف قرار دادهاند.
۵. سایر عملیات بزرگ: از جمله حملات زنجیرهای Tortoiseshell به زیرساختهای انرژی و دفاع، کمپینهای گسترده MuddyWater در خاورمیانه و اروپا، و رخدادهای موسوم به Hack-and-Leak (افشای اطلاعات با انگیزه سیاسی) توسط گروههایی مانند Moses Staff. هرچند حجم حملات کمتری نسبت به موارد فوق دارند، اما به دلیل هدفگیری حیاتی و همگامی با منافع امنیتی، در سطح جهانی قابل توجه هستند.
منابع: بررسیهای CISA، گزارشهای Threat Intelligence شرکتها (Mandiant, Microsoft, CrowdStrike)، و منابع تحقیقاتی مستقل که بالا ذکر شد. کلیه اطلاعات فنی و جزییّات فوق بر پایه اسناد و تحلیلهای مستند استخراج شده است.
۱. Stuxnet (۲۰۱۰): احتمالاً مهمترین حمله سایبری تاریخی علیه ایران با تأثیر فیزیکی گسترده (نابودی سانتریفیوژها).
۲. Flame (۲۰۱۲): مجموعهبدافزاری پیچیده جاسوسی که عمدتاً در ایران و خاورمیانه شناسایی شد و اطلاعات حساسی را جمعآوری کرد.
۳. APT35 (Charming Kitten/Phosphorus): به علت دامنه جهانی عملیات جاسوسی (مخالفان سیاسی و اندیشکدهها در آمریکا و اروپا) و اقدامات متقابل بینالمللی (مسدودسازی دامنههای فیشینگ توسط مایکروسافت) اهمیت بالایی دارد.
۴. APT33/34 (Elfin/OilRig): حملات گسترده به صنایع هوافضا، انرژی و دولتی منطقه که سرقت مالکیت فکری و شناسایی زیرساختها را هدف قرار دادهاند.
۵. سایر عملیات بزرگ: از جمله حملات زنجیرهای Tortoiseshell به زیرساختهای انرژی و دفاع، کمپینهای گسترده MuddyWater در خاورمیانه و اروپا، و رخدادهای موسوم به Hack-and-Leak (افشای اطلاعات با انگیزه سیاسی) توسط گروههایی مانند Moses Staff. هرچند حجم حملات کمتری نسبت به موارد فوق دارند، اما به دلیل هدفگیری حیاتی و همگامی با منافع امنیتی، در سطح جهانی قابل توجه هستند.
منابع: بررسیهای CISA، گزارشهای Threat Intelligence شرکتها (Mandiant, Microsoft, CrowdStrike)، و منابع تحقیقاتی مستقل که بالا ذکر شد. کلیه اطلاعات فنی و جزییّات فوق بر پایه اسناد و تحلیلهای مستند استخراج شده است.
❤1
Stuxnet 2010:
1) آغاز توسعه (حدود 2005–2007)
بر اساس تحلیلهای مهندسی معکوس (خصوصاً Symantec و Kaspersky)، توسعه Stuxnet احتمالاً از میانه دهه 2000 (حدود 2005 یا 2006) شروع شده.
این فاز شامل:
طراحی payload برای PLCهای Siemens S7
توسعه rootkit در سطح kernel ویندوز
طراحی exploitهای Zero-Day متعدد (حداقل 4 تا 5 آسیبپذیری Zero-Day)
📌 نکته فنی:
استاکسنت یکی از اولین malwareهای شناختهشده با multi-zero-day weaponization در سطح APT دولتی است.
2) فاز تست و آمادهسازی عملیاتی (2007–2009)
در این دوره، نمونههای اولیه احتمالاً در محیطهای کنترلشده صنعتی (ICS testbeds) آزمایش شدند.
برخی شواهد نشان میدهد که:
رفتارهای مرتبط با PLC manipulation در محیطهای شبیهسازیشده Siemens بررسی شده
نسخههای اولیه از طریق USB propagation طراحی شده بودند (air-gapped network bypass)
📌 نکته مهم:
هیچ شواهد عمومی قطعی وجود ندارد که “نطنز در 2009 آلوده شد”؛ اما بر اساس تحلیلهای بعدی، آلودگی میتواند از 2007 تا 2009 رخ داده باشد.
3) استقرار در نطنز (احتمالاً 2007–2009، کشف بعدی)
هدف اصلی: تأسیسات غنیسازی اورانیوم نطنز
روش نفوذ:
USB worm propagation (به دلیل air-gap بودن شبکه)
استفاده از سیستمهای پیمانکار یا زنجیره تأمین انسانی (supply chain human vector)
payload:
دستکاری سرعت centrifugeها (IR-1 centrifuges)
ایجاد “physical degradation” بدون هشدار اپراتور
📌 تکنیک MITRE ATT&CK:
T1091 (Replication Through Removable Media)
T1204 (User Execution)
T1490 (Inhibit System Recovery)
ICS-specific manipulation (T0831 / T0855)
4) کشف عمومی (2010)
در ژوئن 2010 توسط VirusBlokAda کشف شد
سپس تحلیل گسترده توسط:
Symantec
Kaspersky
Microsoft
CISA / ICS-CERT
1) آغاز توسعه (حدود 2005–2007)
بر اساس تحلیلهای مهندسی معکوس (خصوصاً Symantec و Kaspersky)، توسعه Stuxnet احتمالاً از میانه دهه 2000 (حدود 2005 یا 2006) شروع شده.
این فاز شامل:
طراحی payload برای PLCهای Siemens S7
توسعه rootkit در سطح kernel ویندوز
طراحی exploitهای Zero-Day متعدد (حداقل 4 تا 5 آسیبپذیری Zero-Day)
📌 نکته فنی:
استاکسنت یکی از اولین malwareهای شناختهشده با multi-zero-day weaponization در سطح APT دولتی است.
2) فاز تست و آمادهسازی عملیاتی (2007–2009)
در این دوره، نمونههای اولیه احتمالاً در محیطهای کنترلشده صنعتی (ICS testbeds) آزمایش شدند.
برخی شواهد نشان میدهد که:
رفتارهای مرتبط با PLC manipulation در محیطهای شبیهسازیشده Siemens بررسی شده
نسخههای اولیه از طریق USB propagation طراحی شده بودند (air-gapped network bypass)
📌 نکته مهم:
هیچ شواهد عمومی قطعی وجود ندارد که “نطنز در 2009 آلوده شد”؛ اما بر اساس تحلیلهای بعدی، آلودگی میتواند از 2007 تا 2009 رخ داده باشد.
3) استقرار در نطنز (احتمالاً 2007–2009، کشف بعدی)
هدف اصلی: تأسیسات غنیسازی اورانیوم نطنز
روش نفوذ:
USB worm propagation (به دلیل air-gap بودن شبکه)
استفاده از سیستمهای پیمانکار یا زنجیره تأمین انسانی (supply chain human vector)
payload:
دستکاری سرعت centrifugeها (IR-1 centrifuges)
ایجاد “physical degradation” بدون هشدار اپراتور
📌 تکنیک MITRE ATT&CK:
T1091 (Replication Through Removable Media)
T1204 (User Execution)
T1490 (Inhibit System Recovery)
ICS-specific manipulation (T0831 / T0855)
4) کشف عمومی (2010)
در ژوئن 2010 توسط VirusBlokAda کشف شد
سپس تحلیل گسترده توسط:
Symantec
Kaspersky
Microsoft
CISA / ICS-CERT
❤3
Mr. Nothing
Stuxnet 2010: 1) آغاز توسعه (حدود 2005–2007) بر اساس تحلیلهای مهندسی معکوس (خصوصاً Symantec و Kaspersky)، توسعه Stuxnet احتمالاً از میانه دهه 2000 (حدود 2005 یا 2006) شروع شده. این فاز شامل: طراحی payload برای PLCهای Siemens S7 توسعه rootkit در سطح kernel…
اولین cyber-physical weapon واقعی بود
یعنی تخریب فیزیکی تجهیزات صنعتی
یعنی تخریب فیزیکی تجهیزات صنعتی
❤3
مرکز اصلی حملات APT
روسیه،کره شمالی، ایران،چین
هستن
واقعا حملاتی که توسط این چهار کشور انجام شده مهندسی شده و دقیق هست
هیچکس نمی دونه شاید همین الان هم هزاران حمله در حال عملیاتی شدن باشه
روسیه،کره شمالی، ایران،چین
هستن
واقعا حملاتی که توسط این چهار کشور انجام شده مهندسی شده و دقیق هست
هیچکس نمی دونه شاید همین الان هم هزاران حمله در حال عملیاتی شدن باشه
dwell time
❤3
یک سوءتفاهم خطرناک وجود دارد.
بعضیها تصور میکنند اگر روزی یک عملیات APT علیه زیرساختهای کشور انجام شود، مهاجم مستقیماً سراغ حساسترین مراکز خواهد رفت.
اما واقعیت دنیای حملات پیشرفته چیز دیگری است.
مهاجم حرفهای از جایی وارد میشود که کمترین توجه امنیتی روی آن وجود دارد.
از یک شعبه فراموششده.
از یک پیمانکار.
از یک لینک ارتباطی قدیمی.
از یک تجهیز Edge که ماهها یا سالها بهروزرسانی نشده است.
تاریخ امنیت سایبری بارها ثابت کرده که نفوذهای بزرگ معمولاً از ضعیفترین حلقه زنجیره آغاز میشوند، نه از قویترین.
نگرانی اصلی وجود یک آسیبپذیری نیست.
نگرانی اصلی این است که بسیاری از سازمانها حتی تصویر دقیقی از سطح حمله (Attack Surface) خود ندارند.
APTها برای ایجاد سر و صدا وارد شبکه نمیشوند.
آنها وارد میشوند تا دیده نشوند.
ماهها حضور پیدا میکنند.
اعتبارنامه جمعآوری میکنند.
دسترسیها را گسترش میدهند.
نقشه شبکه را ترسیم میکنند.
و زمانی شناسایی میشوند که بخش مهمی از مأموریت خود را انجام دادهاند.
سؤال واقعی این نیست که «آیا هدف حمله هستیم یا نه؟»
سؤال واقعی این است:
اگر همین حالا یک مهاجم سطح دولت-ملت در بخشی از زیرساخت حضور داشته باشد، چه کسی متوجه خواهد شد؟
یک ساعت بعد؟
یک هفته بعد؟
یا چند ماه یا چندسال بعد؟
سکوت شبکه الزاماً نشانه امنیت نیست.
گاهی فقط نشانه این است که هنوز کسی ردپاها را پیدا نکرده است
من از سکوت بیشتر ترس دارم .
بعضیها تصور میکنند اگر روزی یک عملیات APT علیه زیرساختهای کشور انجام شود، مهاجم مستقیماً سراغ حساسترین مراکز خواهد رفت.
اما واقعیت دنیای حملات پیشرفته چیز دیگری است.
مهاجم حرفهای از جایی وارد میشود که کمترین توجه امنیتی روی آن وجود دارد.
از یک شعبه فراموششده.
از یک پیمانکار.
از یک لینک ارتباطی قدیمی.
از یک تجهیز Edge که ماهها یا سالها بهروزرسانی نشده است.
تاریخ امنیت سایبری بارها ثابت کرده که نفوذهای بزرگ معمولاً از ضعیفترین حلقه زنجیره آغاز میشوند، نه از قویترین.
نگرانی اصلی وجود یک آسیبپذیری نیست.
نگرانی اصلی این است که بسیاری از سازمانها حتی تصویر دقیقی از سطح حمله (Attack Surface) خود ندارند.
APTها برای ایجاد سر و صدا وارد شبکه نمیشوند.
آنها وارد میشوند تا دیده نشوند.
ماهها حضور پیدا میکنند.
اعتبارنامه جمعآوری میکنند.
دسترسیها را گسترش میدهند.
نقشه شبکه را ترسیم میکنند.
و زمانی شناسایی میشوند که بخش مهمی از مأموریت خود را انجام دادهاند.
سؤال واقعی این نیست که «آیا هدف حمله هستیم یا نه؟»
سؤال واقعی این است:
اگر همین حالا یک مهاجم سطح دولت-ملت در بخشی از زیرساخت حضور داشته باشد، چه کسی متوجه خواهد شد؟
یک ساعت بعد؟
یک هفته بعد؟
یا چند ماه یا چندسال بعد؟
سکوت شبکه الزاماً نشانه امنیت نیست.
گاهی فقط نشانه این است که هنوز کسی ردپاها را پیدا نکرده است
من از سکوت بیشتر ترس دارم .
❤3
Forwarded from Ping Channel (علی کیائیفر)
#مرکز_ملی_فضایمجازی
خبر، تحلیل، انتقاد - فناوری اطلاعات
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3
Mr. Nothing
app-release.apk
برای دوستانی که درباره امنیت پروژه و احتمال RAT بودن آن سؤال داشتند، بد نیست چند نکته را شفاف توضیح بدهم:
اول از همه، این پروژه از روز اول بهصورت Open Source توسعه داده شده و نسخه جدید آن نیز بهزودی در GitHub منتشر خواهد شد تا همه بتوانند سورس کد را بررسی کنند.
نکته دوم اینکه از نظر فنی، Flutter اساساً انتخاب رایجی برای توسعه RAT یا بدافزارهای اندرویدی نیست و معمولاً چنین ابزارهایی با فناوریها و ساختارهای کاملاً متفاوتی پیادهسازی میشوند.
مهمتر از همه، یک RAT برای انجام فعالیتهای مخرب معمولاً به مجوزهای حساس مختلفی نیاز دارد؛ در حالی که همانطور که قبلاً فایل AndroidManifest پروژه را منتشر کردم، نه تنها هیچ دسترسی حساسی مانند مخاطبین، پیامکها، تماسها یا فایلهای شخصی درخواست نشده، بلکه حتی مجوز دسترسی به اینترنت (Network Permission) نیز در برنامه تعریف نشده است.
همچنین این پروژه در آینده نزدیک در فروشگاههای معتبر اپلیکیشن نیز منتشر خواهد شد و طبیعتاً در آن پلتفرمها تحت بررسیهای امنیتی و فنی قرار میگیرد.
بنابراین جای نگرانی وجود ندارد؛ هدف این پروژه صرفاً ارائه قابلیتهای اعلامشده است و هیچ نیازی به جمعآوری اطلاعات شخصی کاربران ندارد.
اول از همه، این پروژه از روز اول بهصورت Open Source توسعه داده شده و نسخه جدید آن نیز بهزودی در GitHub منتشر خواهد شد تا همه بتوانند سورس کد را بررسی کنند.
نکته دوم اینکه از نظر فنی، Flutter اساساً انتخاب رایجی برای توسعه RAT یا بدافزارهای اندرویدی نیست و معمولاً چنین ابزارهایی با فناوریها و ساختارهای کاملاً متفاوتی پیادهسازی میشوند.
مهمتر از همه، یک RAT برای انجام فعالیتهای مخرب معمولاً به مجوزهای حساس مختلفی نیاز دارد؛ در حالی که همانطور که قبلاً فایل AndroidManifest پروژه را منتشر کردم، نه تنها هیچ دسترسی حساسی مانند مخاطبین، پیامکها، تماسها یا فایلهای شخصی درخواست نشده، بلکه حتی مجوز دسترسی به اینترنت (Network Permission) نیز در برنامه تعریف نشده است.
همچنین این پروژه در آینده نزدیک در فروشگاههای معتبر اپلیکیشن نیز منتشر خواهد شد و طبیعتاً در آن پلتفرمها تحت بررسیهای امنیتی و فنی قرار میگیرد.
بنابراین جای نگرانی وجود ندارد؛ هدف این پروژه صرفاً ارائه قابلیتهای اعلامشده است و هیچ نیازی به جمعآوری اطلاعات شخصی کاربران ندارد.
❤3