45 subscribers
30 photos
22 videos
2 files
42 links
Freedom through power. Power through intelligence.| voidNetwork.ir
Download Telegram
شناخت، طبقه‌بندی، محدودسازی، مسدودسازی: DPI بسته‌ها را ابتدا شناسایی می‌کند (مثلاً می‌گوید فلان اتصال HTTPS است یا DNS است یا VPN). سپس بر اساس سیاست‌ها طبقه‌بندی می‌شود (مثلاً ترافیک اسکایپ، بیت‌تورنت یا VPN). اگر تصمیم به سانسور باشد، می‌تواند ارتباط را مسدود (Drop یا RST Injection) یا محدود (Throttle) کند. در نهایت ممکن است اطلاعاتی را ذخیره یا گزارش کند (مانند لاگ کردن سایت‌های بازدیدشده). مثلاً در ایران، دیده شده برخی ارتباطات غیرHTTP (مانند SSH, WireGuard, v2ray بدون tls) به طور کامل توسط پروتکل‌فیلتر رد می‌شوند، DNSهای خاص با پاسخ NXDOMAIN تزریق می‌شوند، و ترافیک TLS مربوط به شبکه‌های اجتماعی خاص با RST قطع می‌گردد.
3
part5
تحلیل موردی ایران
از لحاظ فنی، ایران یک سیستم فیلترینگ‌-در-عمق ترکیبی اجرا کرده است. این شامل فیلتر پروتکل (Protocol Filter) سطح پایین و DPI عمیق در لایه بالاتر می‌شود.
معماری فیلترینگ: گزارش‌ها نشان می‌دهد ایران تنها اجازه ترافیک DNS (پروتکل‌های شناسایی‌شده)، HTTP و HTTPS را داده و همه پروتکل‌های دیگر را مسدود کرده است. یعنی اگر بسته‌ای شبیه یک پروتکل غیرمجاز (مثل SSH، OpenVPN، یا WireGuard) در شبکه دیده شود، فیلتر آن را می‌اندازد. این فیلتر روی درگاه‌ها (پورت‌ها) و نیز امضای بسته تمرکز دارد: مثلاً اگر در TCP/443 دست‌دهی «TLS ClientHello» نیايد یا «HTTP GET» نیايد، قطع می‌شود. یافته‌ها نشان می‌دهد که فقط TLS «معمولی» و HTTP با Verbs خاص (GET, POST, HEAD, CONNECT, OPTIONS, DELETE, PUT) مجاز هستند؛ دو Verb دیگر (PATCH و TRACE) مسدودند. از نظر IP، فیلتر روی برخی IPها و نشانی‌های عمومی اعمال نمی‌شود (مثلاً آی‌پی‌های داخلی یا برخی CDNها)، اما روی بیشتر شبکه‌های خارجی فعال است.
نقش DPI: علاوه بر فیلتر پروتکل، ایران از DPI برای فیلتر محتوا استفاده می‌کند. به ویژه TLS Inspection دیده شده است: در جریان اعتراضات ۲۰۱۸، مشخص شد این DPI ترافیک TLS را بازرسی می‌کند تا دست‌دهی را برای سرویس‌های مانند Instagram شناسایی کند. آزمایش‌ها نشان داد هم فیلد SNI و هم Common Name گواهی TLS بازرسی می‌شوند و ارتباطی با Instagram در هر کجا که ظاهر شود قطع می‌شود. DPI در ایران معمولاً روی فیلدهای واضح TLS (و HTTP) متمرکز است، چرا که اتصال TLS را درون HTTPS مسدود می‌کند و پس از آن معمولاً بازگشت ترافیک (TCP RST) می‌فرستد. همچنین گزارش شده که برخی مبتنی بر TLS (مانند SoftEther یا پروکسی‌های مشابه) در صورت عدم انطباق دقیق با فیلتر (مثلاً SNI اشتباه) توسط DPI مسدود می‌شوند.
نقش DNS Filtering: ایران برای مسدودسازی گسترده، همواره DNS را دستکاری کرده. طی سال‌ها غالباً دامنه‌های داخلی و خارجی با پاسخ‌های NXDOMAIN یا IPهای داخلی پاسخ داده شده‌اند. با نصب DNS رمزنگاری‌شده (DoH/DoT) کاربران می‌توانند از سانسور DNS اجتناب کنند، اما فیلتر پروتکل ایران احتمالاً تلاش می‌کند پورت 853 و 443 غیرمرتبط را نیز مسدود کند. همچنین ممکن است DNS عمومی محبوب مثل Google یا Cloudflare را روی DNSهای محلی مسدود کنند. از لحاظ DPI، حتی یک پرسش DoH به میزبان خاص قابل تشخیص است (مثلاً SNI درخواست HTTPS به سرور DNS).
نقش SNI Filtering: همان‌طور که گفته شد، SNI در ایران با DPI بررسی می‌شود (مشخصاً امثال مطبوعات و شبکه‌های اجتماعی). به علاوه، استفاده از SNI رمزنگاری‌شده (ECH) فعلاً رایج نیست. از آنجایی که کلاینت ECH نیاز دارد اول ECHConfig را در DNS یا SNI (بخوانید: در handshake اصلی) دریافت کند، فایروال می‌تواند با بازرسی آن مبادله اولیه از ECH جلوگیری کند. به نظر می‌رسد ایران هنوز عمدتاً به مدل سنتی SNI متکی است (و به محض دیدن یک نام ممنوعه در SNI، ارتباط را قطع می‌کند).
نقش Active Probing: مستندات موثق کمتری در مورد پروب فعال در ایران وجود دارد، ولی گزارش‌های مردمی نشان می‌دهد IPهای پراکسی (مثلاً VPSهای تحت ترافیک اینترنت) گاهی ناگهان قطع می‌شوند و مجدداً برای کارهای غیرمعمول آزمایش می‌گردند. مثلاً گفته شده که قبل از قرار دادن پراکسی، یک سرور HTTPS روی همان آدرس بررسی می‌شود تا ببیند آیا «سیاه‌لیست» نیست. اگر ربات‌های فعال در ایران وجود داشته باشند، احتمالا سرورهای پرترافیک VPN/V2Ray را اسکن می‌کنند. تا کنون تایید رسمی نشده اما به نظر فعال هستند.
نقش Traffic Analysis: DPI ابزار اصلی ایران است، اما ممکن است شبکه در برخی نقاط از تحلیل همزمان بهره ببرد. برای مثال، در زمان اعتراضات اخیر، مشخص شد بسیاری از Probeها (مانند probeهای RIPE Atlas) قطع شدند که گواه آغاز اختلال عمیق بود. ممکن است رفتار بسته‌ها (مثلا تعداد اتصالات باز، یا الگوی ترافیک) زیر نظر باشد تا فعالیت غیرعادی تشخیص داده شود.
نقش IP Reputation: ایران فهرست‌های سیاه IP خاص (اغلب متعلق به سرویس‌های پروکسی، CDNها یا کشورهای خارجی) را نگه می‌دارد. اگر IP یک سرور متعلق به کشوری باشد که عموماً برای عبور از فیلتر استفاده می‌شود (مثلاً سوئد، آمریکا)، احتمال دارد در لیست انسداد قرار گیرد. همچنین، ISPهای ایرانی گاهی جستجوی IPهایی را که تحت تأثیر فایروال است مستقیماً سیاه‌لیست می‌کنند (مثلاً آی‌پی‌هایی که برای Tor یا L2TP شناخته شده‌اند). گزارش‌های مردمی هم اشاره کرده‌اند برخی IPهای VPS حتی قبل از نصب VPN مسدودند، که ظاهراً ناشی از این IP Reputation است.
شناسایی تکنولوژی‌های عبور:
1
برای هر روش عبور، بردار شناسایی مخصوص آن وجود دارد: VPNهای سنتی و V2Ray بدون TLS به روش اول (فیلتر پروتکل) فوراً مسدود می‌شوند؛ به طوری که «فیلتر ایران فقط DNS, HTTP, HTTPS» را قبول دارد. پروتکل‌هایی که دقیقا HTTPS را تقلید می‌کنند (Trojan، XTLS, OpenVPN/TCP) معمولاً عبور می‌کنند اما ممکن است توسط DPI محتوا یا زیرساخت‌های TLS تشخیص داده شوند. Shadowsocks/Outline توسط active probing/امضاء در نگاه اول قابل تشخیص است؛ VPNهای UDP (WireGuard) به دلیل الگوی باینری مشخص شناسایی می‌شوند.
در مجموع، ایران ابزارهای مختلفی در لایه‌های گوناگون به کار می‌گیرد:
ابتدا جریان را شناسایی می‌کند (انتخاب بر اساس آدرس/پورت/امضاء بسته)
سپس محتوا را (با DPI و امضاءها) طبقه‌بندی می‌کند
و در صورت لزوم ارتباط را با RST، DNS جعلی یا Drop مسدود/محدود می‌سازد.
این گزارش نتیجه تحقیقات گوناگون و گزارش‌های فنی است که برای هر موضوع به منابع معتبر (IETF, IEEE, USENIX, Cloudflare, متون TLS, DPI, گزارشات سانسور) استناد کرده‌ایم. اطلاعات مربوط به ایران عمدتاً از گزارش‌های میدان و تحقیقات مستقل استخراج شده است.
3
Mr. Nothing
V0IDNETWORK is an ongoing, open research effort to document — rigorously and accurately — how the modern Internet's circumvention and surveillance technologies actually work at the protocol level, in support of a more open and resilient Internet. 🌐 Website…
کانال یوتیوب و داشته باشین بزودی دوره c و شروع به آپلود میکنم
سر فصل ها:
مقدماتی C (حدود ۱۵ ساعت)
فصل 1: آشنایی با برنامه‌نویسی و زبان C (۱ ساعت)
برنامه‌نویسی چیست؟
زبان‌های سطح بالا و پایین
تاریخچه C
کاربردهای C
کامپایلر چیست؟
Interpreter و Compiler
نصب GCC
نصب VS Code
اجرای اولین برنامه
فصل 2: ساختار برنامه در C (۴۵ دقیقه)
تابع main
فایل‌های source
Header ها
دستورات
کامنت‌ها
استانداردهای نام‌گذاری
فصل 3: متغیرها و انواع داده (۱ ساعت)
مفهوم حافظه
متغیر چیست؟
int
float
double
char
bool
size_t
sizeof
محدوده انواع داده
فصل 4: ورودی و خروجی (۱ ساعت)
printf
scanf
فرمت‌ها
دریافت چند ورودی
خطاهای رایج scanf
فصل 5: عملگرها (۱ ساعت)
عملگرهای حسابی
تقدم عملگرها
عملگرهای مقایسه‌ای
عملگرهای منطقی
عملگرهای انتساب
افزایش و کاهش
فصل 6: شرط‌ها (۱.۵ ساعت)
if
if else
else if
switch case
عملگر سه‌تایی
مثال‌های عملی
فصل 7: حلقه‌ها (۱.۵ ساعت)
while
do while
for
break
continue
حلقه‌های تو در تو
فصل 8: توابع (۲ ساعت)
تعریف تابع
اعلان تابع
آرگومان‌ها
مقدار بازگشتی
Scope
توابع بازگشتی (Recursion)
فصل 9: آرایه‌ها (۱.۵ ساعت)
آرایه یک بعدی
پیمایش آرایه
جستجو
مرتب‌سازی ساده
آرایه دوبعدی
فصل 10: رشته‌ها (۱.۵ ساعت)
String چیست؟
آرایه char
fgets
strlen
strcpy
strcmp
strcat
فصل 11: پروژه‌های مقدماتی (۲ ساعت)
پروژه ماشین حساب
چهار عمل اصلی
پروژه حدس عدد
تولید عدد تصادفی
پروژه مدیریت نمرات
دریافت و محاسبه معدل
دوره پیشرفته C (حدود ۲۵ ساعت)
فصل 1: مرور سریع مباحث مقدماتی (۱ ساعت)
فصل 2: حافظه و مدل اجرای برنامه (۲ ساعت)
Stack
Heap
Data Segment
Code Segment
چرخه عمر متغیرها
فصل 3: Pointer ها از پایه تا پیشرفته (۴ ساعت)
مفهوم آدرس
Pointer Variables
Dereference
Pointer Arithmetic
Pointer و Array
Pointer و String
Pointer به Pointer
Void Pointer
Const Pointer
فصل 4: حافظه پویا (۲ ساعت)
malloc
calloc
realloc
free
Memory Leak
Dangling Pointer
فصل 5: ساختارها (Struct) (۲ ساعت)
تعریف Struct
Nested Struct
Struct Array
Struct و Pointer
فصل 6: Union و Enum (۱ ساعت)
Union
Enum
کاربردهای واقعی
فصل 7: فایل‌ها (۲ ساعت)
fopen
fclose
fprintf
fscanf
fread
fwrite
فایل‌های متنی
فایل‌های باینری
فصل 8: Preprocessor (۱.۵ ساعت)
#include
#define
Macro
Conditional Compilation
فصل 9: پروژه چند فایلی (۱.۵ ساعت)
Header File
Source File
Linker
Modular Programming
فصل 10: تابع‌های پیشرفته (۱.۵ ساعت)
Function Pointer
Callback
Variadic Functions
فصل 11: ساختمان داده با C (۴ ساعت)
Linked List
Single
Double
Stack
Queue
Circular Queue
فصل 12: الگوریتم‌ها در C (۲ ساعت)
Bubble Sort
Selection Sort
Insertion Sort
Binary Search
Linear Search
فصل 13: Debugging و Error Handling (۱ ساعت)
GDB
Debug در VS Code
Segmentation Fault
Buffer Overflow
فصل 14: پروژه‌های حرفه‌ای (۵ ساعت)
پروژه مدیریت کتابخانه
ذخیره در فایل
پروژه مدیریت کارمندان
CRUD کامل
پروژه دفترچه تلفن
جستجو
ذخیره
پروژه Student Management System
استفاده از Struct
File
Dynamic Memory
باج افزار
کیلاگر
رمز نگاری های پیشرفته

یه اپدیتم قراره بزودی ظبط کنم
بخش 1: معماری نرم‌افزارهای دسکتاپ (۱ ساعت)
Console Application
Desktop Application
Event Driven Programming
Message Loop
معماری GUI
طراحی پروژه‌های واقعی
بخش 2: آشنایی با GUI در C (۱ ساعت)
GUI چیست؟
Widget چیست؟
Button
TextBox
Label
Menu
Dialog

مقایسه:

GTK
Qt
WinAPI
SDL
بخش 3: GTK برای ساخت رابط گرافیکی (۴ ساعت)
نصب GTK
اولین پنجره
ساخت Window
Label
Button
Event Handling
Click Event
Keyboard Event
Layout
Grid
Box Layout
فرم‌ها
Text Entry
Combo Box
Check Box
پروژه
ماشین حساب گرافیکی
بخش 4: کار با فایل در اپلیکیشن‌ها (۱ ساعت)
Open File Dialog
Save File Dialog
خواندن فایل
ذخیره اطلاعات
بخش 5: ساخت نرم‌افزار Notepad (۲ ساعت)
Text Editor
Open
Save
Save As
Menu
بخش 6: پروژه مدیریت کاربران (۲ ساعت)
فرم ثبت
جستجو
ویرایش
حذف
ذخیره در فایل
بخش حرفه‌ای: Packaging و انتشار نرم‌افزار (۳ ساعت)
مفهوم Build
Debug Build
Release Build
ساخت فایل اجرایی
ویندوز
exe
dll
لینوکس
ELF
Shared Libraries
Dependency Management
کتابخانه‌های موردنیاز
Runtime Libraries
Installer سازی
Windows
Inno Setup
NSIS
Linux
deb
rpm
امضای نرم‌افزار
Code Signing
Versioning
∆ Join VOID
3
VOID pinned «part ۰ شبکه (Networking) در مدل مرجع OSI، داده‌ها از لایه کاربرد (مانند HTTP، DNS) به ترتیب به لایه‌های انتقال (TCP/UDP)، شبکه (IP)، پیوند داده (Ethernet) و فیزیکی منتقل می‌شوند. برای مثال یک بسته HTTP ابتدا در لایه کاربرد ساخته شده، در لایه انتقال با سرآیند…»
The One That Got Away
Katy Perry, B.o.B
In another life
I would make you stay
So I don't have to say
You were the one that got away
The one that got away
∆ Join VOID
3
چند وقتی هست که توی این پروگرام هستم
مجوز و که بدن بزودی رایتاپ هارو حالا با سانسور منتشر میکنم مراحلی داره تایید شدن ، شرکت زیر نظر هم باید تایید کنه
بزودی مطالب بیشتری منتشر میشه
تشکر از افرادی که در این چند سال همراه بنده بودن
∆ Join VOID
2
هرچقد که فکر میکنم تعداد اسیپ پذیری هایی که تا الان برای لینوکس اومده بیشتر از هر کرنل دیگه ای بوده
3
تلگرام هم گندش‌ در اومده زیرو دی زدن
تلگرام خودش اکسپت نکرده که حرکت بشدت غیر حرفه ای هستش
دارم راجبش میخونم بزودی مطالب براتون میزارم
هرچقد که دنیا سمت مدرن تر شدن میره جمله ای که هیچ سیستمی همیشه امن نیست بیشتر قدرت میگیره
اتفاقا سیستم هایی که بهشون اعتماد داریم بیشتر میتونن مورد توجه حملات قرار بگیرن
3
نتیجه یک پروگرام پرایوت خفن
و البته همکاری با افراد حرفه ای
∆ Join VOID
4
خب حالا که تموم شد وقتمون آزاد شد مطالب بیشتری بزاریم
2
APT28 (Fancy Bear) – روسیه (GRU)
متنسب به: ستاد کل نیروهای مسلح روسیه (سرویس اطلاعات نظامی GRU، یگان 26165).
اهداف اصلی: عملیات جاسوسی و تأثیرگذاری سیاسی؛ نمونه مشهور آن دخالت در انتخابات ریاست‌جمهوری آمریکا ۲۰۱۶ (نفوذ به شبکه‌های کمپین هیلاری کلینتون، کمیته ملی دموکرات‌ها و کمیته پول حزب دموکرات). همچنین حملات اطلاعاتی علیه نهادهای بین‌المللی (مثلاً آژانس جهانی ضد دوپینگ، OPCW) نیز ثبت شده است.
روش‌های نفوذ: استفاده از ایمیل‌های فیشینگ پیشرفته، سوء‌استفاده از آسیب‌پذیری‌ها (مثلاً CVE-2015-1701 برای افزایش سطح دسترسی)، و کنترل پنهانی زیرساخت‌های آلوده. آن‌ها دامنه‌های فیشینگ جعلی، صفحات وب‌سایت‌های ساده (Blogspot) و شبکه‌های بی‌سیم تقلبی (Wi‑Fi Pineapple) را برای ربودن اطلاعات کاربری به کار می‌گیرند.
نمونه حملات: علاوه بر انتخابات ۲۰۱۶ آمریکا، در سال ۲۰۱۸ دادستانی آمریکا پنج افسر GRU یگان 26165 را به جرم اجرای حملات سایبری (شامل دسترسی نزدیک به اهداف و دستکاری شیمیایی) در فاصله ۲۰۱۴–۲۰۱۸، از جمله حمله به یک تأسیسات هسته‌ای آمریکا، متهم کرد. این گروه با واحد 74455 (Sandworm) نیز همکاری داشته است.
اثرات و خسارت: فعالیت‌های APT28 پیامدهای گسترده‌ای در اعتماد عمومی و امنیت ملی داشت؛ حملات ۲۰۱۶ آمریکا باعث افشای حجم زیادی از اطلاعات حساس شد که هزینه‌ و خسارت آن در سطح سیاسی و مالی بسیار بالا بود.
1
APT29 (Cozy Bear) – روسیه (SVR)
منتسب به: سرویس اطلاعات خارجی روسیه (SVR). از سال ۲۰۰۸ فعال است و بر اهداف دولتی در اروپا، ناتو و مؤسسات تحقیقاتی تمرکز دارد.
اهداف: جاسوسی سیاستی و نظامی؛ از اهداف مهم این گروه می‌توان به نفوذ به کمیته ملی دموکرات‌ها (DNC) در تابستان ۲۰۱۵ اشاره کرد. همچنین در کارزار سراسری Supply-Chain حمله به نرم‌افزار مدیریت شبکه SolarWinds در ۲۰۱۹ (منتشرشده ۲۰۲۰) نقش داشته و امکان دسترسی به صدها سازمان خصوصی و دولتی در سطح جهانی را فراهم کرد.
روش‌ها: حملات زنجیره تأمین، بهره‌برداری از ۰-day، فیشینگ پیشرفته. در حمله SolarWinds به طراحی هوشمند ماژول‌های C2 و تغییرات در هویت‌های کاربران (مثل اعطای نقش ApplicationImpersonation) دست زد.
نمونه حملات: کمپین جاسوسی SolarWinds (UNC2452/NOBELIUM) که عملاً در اوت ۲۰۱۹ آغاز و اوایل ۲۰۲۱ افشاء شد؛ پیش از آن نفوذ به شبکه DNC ۲۰۱۵ نیز به این گروه نسبت داده شده بود.
اثرات و خسارت: حمله SolarWinds منجر به دسترسی گسترده به زیرساخت‌های اطلاعاتی شرکت‌ها و نهادهای دولتی متعدد شد و اثرات زنجیره‌ای (متحمل شدن داده‌های محرمانه) داشت. نفوذ به DNC و مؤسسات مشابه هم سبب لو رفتن اطلاعات سیاسی حساس شد.
1
Sandworm/Telebots (GRU) – روسیه
منتسب به: یگان 74455 ستاد GRU که با APT28 در برخی حملات همکاری داشته.
اهداف: زیرساخت‌های حیاتی و نظامی؛ نمونه‌ها شامل حمله NotPetya ۲۰۱۷ (شبه‌نابودگر باج‌افزار که اوکراین را هدف گرفت و میلیاردها دلار خسارت جهانی وارد کرد) و خرابکاری در شبکه انرژی اوکراین.
روش‌ها: انتشار گسترده باج‌افزار و بدافزارهای مخرب مبتنی بر سوئیچ روزنه امنیتی. این گروه از ابزارهای پیشرفته‌ برای انتشار سریع بدافزار در شبکه‌های صنعتی استفاده می‌کند.
اثرات: حملات Sandworm به تعلیق و تخریب سرویس‌های مهم انجامید. برای مثال باج‌افزار NotPetya باعث قطع سراسری سیستم‌ها و خسارت چند میلیارد دلاری به صنایع مختلف جهان شد (به‌ویژه خطوط تولید و حمل‌ونقل). (این حملات به عنوان عملیات جنگ سایبری گسترده مورد توجه قرار گرفت.)
1
Lazarus Group – کره‌شمالی
منتسب به: ‌سازمان اطلاعات کره شمالی (کسان مرتبط با سرویس شناسایی RGB). یکی از اصلی‌ترین بازوهای عملیات سایبری کره‌شمالی است (معروف به HIDDEN COBRA) و از اواسط دهه ۲۰۰۰ فعال بوده است.
اهداف: سرقت مالی و جاسوسی نظامی/صنعتی؛ از اهداف نهادهای دولتی، نظامی، مالی (از جمله بانک‌ها و صرافی‌های رمزارز)، رسانه و زیرساخت‌های حیاتی است.
روش‌ها: فیشینگ پیچیده، بدافزارهای سفارشی (باج‌افزار و بدافزارهای استخراج اطلاعات)، و دستکاری سیستم‌های کنترل. این گروه همچنـین به رمزنگاری/هماهنگی درون سازمانی برای پنهان‌کردن ردپاها شهرت دارد.
نمونه حملات: حمله باج‌افزار WannaCry در می ۲۰۱۷ (منتسب به لازاروس) که بیش از ۱۵۰ کشور را آلوده کرد و از جمله هک شبکۀ سلامت ملی بریتانیا (NHS) شد. هزینه این حمله برای NHS بالاتر از ۱۱۲ میلیون دلار برآورد شده است. همچنین حمله بزرگ به Sony Pictures سال ۲۰۱۴ (متعلق به این گروه است) و حملات متعددی به شبکه بانکی کشورها (از جمله تلاش ناکام برای سرقت ۸۵۱ میلیون دلار از بانک مرکزی بنگلادش) نیز توسط لازاروس انجام شده‌اند.
اثرات: از نظر مادی، حملات لازاروس میلیاردها دلار خسارت مستقیم به همراه داشته (مثلاً تلاش‌های ناموفق برای سرقت بیش از ۱/۱ میلیارد دلار از بانک‌ها تا ۲۰۱۸، و سرقت حدود ۸۱ میلیون دلار از حساب بانک مرکزی بنگلادش). پیچیدگی کار و تأثیرات گسترده سیاسی-اقتصادی آن بسیار قابل توجه است.
1
APT38 (BlueNoroff) – کره‌شمالی
زیرمجموعه لازاروس: بر اساس گزارش خزانه‌داری آمریکا، BlueNoroff شاخه‌ای از لازاروس است که برای کسب درآمد نامشروع جهت تأمین برنامه‌های تسلیحاتی تشکیل شده.
اهداف: مؤسسات مالی و بانکی. تمرکز آن روی حملات سایبری-مالی و سرقت از بانک‌های خارجی و صرافی‌های رمزارز است.
روش‌ها: فیشینگ مهندسی اجتماعی و نفوذ از طریق بدافزارهای پیشرفته برای کنترل شبکه‌های داخلی بانک‌ها.
نمونه حملات: تلاش‌های متعددی برای سرقت وجوه از طریق سیستم پیام‌رسان بانکی SWIFT انجام داد. معروف‌ترین عملیات مشترک با لازاروس، هک بانک مرکزی بنگلادش (۲۰۱۶) بود که حدود ۸۱ میلیون دلار سرقت شد و طرح اولیه برای دزدیدن مجموع ۸۵۱ میلیون دلار، به دلیل خطای تایپی ناکام ماند.
اثرات: از سال ۲۰۱۴ تا ۲۰۱۸، برآورد شده این گروه بیش از ۱/۱ میلیارد دلار از مؤسسات مالی سراسر جهان (شامل بانک‌های آسیایی و صرافی‌های رمزارز) اقدام به سرقت کرده است. این فعالیت‌ها نشان‌دهندۀ تحولی در استفاده از حملات دیجیتال برای دورزدن تحریم‌ها و کسب منابع مالی توسط کره‌شمالی است.
APT41 (Double Dragon/Barium) – چین
منتسب به: احتمالاً وزارت امنیت دولتی چین (MSS) یا پیمانکاران دولتی. این گروه از حدود ۲۰۱۲ فعال است و تاکتیک ویژه‌ای دارد.
اهداف: دوگانه – جاسوسی دولتی و کسب درآمد شخصی. بخش جاسوسی بر سازمان‌های فناوری، سلامت و ارتباطات متمرکز است؛ بخش مجرمانه آن بر صنعت بازی‌های ویدئویی (سرقت منابع دیجیتال، حمله باج‌افزار) متمرکز بوده است.
روش‌ها: حملات فیشینگ‌محور و بهره‌برداری از زنجیره تأمین نرم‌افزار. APT41 در برخی کمپین‌ها کدهای مخرب را مستقیماً در نرم‌افزارهای بازی یا به‌روزرسانی‌های قانونی تزریق کرده است. همچنین برای پنهان‌کاری و هدف‌گیری دقیق از سازوکارهایی نظیر تطبیق شناسه سیستم استفاده می‌کند تا بدافزارها تنها در ماشین‌های مشخص فعال شوند.
نمونه حملات: حملات متعدد به شرکت‌های بازی‌سازی بزرگ، دستکاری دارایی‌های دیجیتال و توزیع به‌روزرسانی‌های آلوده در زنجیره تأمین بازی‌ها. همزمان، نفوذهایی به بخش‌های دولتی (پتنت و فناوری پیشرفته) گزارش شده است.
اثرات: ترکیب عملیات جاسوسی و سایبرکلاهبرداری این گروه را از دیگر تهدیدها متمایز می‌کند. حملات زنجیره تأمین APT41 در صنعت بازی، علاوه بر خسارت مالی مستقیم (رمز ارزها و منابع بازی)، نشان‌دهنده تهدیدی پایدار برای زیرساخت‌های حیاتی نرم‌افزاری است.
1
APT10 (Stone Panda/MenuPass) – چین
منتسب به: دفتر تیانجین وزارت امنیت دولتی چین (MSS). از حدود ۲۰۰۹ فعال است.
اهداف: زیرساخت‌های فناوری اطلاعات (به‌ویژه ارائه‌دهندگان خدمات مدیریت شده، MSP) و شبکه شرکت‌های مشتری. نام دیگر آن “عملیات کلاود هاپر” است.
روش‌ها: نفوذ از طریق شرکت‌های خدمات IT. حملات هدفمند گسترده‌ای علیه ارائه‌کنندگان سرویس ابری اجرا کرده که در نهایت دسترسی به داده‌های مشتریان آن‌ها را ممکن ساخت. از ابزارهای پیشرفته و صفر-روز در این حملات استفاده کرده است.
نمونه حملات: «عملیات Cloud Hopper» که شرکت‌های بزرگ فناوری و خارجی را هدف قرار داد و توانست به شبکه بیش از یکصد شرکت چندملیتی نفوذ کند.
اثرات: در نتیجه، اطلاعات محرمانه تحقیقاتی و طرح‌های تجاری بسیاری از شرکت‌های بزرگ جهان به سرقت رفت. همچنین دو مجرم چینی مرتبط با APT10 در دادگاه آمریکا به اتهام‌های سایبری محکوم شدند (حدود ۲۰۱۸) که خود نشان‌دهنده ابعاد گسترده‌ی این کمپین‌ها بود.
1
APT1 (Unit 61398) – چین
منتسب به: ارتش آزادی‌بخش خلق چین (PLA)، پادگان 61398. فعال از سال ۲۰۰۶.
اهداف: جاسوسی اقتصادی گسترده؛ گروهی از افسران PLA را شامل می‌شود.
روش‌ها: استفاده از ده‌ها خانواده بدافزار اختصاصی برای سرقت داده، شامل ابزارهای پیشرفته جمع‌آوری اطلاعات.
نمونه حملات: گزارش مشهور ماندیانت (۲۰۱۳) نشان می‌دهد APT1 طی سال‌های متمادی به بیش از ۱۴۱ سازمان در صنایع مختلف (نفت و گاز، هوانوردی، رسانه و فناوری اطلاعات و…) حمله کرده است.
اثرات: حجم کل اطلاعات به سرقت رفته بسیار زیاد بود؛ این گزارش انتشار یافته توانست فعالیت‌های جاسوسی پرمخاطره را افشاء کند و درک جهانی از نقش چین در حملات سایبری را شکل دهد.
1