The One That Got Away
Katy Perry, B.o.B
In another life
I would make you stay
So I don't have to say
You were the one that got away
The one that got away
I would make you stay
So I don't have to say
You were the one that got away
The one that got away
∆ Join VOID ∆
❤3
هرچقد که فکر میکنم تعداد اسیپ پذیری هایی که تا الان برای لینوکس اومده بیشتر از هر کرنل دیگه ای بوده
❤3
تلگرام هم گندش در اومده زیرو دی زدن
تلگرام خودش اکسپت نکرده که حرکت بشدت غیر حرفه ای هستش
دارم راجبش میخونم بزودی مطالب براتون میزارم
هرچقد که دنیا سمت مدرن تر شدن میره جمله ای که هیچ سیستمی همیشه امن نیست بیشتر قدرت میگیره
اتفاقا سیستم هایی که بهشون اعتماد داریم بیشتر میتونن مورد توجه حملات قرار بگیرن
تلگرام خودش اکسپت نکرده که حرکت بشدت غیر حرفه ای هستش
دارم راجبش میخونم بزودی مطالب براتون میزارم
هرچقد که دنیا سمت مدرن تر شدن میره جمله ای که هیچ سیستمی همیشه امن نیست بیشتر قدرت میگیره
اتفاقا سیستم هایی که بهشون اعتماد داریم بیشتر میتونن مورد توجه حملات قرار بگیرن
❤3
APT28 (Fancy Bear) – روسیه (GRU)
متنسب به: ستاد کل نیروهای مسلح روسیه (سرویس اطلاعات نظامی GRU، یگان 26165).
اهداف اصلی: عملیات جاسوسی و تأثیرگذاری سیاسی؛ نمونه مشهور آن دخالت در انتخابات ریاستجمهوری آمریکا ۲۰۱۶ (نفوذ به شبکههای کمپین هیلاری کلینتون، کمیته ملی دموکراتها و کمیته پول حزب دموکرات). همچنین حملات اطلاعاتی علیه نهادهای بینالمللی (مثلاً آژانس جهانی ضد دوپینگ، OPCW) نیز ثبت شده است.
روشهای نفوذ: استفاده از ایمیلهای فیشینگ پیشرفته، سوءاستفاده از آسیبپذیریها (مثلاً CVE-2015-1701 برای افزایش سطح دسترسی)، و کنترل پنهانی زیرساختهای آلوده. آنها دامنههای فیشینگ جعلی، صفحات وبسایتهای ساده (Blogspot) و شبکههای بیسیم تقلبی (Wi‑Fi Pineapple) را برای ربودن اطلاعات کاربری به کار میگیرند.
نمونه حملات: علاوه بر انتخابات ۲۰۱۶ آمریکا، در سال ۲۰۱۸ دادستانی آمریکا پنج افسر GRU یگان 26165 را به جرم اجرای حملات سایبری (شامل دسترسی نزدیک به اهداف و دستکاری شیمیایی) در فاصله ۲۰۱۴–۲۰۱۸، از جمله حمله به یک تأسیسات هستهای آمریکا، متهم کرد. این گروه با واحد 74455 (Sandworm) نیز همکاری داشته است.
اثرات و خسارت: فعالیتهای APT28 پیامدهای گستردهای در اعتماد عمومی و امنیت ملی داشت؛ حملات ۲۰۱۶ آمریکا باعث افشای حجم زیادی از اطلاعات حساس شد که هزینه و خسارت آن در سطح سیاسی و مالی بسیار بالا بود.
متنسب به: ستاد کل نیروهای مسلح روسیه (سرویس اطلاعات نظامی GRU، یگان 26165).
اهداف اصلی: عملیات جاسوسی و تأثیرگذاری سیاسی؛ نمونه مشهور آن دخالت در انتخابات ریاستجمهوری آمریکا ۲۰۱۶ (نفوذ به شبکههای کمپین هیلاری کلینتون، کمیته ملی دموکراتها و کمیته پول حزب دموکرات). همچنین حملات اطلاعاتی علیه نهادهای بینالمللی (مثلاً آژانس جهانی ضد دوپینگ، OPCW) نیز ثبت شده است.
روشهای نفوذ: استفاده از ایمیلهای فیشینگ پیشرفته، سوءاستفاده از آسیبپذیریها (مثلاً CVE-2015-1701 برای افزایش سطح دسترسی)، و کنترل پنهانی زیرساختهای آلوده. آنها دامنههای فیشینگ جعلی، صفحات وبسایتهای ساده (Blogspot) و شبکههای بیسیم تقلبی (Wi‑Fi Pineapple) را برای ربودن اطلاعات کاربری به کار میگیرند.
نمونه حملات: علاوه بر انتخابات ۲۰۱۶ آمریکا، در سال ۲۰۱۸ دادستانی آمریکا پنج افسر GRU یگان 26165 را به جرم اجرای حملات سایبری (شامل دسترسی نزدیک به اهداف و دستکاری شیمیایی) در فاصله ۲۰۱۴–۲۰۱۸، از جمله حمله به یک تأسیسات هستهای آمریکا، متهم کرد. این گروه با واحد 74455 (Sandworm) نیز همکاری داشته است.
اثرات و خسارت: فعالیتهای APT28 پیامدهای گستردهای در اعتماد عمومی و امنیت ملی داشت؛ حملات ۲۰۱۶ آمریکا باعث افشای حجم زیادی از اطلاعات حساس شد که هزینه و خسارت آن در سطح سیاسی و مالی بسیار بالا بود.
❤1
APT29 (Cozy Bear) – روسیه (SVR)
منتسب به: سرویس اطلاعات خارجی روسیه (SVR). از سال ۲۰۰۸ فعال است و بر اهداف دولتی در اروپا، ناتو و مؤسسات تحقیقاتی تمرکز دارد.
اهداف: جاسوسی سیاستی و نظامی؛ از اهداف مهم این گروه میتوان به نفوذ به کمیته ملی دموکراتها (DNC) در تابستان ۲۰۱۵ اشاره کرد. همچنین در کارزار سراسری Supply-Chain حمله به نرمافزار مدیریت شبکه SolarWinds در ۲۰۱۹ (منتشرشده ۲۰۲۰) نقش داشته و امکان دسترسی به صدها سازمان خصوصی و دولتی در سطح جهانی را فراهم کرد.
روشها: حملات زنجیره تأمین، بهرهبرداری از ۰-day، فیشینگ پیشرفته. در حمله SolarWinds به طراحی هوشمند ماژولهای C2 و تغییرات در هویتهای کاربران (مثل اعطای نقش ApplicationImpersonation) دست زد.
نمونه حملات: کمپین جاسوسی SolarWinds (UNC2452/NOBELIUM) که عملاً در اوت ۲۰۱۹ آغاز و اوایل ۲۰۲۱ افشاء شد؛ پیش از آن نفوذ به شبکه DNC ۲۰۱۵ نیز به این گروه نسبت داده شده بود.
اثرات و خسارت: حمله SolarWinds منجر به دسترسی گسترده به زیرساختهای اطلاعاتی شرکتها و نهادهای دولتی متعدد شد و اثرات زنجیرهای (متحمل شدن دادههای محرمانه) داشت. نفوذ به DNC و مؤسسات مشابه هم سبب لو رفتن اطلاعات سیاسی حساس شد.
منتسب به: سرویس اطلاعات خارجی روسیه (SVR). از سال ۲۰۰۸ فعال است و بر اهداف دولتی در اروپا، ناتو و مؤسسات تحقیقاتی تمرکز دارد.
اهداف: جاسوسی سیاستی و نظامی؛ از اهداف مهم این گروه میتوان به نفوذ به کمیته ملی دموکراتها (DNC) در تابستان ۲۰۱۵ اشاره کرد. همچنین در کارزار سراسری Supply-Chain حمله به نرمافزار مدیریت شبکه SolarWinds در ۲۰۱۹ (منتشرشده ۲۰۲۰) نقش داشته و امکان دسترسی به صدها سازمان خصوصی و دولتی در سطح جهانی را فراهم کرد.
روشها: حملات زنجیره تأمین، بهرهبرداری از ۰-day، فیشینگ پیشرفته. در حمله SolarWinds به طراحی هوشمند ماژولهای C2 و تغییرات در هویتهای کاربران (مثل اعطای نقش ApplicationImpersonation) دست زد.
نمونه حملات: کمپین جاسوسی SolarWinds (UNC2452/NOBELIUM) که عملاً در اوت ۲۰۱۹ آغاز و اوایل ۲۰۲۱ افشاء شد؛ پیش از آن نفوذ به شبکه DNC ۲۰۱۵ نیز به این گروه نسبت داده شده بود.
اثرات و خسارت: حمله SolarWinds منجر به دسترسی گسترده به زیرساختهای اطلاعاتی شرکتها و نهادهای دولتی متعدد شد و اثرات زنجیرهای (متحمل شدن دادههای محرمانه) داشت. نفوذ به DNC و مؤسسات مشابه هم سبب لو رفتن اطلاعات سیاسی حساس شد.
❤1
Sandworm/Telebots (GRU) – روسیه
منتسب به: یگان 74455 ستاد GRU که با APT28 در برخی حملات همکاری داشته.
اهداف: زیرساختهای حیاتی و نظامی؛ نمونهها شامل حمله NotPetya ۲۰۱۷ (شبهنابودگر باجافزار که اوکراین را هدف گرفت و میلیاردها دلار خسارت جهانی وارد کرد) و خرابکاری در شبکه انرژی اوکراین.
روشها: انتشار گسترده باجافزار و بدافزارهای مخرب مبتنی بر سوئیچ روزنه امنیتی. این گروه از ابزارهای پیشرفته برای انتشار سریع بدافزار در شبکههای صنعتی استفاده میکند.
اثرات: حملات Sandworm به تعلیق و تخریب سرویسهای مهم انجامید. برای مثال باجافزار NotPetya باعث قطع سراسری سیستمها و خسارت چند میلیارد دلاری به صنایع مختلف جهان شد (بهویژه خطوط تولید و حملونقل). (این حملات به عنوان عملیات جنگ سایبری گسترده مورد توجه قرار گرفت.)
منتسب به: یگان 74455 ستاد GRU که با APT28 در برخی حملات همکاری داشته.
اهداف: زیرساختهای حیاتی و نظامی؛ نمونهها شامل حمله NotPetya ۲۰۱۷ (شبهنابودگر باجافزار که اوکراین را هدف گرفت و میلیاردها دلار خسارت جهانی وارد کرد) و خرابکاری در شبکه انرژی اوکراین.
روشها: انتشار گسترده باجافزار و بدافزارهای مخرب مبتنی بر سوئیچ روزنه امنیتی. این گروه از ابزارهای پیشرفته برای انتشار سریع بدافزار در شبکههای صنعتی استفاده میکند.
اثرات: حملات Sandworm به تعلیق و تخریب سرویسهای مهم انجامید. برای مثال باجافزار NotPetya باعث قطع سراسری سیستمها و خسارت چند میلیارد دلاری به صنایع مختلف جهان شد (بهویژه خطوط تولید و حملونقل). (این حملات به عنوان عملیات جنگ سایبری گسترده مورد توجه قرار گرفت.)
❤1
Lazarus Group – کرهشمالی
منتسب به: سازمان اطلاعات کره شمالی (کسان مرتبط با سرویس شناسایی RGB). یکی از اصلیترین بازوهای عملیات سایبری کرهشمالی است (معروف به HIDDEN COBRA) و از اواسط دهه ۲۰۰۰ فعال بوده است.
اهداف: سرقت مالی و جاسوسی نظامی/صنعتی؛ از اهداف نهادهای دولتی، نظامی، مالی (از جمله بانکها و صرافیهای رمزارز)، رسانه و زیرساختهای حیاتی است.
روشها: فیشینگ پیچیده، بدافزارهای سفارشی (باجافزار و بدافزارهای استخراج اطلاعات)، و دستکاری سیستمهای کنترل. این گروه همچنـین به رمزنگاری/هماهنگی درون سازمانی برای پنهانکردن ردپاها شهرت دارد.
نمونه حملات: حمله باجافزار WannaCry در می ۲۰۱۷ (منتسب به لازاروس) که بیش از ۱۵۰ کشور را آلوده کرد و از جمله هک شبکۀ سلامت ملی بریتانیا (NHS) شد. هزینه این حمله برای NHS بالاتر از ۱۱۲ میلیون دلار برآورد شده است. همچنین حمله بزرگ به Sony Pictures سال ۲۰۱۴ (متعلق به این گروه است) و حملات متعددی به شبکه بانکی کشورها (از جمله تلاش ناکام برای سرقت ۸۵۱ میلیون دلار از بانک مرکزی بنگلادش) نیز توسط لازاروس انجام شدهاند.
اثرات: از نظر مادی، حملات لازاروس میلیاردها دلار خسارت مستقیم به همراه داشته (مثلاً تلاشهای ناموفق برای سرقت بیش از ۱/۱ میلیارد دلار از بانکها تا ۲۰۱۸، و سرقت حدود ۸۱ میلیون دلار از حساب بانک مرکزی بنگلادش). پیچیدگی کار و تأثیرات گسترده سیاسی-اقتصادی آن بسیار قابل توجه است.
منتسب به: سازمان اطلاعات کره شمالی (کسان مرتبط با سرویس شناسایی RGB). یکی از اصلیترین بازوهای عملیات سایبری کرهشمالی است (معروف به HIDDEN COBRA) و از اواسط دهه ۲۰۰۰ فعال بوده است.
اهداف: سرقت مالی و جاسوسی نظامی/صنعتی؛ از اهداف نهادهای دولتی، نظامی، مالی (از جمله بانکها و صرافیهای رمزارز)، رسانه و زیرساختهای حیاتی است.
روشها: فیشینگ پیچیده، بدافزارهای سفارشی (باجافزار و بدافزارهای استخراج اطلاعات)، و دستکاری سیستمهای کنترل. این گروه همچنـین به رمزنگاری/هماهنگی درون سازمانی برای پنهانکردن ردپاها شهرت دارد.
نمونه حملات: حمله باجافزار WannaCry در می ۲۰۱۷ (منتسب به لازاروس) که بیش از ۱۵۰ کشور را آلوده کرد و از جمله هک شبکۀ سلامت ملی بریتانیا (NHS) شد. هزینه این حمله برای NHS بالاتر از ۱۱۲ میلیون دلار برآورد شده است. همچنین حمله بزرگ به Sony Pictures سال ۲۰۱۴ (متعلق به این گروه است) و حملات متعددی به شبکه بانکی کشورها (از جمله تلاش ناکام برای سرقت ۸۵۱ میلیون دلار از بانک مرکزی بنگلادش) نیز توسط لازاروس انجام شدهاند.
اثرات: از نظر مادی، حملات لازاروس میلیاردها دلار خسارت مستقیم به همراه داشته (مثلاً تلاشهای ناموفق برای سرقت بیش از ۱/۱ میلیارد دلار از بانکها تا ۲۰۱۸، و سرقت حدود ۸۱ میلیون دلار از حساب بانک مرکزی بنگلادش). پیچیدگی کار و تأثیرات گسترده سیاسی-اقتصادی آن بسیار قابل توجه است.
❤1
APT38 (BlueNoroff) – کرهشمالی
زیرمجموعه لازاروس: بر اساس گزارش خزانهداری آمریکا، BlueNoroff شاخهای از لازاروس است که برای کسب درآمد نامشروع جهت تأمین برنامههای تسلیحاتی تشکیل شده.
اهداف: مؤسسات مالی و بانکی. تمرکز آن روی حملات سایبری-مالی و سرقت از بانکهای خارجی و صرافیهای رمزارز است.
روشها: فیشینگ مهندسی اجتماعی و نفوذ از طریق بدافزارهای پیشرفته برای کنترل شبکههای داخلی بانکها.
نمونه حملات: تلاشهای متعددی برای سرقت وجوه از طریق سیستم پیامرسان بانکی SWIFT انجام داد. معروفترین عملیات مشترک با لازاروس، هک بانک مرکزی بنگلادش (۲۰۱۶) بود که حدود ۸۱ میلیون دلار سرقت شد و طرح اولیه برای دزدیدن مجموع ۸۵۱ میلیون دلار، به دلیل خطای تایپی ناکام ماند.
اثرات: از سال ۲۰۱۴ تا ۲۰۱۸، برآورد شده این گروه بیش از ۱/۱ میلیارد دلار از مؤسسات مالی سراسر جهان (شامل بانکهای آسیایی و صرافیهای رمزارز) اقدام به سرقت کرده است. این فعالیتها نشاندهندۀ تحولی در استفاده از حملات دیجیتال برای دورزدن تحریمها و کسب منابع مالی توسط کرهشمالی است.
زیرمجموعه لازاروس: بر اساس گزارش خزانهداری آمریکا، BlueNoroff شاخهای از لازاروس است که برای کسب درآمد نامشروع جهت تأمین برنامههای تسلیحاتی تشکیل شده.
اهداف: مؤسسات مالی و بانکی. تمرکز آن روی حملات سایبری-مالی و سرقت از بانکهای خارجی و صرافیهای رمزارز است.
روشها: فیشینگ مهندسی اجتماعی و نفوذ از طریق بدافزارهای پیشرفته برای کنترل شبکههای داخلی بانکها.
نمونه حملات: تلاشهای متعددی برای سرقت وجوه از طریق سیستم پیامرسان بانکی SWIFT انجام داد. معروفترین عملیات مشترک با لازاروس، هک بانک مرکزی بنگلادش (۲۰۱۶) بود که حدود ۸۱ میلیون دلار سرقت شد و طرح اولیه برای دزدیدن مجموع ۸۵۱ میلیون دلار، به دلیل خطای تایپی ناکام ماند.
اثرات: از سال ۲۰۱۴ تا ۲۰۱۸، برآورد شده این گروه بیش از ۱/۱ میلیارد دلار از مؤسسات مالی سراسر جهان (شامل بانکهای آسیایی و صرافیهای رمزارز) اقدام به سرقت کرده است. این فعالیتها نشاندهندۀ تحولی در استفاده از حملات دیجیتال برای دورزدن تحریمها و کسب منابع مالی توسط کرهشمالی است.
APT41 (Double Dragon/Barium) – چین
منتسب به: احتمالاً وزارت امنیت دولتی چین (MSS) یا پیمانکاران دولتی. این گروه از حدود ۲۰۱۲ فعال است و تاکتیک ویژهای دارد.
اهداف: دوگانه – جاسوسی دولتی و کسب درآمد شخصی. بخش جاسوسی بر سازمانهای فناوری، سلامت و ارتباطات متمرکز است؛ بخش مجرمانه آن بر صنعت بازیهای ویدئویی (سرقت منابع دیجیتال، حمله باجافزار) متمرکز بوده است.
روشها: حملات فیشینگمحور و بهرهبرداری از زنجیره تأمین نرمافزار. APT41 در برخی کمپینها کدهای مخرب را مستقیماً در نرمافزارهای بازی یا بهروزرسانیهای قانونی تزریق کرده است. همچنین برای پنهانکاری و هدفگیری دقیق از سازوکارهایی نظیر تطبیق شناسه سیستم استفاده میکند تا بدافزارها تنها در ماشینهای مشخص فعال شوند.
نمونه حملات: حملات متعدد به شرکتهای بازیسازی بزرگ، دستکاری داراییهای دیجیتال و توزیع بهروزرسانیهای آلوده در زنجیره تأمین بازیها. همزمان، نفوذهایی به بخشهای دولتی (پتنت و فناوری پیشرفته) گزارش شده است.
اثرات: ترکیب عملیات جاسوسی و سایبرکلاهبرداری این گروه را از دیگر تهدیدها متمایز میکند. حملات زنجیره تأمین APT41 در صنعت بازی، علاوه بر خسارت مالی مستقیم (رمز ارزها و منابع بازی)، نشاندهنده تهدیدی پایدار برای زیرساختهای حیاتی نرمافزاری است.
منتسب به: احتمالاً وزارت امنیت دولتی چین (MSS) یا پیمانکاران دولتی. این گروه از حدود ۲۰۱۲ فعال است و تاکتیک ویژهای دارد.
اهداف: دوگانه – جاسوسی دولتی و کسب درآمد شخصی. بخش جاسوسی بر سازمانهای فناوری، سلامت و ارتباطات متمرکز است؛ بخش مجرمانه آن بر صنعت بازیهای ویدئویی (سرقت منابع دیجیتال، حمله باجافزار) متمرکز بوده است.
روشها: حملات فیشینگمحور و بهرهبرداری از زنجیره تأمین نرمافزار. APT41 در برخی کمپینها کدهای مخرب را مستقیماً در نرمافزارهای بازی یا بهروزرسانیهای قانونی تزریق کرده است. همچنین برای پنهانکاری و هدفگیری دقیق از سازوکارهایی نظیر تطبیق شناسه سیستم استفاده میکند تا بدافزارها تنها در ماشینهای مشخص فعال شوند.
نمونه حملات: حملات متعدد به شرکتهای بازیسازی بزرگ، دستکاری داراییهای دیجیتال و توزیع بهروزرسانیهای آلوده در زنجیره تأمین بازیها. همزمان، نفوذهایی به بخشهای دولتی (پتنت و فناوری پیشرفته) گزارش شده است.
اثرات: ترکیب عملیات جاسوسی و سایبرکلاهبرداری این گروه را از دیگر تهدیدها متمایز میکند. حملات زنجیره تأمین APT41 در صنعت بازی، علاوه بر خسارت مالی مستقیم (رمز ارزها و منابع بازی)، نشاندهنده تهدیدی پایدار برای زیرساختهای حیاتی نرمافزاری است.
❤1
APT10 (Stone Panda/MenuPass) – چین
منتسب به: دفتر تیانجین وزارت امنیت دولتی چین (MSS). از حدود ۲۰۰۹ فعال است.
اهداف: زیرساختهای فناوری اطلاعات (بهویژه ارائهدهندگان خدمات مدیریت شده، MSP) و شبکه شرکتهای مشتری. نام دیگر آن “عملیات کلاود هاپر” است.
روشها: نفوذ از طریق شرکتهای خدمات IT. حملات هدفمند گستردهای علیه ارائهکنندگان سرویس ابری اجرا کرده که در نهایت دسترسی به دادههای مشتریان آنها را ممکن ساخت. از ابزارهای پیشرفته و صفر-روز در این حملات استفاده کرده است.
نمونه حملات: «عملیات Cloud Hopper» که شرکتهای بزرگ فناوری و خارجی را هدف قرار داد و توانست به شبکه بیش از یکصد شرکت چندملیتی نفوذ کند.
اثرات: در نتیجه، اطلاعات محرمانه تحقیقاتی و طرحهای تجاری بسیاری از شرکتهای بزرگ جهان به سرقت رفت. همچنین دو مجرم چینی مرتبط با APT10 در دادگاه آمریکا به اتهامهای سایبری محکوم شدند (حدود ۲۰۱۸) که خود نشاندهنده ابعاد گستردهی این کمپینها بود.
منتسب به: دفتر تیانجین وزارت امنیت دولتی چین (MSS). از حدود ۲۰۰۹ فعال است.
اهداف: زیرساختهای فناوری اطلاعات (بهویژه ارائهدهندگان خدمات مدیریت شده، MSP) و شبکه شرکتهای مشتری. نام دیگر آن “عملیات کلاود هاپر” است.
روشها: نفوذ از طریق شرکتهای خدمات IT. حملات هدفمند گستردهای علیه ارائهکنندگان سرویس ابری اجرا کرده که در نهایت دسترسی به دادههای مشتریان آنها را ممکن ساخت. از ابزارهای پیشرفته و صفر-روز در این حملات استفاده کرده است.
نمونه حملات: «عملیات Cloud Hopper» که شرکتهای بزرگ فناوری و خارجی را هدف قرار داد و توانست به شبکه بیش از یکصد شرکت چندملیتی نفوذ کند.
اثرات: در نتیجه، اطلاعات محرمانه تحقیقاتی و طرحهای تجاری بسیاری از شرکتهای بزرگ جهان به سرقت رفت. همچنین دو مجرم چینی مرتبط با APT10 در دادگاه آمریکا به اتهامهای سایبری محکوم شدند (حدود ۲۰۱۸) که خود نشاندهنده ابعاد گستردهی این کمپینها بود.
❤1
APT1 (Unit 61398) – چین
منتسب به: ارتش آزادیبخش خلق چین (PLA)، پادگان 61398. فعال از سال ۲۰۰۶.
اهداف: جاسوسی اقتصادی گسترده؛ گروهی از افسران PLA را شامل میشود.
روشها: استفاده از دهها خانواده بدافزار اختصاصی برای سرقت داده، شامل ابزارهای پیشرفته جمعآوری اطلاعات.
نمونه حملات: گزارش مشهور ماندیانت (۲۰۱۳) نشان میدهد APT1 طی سالهای متمادی به بیش از ۱۴۱ سازمان در صنایع مختلف (نفت و گاز، هوانوردی، رسانه و فناوری اطلاعات و…) حمله کرده است.
اثرات: حجم کل اطلاعات به سرقت رفته بسیار زیاد بود؛ این گزارش انتشار یافته توانست فعالیتهای جاسوسی پرمخاطره را افشاء کند و درک جهانی از نقش چین در حملات سایبری را شکل دهد.
منتسب به: ارتش آزادیبخش خلق چین (PLA)، پادگان 61398. فعال از سال ۲۰۰۶.
اهداف: جاسوسی اقتصادی گسترده؛ گروهی از افسران PLA را شامل میشود.
روشها: استفاده از دهها خانواده بدافزار اختصاصی برای سرقت داده، شامل ابزارهای پیشرفته جمعآوری اطلاعات.
نمونه حملات: گزارش مشهور ماندیانت (۲۰۱۳) نشان میدهد APT1 طی سالهای متمادی به بیش از ۱۴۱ سازمان در صنایع مختلف (نفت و گاز، هوانوردی، رسانه و فناوری اطلاعات و…) حمله کرده است.
اثرات: حجم کل اطلاعات به سرقت رفته بسیار زیاد بود؛ این گزارش انتشار یافته توانست فعالیتهای جاسوسی پرمخاطره را افشاء کند و درک جهانی از نقش چین در حملات سایبری را شکل دهد.
❤1
APT32 (SeaLotus/OceanLotus) – ویتنام
منتسب به: دولت ویتنام (تسلیحات سایبری دولتی). فعال از حدود ۲۰۱۴.
اهداف: هدفگیری صنایع خصوصی بزرگ (مثلاً بخش فناوری و ساخت)، خبرنگاران، مخالفان سیاسی و گروههای اپوزیسیون در جنوب شرق آسیا (ویتنام، فیلیپین، لائوس و…).
روشها: گستره فعالیت وسیع، از جمله بهرهبرداری از وبسایتهای مورد اعتماد (تزویر URL)، بدافزارهای نامه الکترونیکی و ابزارهای منحصربهفرد. این گروه بهطور ویژه از تکنیک Web Shell و کامپرس (نفوذ از طریق نسخههای دستکاریشده اسناد) استفاده کرده است.
نمونه حملات: به عنوان مثال حملات سفارشی بدافزار به سازمانهای خبری و وزارتخانههای دولتهای جنوب شرقی آسیا با هدف سرقت اسناد و اطلاعات امنیتی گزارش شده است.
اثرات: نفوذ APT32 در برخی کشورها موجب افشای اطلاعات داخلی و زیرساختی شده است. این فعالیتها بیش از هر چیز اعتبار آنها را در فضای تهدیدهای منطقه تثبیت کرده است.
منتسب به: دولت ویتنام (تسلیحات سایبری دولتی). فعال از حدود ۲۰۱۴.
اهداف: هدفگیری صنایع خصوصی بزرگ (مثلاً بخش فناوری و ساخت)، خبرنگاران، مخالفان سیاسی و گروههای اپوزیسیون در جنوب شرق آسیا (ویتنام، فیلیپین، لائوس و…).
روشها: گستره فعالیت وسیع، از جمله بهرهبرداری از وبسایتهای مورد اعتماد (تزویر URL)، بدافزارهای نامه الکترونیکی و ابزارهای منحصربهفرد. این گروه بهطور ویژه از تکنیک Web Shell و کامپرس (نفوذ از طریق نسخههای دستکاریشده اسناد) استفاده کرده است.
نمونه حملات: به عنوان مثال حملات سفارشی بدافزار به سازمانهای خبری و وزارتخانههای دولتهای جنوب شرقی آسیا با هدف سرقت اسناد و اطلاعات امنیتی گزارش شده است.
اثرات: نفوذ APT32 در برخی کشورها موجب افشای اطلاعات داخلی و زیرساختی شده است. این فعالیتها بیش از هر چیز اعتبار آنها را در فضای تهدیدهای منطقه تثبیت کرده است.
❤1
APT34 (OilRig/Helix Kitten) – ایران
منتسب به: دولت ایران (وزارت اطلاعات و امنیت). فعال از حدود ۲۰۱۴.
اهداف: سازمانهای دولتی و کسبوکارهای دولتی-خصوصی در خاورمیانه (خصوصاً صنایع نفت، گاز، انرژی و مخابرات). گزارشها نشان میدهد تمرکز ویژه روی اهداف منطقهای ایران دارد، ولی در برخی مواقع آفریقای شمالی و اروپا نیز فعالیت کرده است.
روشها: ایجاد حملات اسپیر فیشینگ (ایمیلهای هدفمند)، صفحات شغلی جعلی و لینکدین جعلی برای نفوذ؛ استفاده از بدافزارهای سفارشی (بدنام به عنوان “OilRig” و «کارتاف» و…).
نمونه حملات: کمپینهای شناختهشده شامل ارسال ایمیلهای هدفمند به وزارتخانههای انرژی و سازمانهای نفتی در خلیج فارس است. بدافزار OilRig روی شبکه قربانیان نصب میشود و در مواردی عملیات مراقبتی و ذخیرهسازی اطلاعات محرمانه را انجام میدهد.
اثرات: این حملات عمدتاً منجر به نفوذ غیرقابلمشاهده و جمعآوری اطلاعات حساس (ترکیبات پالایش، دادههای انرژی) شدهاند، اما خسارت مستقیم مالی بزرگی مانند سرقت گزارش نشده است. با این حال، نشت چنین اطلاعاتی میتواند اثرات سیاسی-اقتصادی قابل توجهی برای کشورها داشته باشد.
منتسب به: دولت ایران (وزارت اطلاعات و امنیت). فعال از حدود ۲۰۱۴.
اهداف: سازمانهای دولتی و کسبوکارهای دولتی-خصوصی در خاورمیانه (خصوصاً صنایع نفت، گاز، انرژی و مخابرات). گزارشها نشان میدهد تمرکز ویژه روی اهداف منطقهای ایران دارد، ولی در برخی مواقع آفریقای شمالی و اروپا نیز فعالیت کرده است.
روشها: ایجاد حملات اسپیر فیشینگ (ایمیلهای هدفمند)، صفحات شغلی جعلی و لینکدین جعلی برای نفوذ؛ استفاده از بدافزارهای سفارشی (بدنام به عنوان “OilRig” و «کارتاف» و…).
نمونه حملات: کمپینهای شناختهشده شامل ارسال ایمیلهای هدفمند به وزارتخانههای انرژی و سازمانهای نفتی در خلیج فارس است. بدافزار OilRig روی شبکه قربانیان نصب میشود و در مواردی عملیات مراقبتی و ذخیرهسازی اطلاعات محرمانه را انجام میدهد.
اثرات: این حملات عمدتاً منجر به نفوذ غیرقابلمشاهده و جمعآوری اطلاعات حساس (ترکیبات پالایش، دادههای انرژی) شدهاند، اما خسارت مستقیم مالی بزرگی مانند سرقت گزارش نشده است. با این حال، نشت چنین اطلاعاتی میتواند اثرات سیاسی-اقتصادی قابل توجهی برای کشورها داشته باشد.
❤1
APT39 (Chafer/Radio Serpens) – ایران
منتسب به: دولت ایران (روابط عمومی سپاه پاسداران). فعال از حدود ۲۰۱۴.
اهداف: سازمانهای مخابراتی، دولت، هواپیمایی و فناوری اطلاعات در خاورمیانه و غرب (ایالات متحده، اروپا). تمرکز بر دادههای ارتباطی و ردیابی افرادی است که برای دولت ایران مهماند.
روشها: حملات فیشینگ پیشرفته، نصب backdoorهای سفارشی؛ پس از نفوذ اولیه، ابزارهای رایگان (مانند Mimikatz) و تکنیکهای حرکت جانبی استفاده میکنند.
نمونه حملات: کمپینهای متعددی علیه شرکتهای خدمات مخابراتی و مسافرتی گزارش شده است که از طریق ایمیلهای مخرب و بدافزارهای دو مرحلهای انجام شدهاند. این گروه تمایل دارد تا مشخصات و تاریخچه پرواز یا ایمیلهای ذینفعان مهم را استخراج کند.
اثرات: APT39 معمولاً اطلاعات جمعآوریشده را برای سانسور و نظارت بلندمدت به کار میگیرد. اگرچه بهاندازه حملات باجافزاری خسارتزا نبوده، اما توانسته شبکه جاسوسی پنهانی گستردهای برای اهداف سیاسی ایران فراهم کند.
منتسب به: دولت ایران (روابط عمومی سپاه پاسداران). فعال از حدود ۲۰۱۴.
اهداف: سازمانهای مخابراتی، دولت، هواپیمایی و فناوری اطلاعات در خاورمیانه و غرب (ایالات متحده، اروپا). تمرکز بر دادههای ارتباطی و ردیابی افرادی است که برای دولت ایران مهماند.
روشها: حملات فیشینگ پیشرفته، نصب backdoorهای سفارشی؛ پس از نفوذ اولیه، ابزارهای رایگان (مانند Mimikatz) و تکنیکهای حرکت جانبی استفاده میکنند.
نمونه حملات: کمپینهای متعددی علیه شرکتهای خدمات مخابراتی و مسافرتی گزارش شده است که از طریق ایمیلهای مخرب و بدافزارهای دو مرحلهای انجام شدهاند. این گروه تمایل دارد تا مشخصات و تاریخچه پرواز یا ایمیلهای ذینفعان مهم را استخراج کند.
اثرات: APT39 معمولاً اطلاعات جمعآوریشده را برای سانسور و نظارت بلندمدت به کار میگیرد. اگرچه بهاندازه حملات باجافزاری خسارتزا نبوده، اما توانسته شبکه جاسوسی پنهانی گستردهای برای اهداف سیاسی ایران فراهم کند.
❤1
سایر گروهها و نفوذهای نمونه
Stuxnet (آمریکا/اسرائیل): اگرچه مستقیماً یک “گروه APT” نیست، این بدافزار پیشرفته (حدود ۲۰۱۰) که به شبکه سانتریفیوژهای اتمی ایران نفوذ و حدود ۱۰۰۰ ماشین را تخریب کرد، نقطه عطفی در تاریخ حملات هدفمند صنعتی به حساب میآید. این عملیات نشان داد که گروههای APT فراتر از سرقت داده میتوانند به عملیات مخرب سایبری بپردازند.
APT32 (OceanLotus) – ویتنام: که پیشتر اشاره شد، نمونه مهمی از پیوند بین دولت و منابع سایبری بخش خصوصی است.
APT35 (Charming Kitten): گروهی ایرانی مرتبط با وزارت اطلاعات که افراد ایرانیتبار مقیم خارج را هدف میگیرد. (در بالا با APT39 ترکیب نکردیم ولی وجود دارد.)
گروههای دیگری مانند APT33 (Refined Kitten) و MuddyWater: فعال علیه صنایع دفاع و هوافضای عربستان، نمونههای دیگری از APTهای منطقه خلیج فارس هستند، هرچند در این گزارش به تفصیل نیامدند.
Stuxnet (آمریکا/اسرائیل): اگرچه مستقیماً یک “گروه APT” نیست، این بدافزار پیشرفته (حدود ۲۰۱۰) که به شبکه سانتریفیوژهای اتمی ایران نفوذ و حدود ۱۰۰۰ ماشین را تخریب کرد، نقطه عطفی در تاریخ حملات هدفمند صنعتی به حساب میآید. این عملیات نشان داد که گروههای APT فراتر از سرقت داده میتوانند به عملیات مخرب سایبری بپردازند.
APT32 (OceanLotus) – ویتنام: که پیشتر اشاره شد، نمونه مهمی از پیوند بین دولت و منابع سایبری بخش خصوصی است.
APT35 (Charming Kitten): گروهی ایرانی مرتبط با وزارت اطلاعات که افراد ایرانیتبار مقیم خارج را هدف میگیرد. (در بالا با APT39 ترکیب نکردیم ولی وجود دارد.)
گروههای دیگری مانند APT33 (Refined Kitten) و MuddyWater: فعال علیه صنایع دفاع و هوافضای عربستان، نمونههای دیگری از APTهای منطقه خلیج فارس هستند، هرچند در این گزارش به تفصیل نیامدند.
❤1
تحلیل تکاملی و روند تغییرات APTها (ده سال اخیر)
روند تکامل تاکتیکها: APTها در دهه اخیر از حملات ساده فیشینگ و بدافزارهای پراکنده به عملیاتهای پیچیدهتری نظیر زنجیره تأمین و نفوذ طولانیمدت (Persistent) مهاجرت کردهاند. به عنوان مثال، مهاجمان روس از فیشینگ سنتی به سمت حملات زنجیرهای مانند SolarWinds رفتهاند، و گروههای چینی در صنعت بازی و فناوری با تزریق بدافزار در بهروزرسانیهای نرمافزاری نفوذ میکنند. همچنین، تکنیکهای حرکت جانبی (lateral movement)، نفوذ به سیستمهای کنترل صنعتی و استفاده از ابزارهای قانونی (LOLBins) در چشمانداز APT به شدت گسترش یافته است.
حرکت به سمت زنجیره تأمین: نمونههای اخیر نشان میدهند که مهاجمان با هدف بهرهبرداری از اعتماد موجود، خود را در زنجیره تأمین جای میدهند. حمله SolarWinds (APT29) و نفوذهای از پیش طراحیشده در نرمافزارهای نصبی، این استراتژی را ملموس کردهاند. APT41 نیز با تزریق کد مخرب در نرمافزار بازیها، نمونهای از این نوع حملات است.
صنایع هدف: دولتها و سازمانهای دولتی همچنان مهمترین اهدافند، اما تمرکز روی بخشهای انرژی، سلامت و مالی بیشتر شده است. به عنوان مثال، پس از حمله به NHS توسط WannaCry، نشان داده شد که حتی زیرساختهای بهداشتی نیز هدف APTهای دولتی قرار میگیرند. صنایع انرژی و حملونقل (نفت، گاز، خطوط هوایی) نیز به دلیل اهمیت استراتژیک و هزینهبر بودن خود در فهرست حملات بالاتر رفتهاند. بدافزار Stuxnet نیز اولین نمونه برجسته حمله به صنعت هستهای بود که تأثیر جهانی داشت.
ظهور گروههای جدید: ظهور APTهای وابسته به رژیمهای سرکوبگر (APT32 واطلاعات دولتی ویتنام، APT39 و… ) و همچنین کاربردهای رمزارزی برای دورزدن تحریم (LaZarus و Bluenoroff) روندهای جدیدی است. همزمان، گروههای سنتی قوی باقی ماندهاند و ابزارهای جدیدی توسعه دادهاند.
رتبهبندی حملات بر اساس اهمیت جهانی
در میان حملات APT، موارد زیر از نظر تأثیر و پوشش رسانهای برجستهاند:
دخالت در انتخابات ۲۰۱۶ آمریکا (APT28): افشای ایمیلها و مدارک کمپین، تغییرات سیاسی و هزینههای هنگفت اطلاعاتی را به همراه داشت.
کمپین SolarWinds (APT29): گستردگی دسترسی به سامانههای مهم جهان (شرکتهای فناوری و سازمانهای دولتی) و در نتیجه افشای هزاران شبکه، اهمیت بالایی دارد.
باجافزار WannaCry (Lazarus): انتشار در ۱۵۰ کشور، توقف فرایندهای خدمات بهداشتی بریتانیا و خسارت بیش از ۱۱۲ میلیون دلار برای NHS. این حمله نشان داد حتا سیستمهای حیاتی هم در خطر حملات APT هستند.
کمک به حملات زیرساختی (Sandworm): NotPetya ۲۰۱۷ و حمله به شبکه برق اوکراین؛ این حملات فناوری نظامی را وارد حوزه تعطیلی شبکههای حیاتی کردند.
دزدی میلیارد دلاری ارزی (APT38/لازاروس): تلاش برای سرقت از بانکهای جهانی (عملیات SWIFT) با برداشتن حدود ۸۱ میلیون دلار و دستیابی به طرحهایی برای سرقت ۸۵۱ میلیون دلار، که ناآرامی در شبکه مالی ایجاد کرد.
حملات علیه صنایع انرژی خاورمیانه (APT34): درگیریهای طولانی مدتی با شرکتهای نفت و انرژی که دادههای حساس را هدف قرار دادهاند.
استاکسنت (آمریکا/اسرائیل): هرچند ماهیت آن هنوز محرمانه است، این بدافزار صنعتی اولین نمونه از جنگ سایبری واقعی بود که ۱۰۰۰ ماشین سانتریفیوژ را نابود کرد، و نشان داد فناوری APT میتواند زیرساختهای فیزیکی را هدف گیرد.
این رتبهبندی نسبی است؛ هر گروه APT ویژگی خاص خود را دارد. اما آنچه مشخص است، به موازات پیشرفت فناوری اطلاعات، تهدیدها نیز پیشرفتهتر و خطرناکتر شدهاند. در ۱۰ سال اخیر، APTها از سرقت اطلاعات ساده به عملیات همهجانبهتر (لایههای متعدد حمله، زنجیره تأمین، بدافزارهای ویژه) منتقل شدهاند. صنایع کلیدی مانند دولتها، انرژی و مالی بیشترین هدف را داشتهاند، و حملات بزرگ این دوره پیشگام تغییر رویهها محسوب میشوند. رتبهبندی فوق بر اساس اهمیت جهانی و گستردگی حمله تدوین شده است و قطعیت، همانگونه که در گزارشهای رسمی نیز آمده، در موارد متعددی قطعی نیست و برآوردهای اطلاعاتی است.
منابع: گزارشهای CISA، MITRE ATT&CK، افشای ماندیانت، و آمارهای دولتی ثروتگذاری نظیر وزارت خزانهداری آمریکا، و همچنین مقالات پژوهشی معتبر در امنیت سایبری.
روند تکامل تاکتیکها: APTها در دهه اخیر از حملات ساده فیشینگ و بدافزارهای پراکنده به عملیاتهای پیچیدهتری نظیر زنجیره تأمین و نفوذ طولانیمدت (Persistent) مهاجرت کردهاند. به عنوان مثال، مهاجمان روس از فیشینگ سنتی به سمت حملات زنجیرهای مانند SolarWinds رفتهاند، و گروههای چینی در صنعت بازی و فناوری با تزریق بدافزار در بهروزرسانیهای نرمافزاری نفوذ میکنند. همچنین، تکنیکهای حرکت جانبی (lateral movement)، نفوذ به سیستمهای کنترل صنعتی و استفاده از ابزارهای قانونی (LOLBins) در چشمانداز APT به شدت گسترش یافته است.
حرکت به سمت زنجیره تأمین: نمونههای اخیر نشان میدهند که مهاجمان با هدف بهرهبرداری از اعتماد موجود، خود را در زنجیره تأمین جای میدهند. حمله SolarWinds (APT29) و نفوذهای از پیش طراحیشده در نرمافزارهای نصبی، این استراتژی را ملموس کردهاند. APT41 نیز با تزریق کد مخرب در نرمافزار بازیها، نمونهای از این نوع حملات است.
صنایع هدف: دولتها و سازمانهای دولتی همچنان مهمترین اهدافند، اما تمرکز روی بخشهای انرژی، سلامت و مالی بیشتر شده است. به عنوان مثال، پس از حمله به NHS توسط WannaCry، نشان داده شد که حتی زیرساختهای بهداشتی نیز هدف APTهای دولتی قرار میگیرند. صنایع انرژی و حملونقل (نفت، گاز، خطوط هوایی) نیز به دلیل اهمیت استراتژیک و هزینهبر بودن خود در فهرست حملات بالاتر رفتهاند. بدافزار Stuxnet نیز اولین نمونه برجسته حمله به صنعت هستهای بود که تأثیر جهانی داشت.
ظهور گروههای جدید: ظهور APTهای وابسته به رژیمهای سرکوبگر (APT32 واطلاعات دولتی ویتنام، APT39 و… ) و همچنین کاربردهای رمزارزی برای دورزدن تحریم (LaZarus و Bluenoroff) روندهای جدیدی است. همزمان، گروههای سنتی قوی باقی ماندهاند و ابزارهای جدیدی توسعه دادهاند.
رتبهبندی حملات بر اساس اهمیت جهانی
در میان حملات APT، موارد زیر از نظر تأثیر و پوشش رسانهای برجستهاند:
دخالت در انتخابات ۲۰۱۶ آمریکا (APT28): افشای ایمیلها و مدارک کمپین، تغییرات سیاسی و هزینههای هنگفت اطلاعاتی را به همراه داشت.
کمپین SolarWinds (APT29): گستردگی دسترسی به سامانههای مهم جهان (شرکتهای فناوری و سازمانهای دولتی) و در نتیجه افشای هزاران شبکه، اهمیت بالایی دارد.
باجافزار WannaCry (Lazarus): انتشار در ۱۵۰ کشور، توقف فرایندهای خدمات بهداشتی بریتانیا و خسارت بیش از ۱۱۲ میلیون دلار برای NHS. این حمله نشان داد حتا سیستمهای حیاتی هم در خطر حملات APT هستند.
کمک به حملات زیرساختی (Sandworm): NotPetya ۲۰۱۷ و حمله به شبکه برق اوکراین؛ این حملات فناوری نظامی را وارد حوزه تعطیلی شبکههای حیاتی کردند.
دزدی میلیارد دلاری ارزی (APT38/لازاروس): تلاش برای سرقت از بانکهای جهانی (عملیات SWIFT) با برداشتن حدود ۸۱ میلیون دلار و دستیابی به طرحهایی برای سرقت ۸۵۱ میلیون دلار، که ناآرامی در شبکه مالی ایجاد کرد.
حملات علیه صنایع انرژی خاورمیانه (APT34): درگیریهای طولانی مدتی با شرکتهای نفت و انرژی که دادههای حساس را هدف قرار دادهاند.
استاکسنت (آمریکا/اسرائیل): هرچند ماهیت آن هنوز محرمانه است، این بدافزار صنعتی اولین نمونه از جنگ سایبری واقعی بود که ۱۰۰۰ ماشین سانتریفیوژ را نابود کرد، و نشان داد فناوری APT میتواند زیرساختهای فیزیکی را هدف گیرد.
این رتبهبندی نسبی است؛ هر گروه APT ویژگی خاص خود را دارد. اما آنچه مشخص است، به موازات پیشرفت فناوری اطلاعات، تهدیدها نیز پیشرفتهتر و خطرناکتر شدهاند. در ۱۰ سال اخیر، APTها از سرقت اطلاعات ساده به عملیات همهجانبهتر (لایههای متعدد حمله، زنجیره تأمین، بدافزارهای ویژه) منتقل شدهاند. صنایع کلیدی مانند دولتها، انرژی و مالی بیشترین هدف را داشتهاند، و حملات بزرگ این دوره پیشگام تغییر رویهها محسوب میشوند. رتبهبندی فوق بر اساس اهمیت جهانی و گستردگی حمله تدوین شده است و قطعیت، همانگونه که در گزارشهای رسمی نیز آمده، در موارد متعددی قطعی نیست و برآوردهای اطلاعاتی است.
منابع: گزارشهای CISA، MITRE ATT&CK، افشای ماندیانت، و آمارهای دولتی ثروتگذاری نظیر وزارت خزانهداری آمریکا، و همچنین مقالات پژوهشی معتبر در امنیت سایبری.
❤1
یکی از مورد علاقه ترین حملاتی که واقعا خودم جذبش شدم وانا کرای بود که خود جادی هم یه پادکست خفن راجبش داره