APT41 (Double Dragon/Barium) – چین
منتسب به: احتمالاً وزارت امنیت دولتی چین (MSS) یا پیمانکاران دولتی. این گروه از حدود ۲۰۱۲ فعال است و تاکتیک ویژهای دارد.
اهداف: دوگانه – جاسوسی دولتی و کسب درآمد شخصی. بخش جاسوسی بر سازمانهای فناوری، سلامت و ارتباطات متمرکز است؛ بخش مجرمانه آن بر صنعت بازیهای ویدئویی (سرقت منابع دیجیتال، حمله باجافزار) متمرکز بوده است.
روشها: حملات فیشینگمحور و بهرهبرداری از زنجیره تأمین نرمافزار. APT41 در برخی کمپینها کدهای مخرب را مستقیماً در نرمافزارهای بازی یا بهروزرسانیهای قانونی تزریق کرده است. همچنین برای پنهانکاری و هدفگیری دقیق از سازوکارهایی نظیر تطبیق شناسه سیستم استفاده میکند تا بدافزارها تنها در ماشینهای مشخص فعال شوند.
نمونه حملات: حملات متعدد به شرکتهای بازیسازی بزرگ، دستکاری داراییهای دیجیتال و توزیع بهروزرسانیهای آلوده در زنجیره تأمین بازیها. همزمان، نفوذهایی به بخشهای دولتی (پتنت و فناوری پیشرفته) گزارش شده است.
اثرات: ترکیب عملیات جاسوسی و سایبرکلاهبرداری این گروه را از دیگر تهدیدها متمایز میکند. حملات زنجیره تأمین APT41 در صنعت بازی، علاوه بر خسارت مالی مستقیم (رمز ارزها و منابع بازی)، نشاندهنده تهدیدی پایدار برای زیرساختهای حیاتی نرمافزاری است.
منتسب به: احتمالاً وزارت امنیت دولتی چین (MSS) یا پیمانکاران دولتی. این گروه از حدود ۲۰۱۲ فعال است و تاکتیک ویژهای دارد.
اهداف: دوگانه – جاسوسی دولتی و کسب درآمد شخصی. بخش جاسوسی بر سازمانهای فناوری، سلامت و ارتباطات متمرکز است؛ بخش مجرمانه آن بر صنعت بازیهای ویدئویی (سرقت منابع دیجیتال، حمله باجافزار) متمرکز بوده است.
روشها: حملات فیشینگمحور و بهرهبرداری از زنجیره تأمین نرمافزار. APT41 در برخی کمپینها کدهای مخرب را مستقیماً در نرمافزارهای بازی یا بهروزرسانیهای قانونی تزریق کرده است. همچنین برای پنهانکاری و هدفگیری دقیق از سازوکارهایی نظیر تطبیق شناسه سیستم استفاده میکند تا بدافزارها تنها در ماشینهای مشخص فعال شوند.
نمونه حملات: حملات متعدد به شرکتهای بازیسازی بزرگ، دستکاری داراییهای دیجیتال و توزیع بهروزرسانیهای آلوده در زنجیره تأمین بازیها. همزمان، نفوذهایی به بخشهای دولتی (پتنت و فناوری پیشرفته) گزارش شده است.
اثرات: ترکیب عملیات جاسوسی و سایبرکلاهبرداری این گروه را از دیگر تهدیدها متمایز میکند. حملات زنجیره تأمین APT41 در صنعت بازی، علاوه بر خسارت مالی مستقیم (رمز ارزها و منابع بازی)، نشاندهنده تهدیدی پایدار برای زیرساختهای حیاتی نرمافزاری است.
❤1
APT10 (Stone Panda/MenuPass) – چین
منتسب به: دفتر تیانجین وزارت امنیت دولتی چین (MSS). از حدود ۲۰۰۹ فعال است.
اهداف: زیرساختهای فناوری اطلاعات (بهویژه ارائهدهندگان خدمات مدیریت شده، MSP) و شبکه شرکتهای مشتری. نام دیگر آن “عملیات کلاود هاپر” است.
روشها: نفوذ از طریق شرکتهای خدمات IT. حملات هدفمند گستردهای علیه ارائهکنندگان سرویس ابری اجرا کرده که در نهایت دسترسی به دادههای مشتریان آنها را ممکن ساخت. از ابزارهای پیشرفته و صفر-روز در این حملات استفاده کرده است.
نمونه حملات: «عملیات Cloud Hopper» که شرکتهای بزرگ فناوری و خارجی را هدف قرار داد و توانست به شبکه بیش از یکصد شرکت چندملیتی نفوذ کند.
اثرات: در نتیجه، اطلاعات محرمانه تحقیقاتی و طرحهای تجاری بسیاری از شرکتهای بزرگ جهان به سرقت رفت. همچنین دو مجرم چینی مرتبط با APT10 در دادگاه آمریکا به اتهامهای سایبری محکوم شدند (حدود ۲۰۱۸) که خود نشاندهنده ابعاد گستردهی این کمپینها بود.
منتسب به: دفتر تیانجین وزارت امنیت دولتی چین (MSS). از حدود ۲۰۰۹ فعال است.
اهداف: زیرساختهای فناوری اطلاعات (بهویژه ارائهدهندگان خدمات مدیریت شده، MSP) و شبکه شرکتهای مشتری. نام دیگر آن “عملیات کلاود هاپر” است.
روشها: نفوذ از طریق شرکتهای خدمات IT. حملات هدفمند گستردهای علیه ارائهکنندگان سرویس ابری اجرا کرده که در نهایت دسترسی به دادههای مشتریان آنها را ممکن ساخت. از ابزارهای پیشرفته و صفر-روز در این حملات استفاده کرده است.
نمونه حملات: «عملیات Cloud Hopper» که شرکتهای بزرگ فناوری و خارجی را هدف قرار داد و توانست به شبکه بیش از یکصد شرکت چندملیتی نفوذ کند.
اثرات: در نتیجه، اطلاعات محرمانه تحقیقاتی و طرحهای تجاری بسیاری از شرکتهای بزرگ جهان به سرقت رفت. همچنین دو مجرم چینی مرتبط با APT10 در دادگاه آمریکا به اتهامهای سایبری محکوم شدند (حدود ۲۰۱۸) که خود نشاندهنده ابعاد گستردهی این کمپینها بود.
❤1
APT1 (Unit 61398) – چین
منتسب به: ارتش آزادیبخش خلق چین (PLA)، پادگان 61398. فعال از سال ۲۰۰۶.
اهداف: جاسوسی اقتصادی گسترده؛ گروهی از افسران PLA را شامل میشود.
روشها: استفاده از دهها خانواده بدافزار اختصاصی برای سرقت داده، شامل ابزارهای پیشرفته جمعآوری اطلاعات.
نمونه حملات: گزارش مشهور ماندیانت (۲۰۱۳) نشان میدهد APT1 طی سالهای متمادی به بیش از ۱۴۱ سازمان در صنایع مختلف (نفت و گاز، هوانوردی، رسانه و فناوری اطلاعات و…) حمله کرده است.
اثرات: حجم کل اطلاعات به سرقت رفته بسیار زیاد بود؛ این گزارش انتشار یافته توانست فعالیتهای جاسوسی پرمخاطره را افشاء کند و درک جهانی از نقش چین در حملات سایبری را شکل دهد.
منتسب به: ارتش آزادیبخش خلق چین (PLA)، پادگان 61398. فعال از سال ۲۰۰۶.
اهداف: جاسوسی اقتصادی گسترده؛ گروهی از افسران PLA را شامل میشود.
روشها: استفاده از دهها خانواده بدافزار اختصاصی برای سرقت داده، شامل ابزارهای پیشرفته جمعآوری اطلاعات.
نمونه حملات: گزارش مشهور ماندیانت (۲۰۱۳) نشان میدهد APT1 طی سالهای متمادی به بیش از ۱۴۱ سازمان در صنایع مختلف (نفت و گاز، هوانوردی، رسانه و فناوری اطلاعات و…) حمله کرده است.
اثرات: حجم کل اطلاعات به سرقت رفته بسیار زیاد بود؛ این گزارش انتشار یافته توانست فعالیتهای جاسوسی پرمخاطره را افشاء کند و درک جهانی از نقش چین در حملات سایبری را شکل دهد.
❤1
APT32 (SeaLotus/OceanLotus) – ویتنام
منتسب به: دولت ویتنام (تسلیحات سایبری دولتی). فعال از حدود ۲۰۱۴.
اهداف: هدفگیری صنایع خصوصی بزرگ (مثلاً بخش فناوری و ساخت)، خبرنگاران، مخالفان سیاسی و گروههای اپوزیسیون در جنوب شرق آسیا (ویتنام، فیلیپین، لائوس و…).
روشها: گستره فعالیت وسیع، از جمله بهرهبرداری از وبسایتهای مورد اعتماد (تزویر URL)، بدافزارهای نامه الکترونیکی و ابزارهای منحصربهفرد. این گروه بهطور ویژه از تکنیک Web Shell و کامپرس (نفوذ از طریق نسخههای دستکاریشده اسناد) استفاده کرده است.
نمونه حملات: به عنوان مثال حملات سفارشی بدافزار به سازمانهای خبری و وزارتخانههای دولتهای جنوب شرقی آسیا با هدف سرقت اسناد و اطلاعات امنیتی گزارش شده است.
اثرات: نفوذ APT32 در برخی کشورها موجب افشای اطلاعات داخلی و زیرساختی شده است. این فعالیتها بیش از هر چیز اعتبار آنها را در فضای تهدیدهای منطقه تثبیت کرده است.
منتسب به: دولت ویتنام (تسلیحات سایبری دولتی). فعال از حدود ۲۰۱۴.
اهداف: هدفگیری صنایع خصوصی بزرگ (مثلاً بخش فناوری و ساخت)، خبرنگاران، مخالفان سیاسی و گروههای اپوزیسیون در جنوب شرق آسیا (ویتنام، فیلیپین، لائوس و…).
روشها: گستره فعالیت وسیع، از جمله بهرهبرداری از وبسایتهای مورد اعتماد (تزویر URL)، بدافزارهای نامه الکترونیکی و ابزارهای منحصربهفرد. این گروه بهطور ویژه از تکنیک Web Shell و کامپرس (نفوذ از طریق نسخههای دستکاریشده اسناد) استفاده کرده است.
نمونه حملات: به عنوان مثال حملات سفارشی بدافزار به سازمانهای خبری و وزارتخانههای دولتهای جنوب شرقی آسیا با هدف سرقت اسناد و اطلاعات امنیتی گزارش شده است.
اثرات: نفوذ APT32 در برخی کشورها موجب افشای اطلاعات داخلی و زیرساختی شده است. این فعالیتها بیش از هر چیز اعتبار آنها را در فضای تهدیدهای منطقه تثبیت کرده است.
❤1
APT34 (OilRig/Helix Kitten) – ایران
منتسب به: دولت ایران (وزارت اطلاعات و امنیت). فعال از حدود ۲۰۱۴.
اهداف: سازمانهای دولتی و کسبوکارهای دولتی-خصوصی در خاورمیانه (خصوصاً صنایع نفت، گاز، انرژی و مخابرات). گزارشها نشان میدهد تمرکز ویژه روی اهداف منطقهای ایران دارد، ولی در برخی مواقع آفریقای شمالی و اروپا نیز فعالیت کرده است.
روشها: ایجاد حملات اسپیر فیشینگ (ایمیلهای هدفمند)، صفحات شغلی جعلی و لینکدین جعلی برای نفوذ؛ استفاده از بدافزارهای سفارشی (بدنام به عنوان “OilRig” و «کارتاف» و…).
نمونه حملات: کمپینهای شناختهشده شامل ارسال ایمیلهای هدفمند به وزارتخانههای انرژی و سازمانهای نفتی در خلیج فارس است. بدافزار OilRig روی شبکه قربانیان نصب میشود و در مواردی عملیات مراقبتی و ذخیرهسازی اطلاعات محرمانه را انجام میدهد.
اثرات: این حملات عمدتاً منجر به نفوذ غیرقابلمشاهده و جمعآوری اطلاعات حساس (ترکیبات پالایش، دادههای انرژی) شدهاند، اما خسارت مستقیم مالی بزرگی مانند سرقت گزارش نشده است. با این حال، نشت چنین اطلاعاتی میتواند اثرات سیاسی-اقتصادی قابل توجهی برای کشورها داشته باشد.
منتسب به: دولت ایران (وزارت اطلاعات و امنیت). فعال از حدود ۲۰۱۴.
اهداف: سازمانهای دولتی و کسبوکارهای دولتی-خصوصی در خاورمیانه (خصوصاً صنایع نفت، گاز، انرژی و مخابرات). گزارشها نشان میدهد تمرکز ویژه روی اهداف منطقهای ایران دارد، ولی در برخی مواقع آفریقای شمالی و اروپا نیز فعالیت کرده است.
روشها: ایجاد حملات اسپیر فیشینگ (ایمیلهای هدفمند)، صفحات شغلی جعلی و لینکدین جعلی برای نفوذ؛ استفاده از بدافزارهای سفارشی (بدنام به عنوان “OilRig” و «کارتاف» و…).
نمونه حملات: کمپینهای شناختهشده شامل ارسال ایمیلهای هدفمند به وزارتخانههای انرژی و سازمانهای نفتی در خلیج فارس است. بدافزار OilRig روی شبکه قربانیان نصب میشود و در مواردی عملیات مراقبتی و ذخیرهسازی اطلاعات محرمانه را انجام میدهد.
اثرات: این حملات عمدتاً منجر به نفوذ غیرقابلمشاهده و جمعآوری اطلاعات حساس (ترکیبات پالایش، دادههای انرژی) شدهاند، اما خسارت مستقیم مالی بزرگی مانند سرقت گزارش نشده است. با این حال، نشت چنین اطلاعاتی میتواند اثرات سیاسی-اقتصادی قابل توجهی برای کشورها داشته باشد.
❤1
APT39 (Chafer/Radio Serpens) – ایران
منتسب به: دولت ایران (روابط عمومی سپاه پاسداران). فعال از حدود ۲۰۱۴.
اهداف: سازمانهای مخابراتی، دولت، هواپیمایی و فناوری اطلاعات در خاورمیانه و غرب (ایالات متحده، اروپا). تمرکز بر دادههای ارتباطی و ردیابی افرادی است که برای دولت ایران مهماند.
روشها: حملات فیشینگ پیشرفته، نصب backdoorهای سفارشی؛ پس از نفوذ اولیه، ابزارهای رایگان (مانند Mimikatz) و تکنیکهای حرکت جانبی استفاده میکنند.
نمونه حملات: کمپینهای متعددی علیه شرکتهای خدمات مخابراتی و مسافرتی گزارش شده است که از طریق ایمیلهای مخرب و بدافزارهای دو مرحلهای انجام شدهاند. این گروه تمایل دارد تا مشخصات و تاریخچه پرواز یا ایمیلهای ذینفعان مهم را استخراج کند.
اثرات: APT39 معمولاً اطلاعات جمعآوریشده را برای سانسور و نظارت بلندمدت به کار میگیرد. اگرچه بهاندازه حملات باجافزاری خسارتزا نبوده، اما توانسته شبکه جاسوسی پنهانی گستردهای برای اهداف سیاسی ایران فراهم کند.
منتسب به: دولت ایران (روابط عمومی سپاه پاسداران). فعال از حدود ۲۰۱۴.
اهداف: سازمانهای مخابراتی، دولت، هواپیمایی و فناوری اطلاعات در خاورمیانه و غرب (ایالات متحده، اروپا). تمرکز بر دادههای ارتباطی و ردیابی افرادی است که برای دولت ایران مهماند.
روشها: حملات فیشینگ پیشرفته، نصب backdoorهای سفارشی؛ پس از نفوذ اولیه، ابزارهای رایگان (مانند Mimikatz) و تکنیکهای حرکت جانبی استفاده میکنند.
نمونه حملات: کمپینهای متعددی علیه شرکتهای خدمات مخابراتی و مسافرتی گزارش شده است که از طریق ایمیلهای مخرب و بدافزارهای دو مرحلهای انجام شدهاند. این گروه تمایل دارد تا مشخصات و تاریخچه پرواز یا ایمیلهای ذینفعان مهم را استخراج کند.
اثرات: APT39 معمولاً اطلاعات جمعآوریشده را برای سانسور و نظارت بلندمدت به کار میگیرد. اگرچه بهاندازه حملات باجافزاری خسارتزا نبوده، اما توانسته شبکه جاسوسی پنهانی گستردهای برای اهداف سیاسی ایران فراهم کند.
❤1
سایر گروهها و نفوذهای نمونه
Stuxnet (آمریکا/اسرائیل): اگرچه مستقیماً یک “گروه APT” نیست، این بدافزار پیشرفته (حدود ۲۰۱۰) که به شبکه سانتریفیوژهای اتمی ایران نفوذ و حدود ۱۰۰۰ ماشین را تخریب کرد، نقطه عطفی در تاریخ حملات هدفمند صنعتی به حساب میآید. این عملیات نشان داد که گروههای APT فراتر از سرقت داده میتوانند به عملیات مخرب سایبری بپردازند.
APT32 (OceanLotus) – ویتنام: که پیشتر اشاره شد، نمونه مهمی از پیوند بین دولت و منابع سایبری بخش خصوصی است.
APT35 (Charming Kitten): گروهی ایرانی مرتبط با وزارت اطلاعات که افراد ایرانیتبار مقیم خارج را هدف میگیرد. (در بالا با APT39 ترکیب نکردیم ولی وجود دارد.)
گروههای دیگری مانند APT33 (Refined Kitten) و MuddyWater: فعال علیه صنایع دفاع و هوافضای عربستان، نمونههای دیگری از APTهای منطقه خلیج فارس هستند، هرچند در این گزارش به تفصیل نیامدند.
Stuxnet (آمریکا/اسرائیل): اگرچه مستقیماً یک “گروه APT” نیست، این بدافزار پیشرفته (حدود ۲۰۱۰) که به شبکه سانتریفیوژهای اتمی ایران نفوذ و حدود ۱۰۰۰ ماشین را تخریب کرد، نقطه عطفی در تاریخ حملات هدفمند صنعتی به حساب میآید. این عملیات نشان داد که گروههای APT فراتر از سرقت داده میتوانند به عملیات مخرب سایبری بپردازند.
APT32 (OceanLotus) – ویتنام: که پیشتر اشاره شد، نمونه مهمی از پیوند بین دولت و منابع سایبری بخش خصوصی است.
APT35 (Charming Kitten): گروهی ایرانی مرتبط با وزارت اطلاعات که افراد ایرانیتبار مقیم خارج را هدف میگیرد. (در بالا با APT39 ترکیب نکردیم ولی وجود دارد.)
گروههای دیگری مانند APT33 (Refined Kitten) و MuddyWater: فعال علیه صنایع دفاع و هوافضای عربستان، نمونههای دیگری از APTهای منطقه خلیج فارس هستند، هرچند در این گزارش به تفصیل نیامدند.
❤1
تحلیل تکاملی و روند تغییرات APTها (ده سال اخیر)
روند تکامل تاکتیکها: APTها در دهه اخیر از حملات ساده فیشینگ و بدافزارهای پراکنده به عملیاتهای پیچیدهتری نظیر زنجیره تأمین و نفوذ طولانیمدت (Persistent) مهاجرت کردهاند. به عنوان مثال، مهاجمان روس از فیشینگ سنتی به سمت حملات زنجیرهای مانند SolarWinds رفتهاند، و گروههای چینی در صنعت بازی و فناوری با تزریق بدافزار در بهروزرسانیهای نرمافزاری نفوذ میکنند. همچنین، تکنیکهای حرکت جانبی (lateral movement)، نفوذ به سیستمهای کنترل صنعتی و استفاده از ابزارهای قانونی (LOLBins) در چشمانداز APT به شدت گسترش یافته است.
حرکت به سمت زنجیره تأمین: نمونههای اخیر نشان میدهند که مهاجمان با هدف بهرهبرداری از اعتماد موجود، خود را در زنجیره تأمین جای میدهند. حمله SolarWinds (APT29) و نفوذهای از پیش طراحیشده در نرمافزارهای نصبی، این استراتژی را ملموس کردهاند. APT41 نیز با تزریق کد مخرب در نرمافزار بازیها، نمونهای از این نوع حملات است.
صنایع هدف: دولتها و سازمانهای دولتی همچنان مهمترین اهدافند، اما تمرکز روی بخشهای انرژی، سلامت و مالی بیشتر شده است. به عنوان مثال، پس از حمله به NHS توسط WannaCry، نشان داده شد که حتی زیرساختهای بهداشتی نیز هدف APTهای دولتی قرار میگیرند. صنایع انرژی و حملونقل (نفت، گاز، خطوط هوایی) نیز به دلیل اهمیت استراتژیک و هزینهبر بودن خود در فهرست حملات بالاتر رفتهاند. بدافزار Stuxnet نیز اولین نمونه برجسته حمله به صنعت هستهای بود که تأثیر جهانی داشت.
ظهور گروههای جدید: ظهور APTهای وابسته به رژیمهای سرکوبگر (APT32 واطلاعات دولتی ویتنام، APT39 و… ) و همچنین کاربردهای رمزارزی برای دورزدن تحریم (LaZarus و Bluenoroff) روندهای جدیدی است. همزمان، گروههای سنتی قوی باقی ماندهاند و ابزارهای جدیدی توسعه دادهاند.
رتبهبندی حملات بر اساس اهمیت جهانی
در میان حملات APT، موارد زیر از نظر تأثیر و پوشش رسانهای برجستهاند:
دخالت در انتخابات ۲۰۱۶ آمریکا (APT28): افشای ایمیلها و مدارک کمپین، تغییرات سیاسی و هزینههای هنگفت اطلاعاتی را به همراه داشت.
کمپین SolarWinds (APT29): گستردگی دسترسی به سامانههای مهم جهان (شرکتهای فناوری و سازمانهای دولتی) و در نتیجه افشای هزاران شبکه، اهمیت بالایی دارد.
باجافزار WannaCry (Lazarus): انتشار در ۱۵۰ کشور، توقف فرایندهای خدمات بهداشتی بریتانیا و خسارت بیش از ۱۱۲ میلیون دلار برای NHS. این حمله نشان داد حتا سیستمهای حیاتی هم در خطر حملات APT هستند.
کمک به حملات زیرساختی (Sandworm): NotPetya ۲۰۱۷ و حمله به شبکه برق اوکراین؛ این حملات فناوری نظامی را وارد حوزه تعطیلی شبکههای حیاتی کردند.
دزدی میلیارد دلاری ارزی (APT38/لازاروس): تلاش برای سرقت از بانکهای جهانی (عملیات SWIFT) با برداشتن حدود ۸۱ میلیون دلار و دستیابی به طرحهایی برای سرقت ۸۵۱ میلیون دلار، که ناآرامی در شبکه مالی ایجاد کرد.
حملات علیه صنایع انرژی خاورمیانه (APT34): درگیریهای طولانی مدتی با شرکتهای نفت و انرژی که دادههای حساس را هدف قرار دادهاند.
استاکسنت (آمریکا/اسرائیل): هرچند ماهیت آن هنوز محرمانه است، این بدافزار صنعتی اولین نمونه از جنگ سایبری واقعی بود که ۱۰۰۰ ماشین سانتریفیوژ را نابود کرد، و نشان داد فناوری APT میتواند زیرساختهای فیزیکی را هدف گیرد.
این رتبهبندی نسبی است؛ هر گروه APT ویژگی خاص خود را دارد. اما آنچه مشخص است، به موازات پیشرفت فناوری اطلاعات، تهدیدها نیز پیشرفتهتر و خطرناکتر شدهاند. در ۱۰ سال اخیر، APTها از سرقت اطلاعات ساده به عملیات همهجانبهتر (لایههای متعدد حمله، زنجیره تأمین، بدافزارهای ویژه) منتقل شدهاند. صنایع کلیدی مانند دولتها، انرژی و مالی بیشترین هدف را داشتهاند، و حملات بزرگ این دوره پیشگام تغییر رویهها محسوب میشوند. رتبهبندی فوق بر اساس اهمیت جهانی و گستردگی حمله تدوین شده است و قطعیت، همانگونه که در گزارشهای رسمی نیز آمده، در موارد متعددی قطعی نیست و برآوردهای اطلاعاتی است.
منابع: گزارشهای CISA، MITRE ATT&CK، افشای ماندیانت، و آمارهای دولتی ثروتگذاری نظیر وزارت خزانهداری آمریکا، و همچنین مقالات پژوهشی معتبر در امنیت سایبری.
روند تکامل تاکتیکها: APTها در دهه اخیر از حملات ساده فیشینگ و بدافزارهای پراکنده به عملیاتهای پیچیدهتری نظیر زنجیره تأمین و نفوذ طولانیمدت (Persistent) مهاجرت کردهاند. به عنوان مثال، مهاجمان روس از فیشینگ سنتی به سمت حملات زنجیرهای مانند SolarWinds رفتهاند، و گروههای چینی در صنعت بازی و فناوری با تزریق بدافزار در بهروزرسانیهای نرمافزاری نفوذ میکنند. همچنین، تکنیکهای حرکت جانبی (lateral movement)، نفوذ به سیستمهای کنترل صنعتی و استفاده از ابزارهای قانونی (LOLBins) در چشمانداز APT به شدت گسترش یافته است.
حرکت به سمت زنجیره تأمین: نمونههای اخیر نشان میدهند که مهاجمان با هدف بهرهبرداری از اعتماد موجود، خود را در زنجیره تأمین جای میدهند. حمله SolarWinds (APT29) و نفوذهای از پیش طراحیشده در نرمافزارهای نصبی، این استراتژی را ملموس کردهاند. APT41 نیز با تزریق کد مخرب در نرمافزار بازیها، نمونهای از این نوع حملات است.
صنایع هدف: دولتها و سازمانهای دولتی همچنان مهمترین اهدافند، اما تمرکز روی بخشهای انرژی، سلامت و مالی بیشتر شده است. به عنوان مثال، پس از حمله به NHS توسط WannaCry، نشان داده شد که حتی زیرساختهای بهداشتی نیز هدف APTهای دولتی قرار میگیرند. صنایع انرژی و حملونقل (نفت، گاز، خطوط هوایی) نیز به دلیل اهمیت استراتژیک و هزینهبر بودن خود در فهرست حملات بالاتر رفتهاند. بدافزار Stuxnet نیز اولین نمونه برجسته حمله به صنعت هستهای بود که تأثیر جهانی داشت.
ظهور گروههای جدید: ظهور APTهای وابسته به رژیمهای سرکوبگر (APT32 واطلاعات دولتی ویتنام، APT39 و… ) و همچنین کاربردهای رمزارزی برای دورزدن تحریم (LaZarus و Bluenoroff) روندهای جدیدی است. همزمان، گروههای سنتی قوی باقی ماندهاند و ابزارهای جدیدی توسعه دادهاند.
رتبهبندی حملات بر اساس اهمیت جهانی
در میان حملات APT، موارد زیر از نظر تأثیر و پوشش رسانهای برجستهاند:
دخالت در انتخابات ۲۰۱۶ آمریکا (APT28): افشای ایمیلها و مدارک کمپین، تغییرات سیاسی و هزینههای هنگفت اطلاعاتی را به همراه داشت.
کمپین SolarWinds (APT29): گستردگی دسترسی به سامانههای مهم جهان (شرکتهای فناوری و سازمانهای دولتی) و در نتیجه افشای هزاران شبکه، اهمیت بالایی دارد.
باجافزار WannaCry (Lazarus): انتشار در ۱۵۰ کشور، توقف فرایندهای خدمات بهداشتی بریتانیا و خسارت بیش از ۱۱۲ میلیون دلار برای NHS. این حمله نشان داد حتا سیستمهای حیاتی هم در خطر حملات APT هستند.
کمک به حملات زیرساختی (Sandworm): NotPetya ۲۰۱۷ و حمله به شبکه برق اوکراین؛ این حملات فناوری نظامی را وارد حوزه تعطیلی شبکههای حیاتی کردند.
دزدی میلیارد دلاری ارزی (APT38/لازاروس): تلاش برای سرقت از بانکهای جهانی (عملیات SWIFT) با برداشتن حدود ۸۱ میلیون دلار و دستیابی به طرحهایی برای سرقت ۸۵۱ میلیون دلار، که ناآرامی در شبکه مالی ایجاد کرد.
حملات علیه صنایع انرژی خاورمیانه (APT34): درگیریهای طولانی مدتی با شرکتهای نفت و انرژی که دادههای حساس را هدف قرار دادهاند.
استاکسنت (آمریکا/اسرائیل): هرچند ماهیت آن هنوز محرمانه است، این بدافزار صنعتی اولین نمونه از جنگ سایبری واقعی بود که ۱۰۰۰ ماشین سانتریفیوژ را نابود کرد، و نشان داد فناوری APT میتواند زیرساختهای فیزیکی را هدف گیرد.
این رتبهبندی نسبی است؛ هر گروه APT ویژگی خاص خود را دارد. اما آنچه مشخص است، به موازات پیشرفت فناوری اطلاعات، تهدیدها نیز پیشرفتهتر و خطرناکتر شدهاند. در ۱۰ سال اخیر، APTها از سرقت اطلاعات ساده به عملیات همهجانبهتر (لایههای متعدد حمله، زنجیره تأمین، بدافزارهای ویژه) منتقل شدهاند. صنایع کلیدی مانند دولتها، انرژی و مالی بیشترین هدف را داشتهاند، و حملات بزرگ این دوره پیشگام تغییر رویهها محسوب میشوند. رتبهبندی فوق بر اساس اهمیت جهانی و گستردگی حمله تدوین شده است و قطعیت، همانگونه که در گزارشهای رسمی نیز آمده، در موارد متعددی قطعی نیست و برآوردهای اطلاعاتی است.
منابع: گزارشهای CISA، MITRE ATT&CK، افشای ماندیانت، و آمارهای دولتی ثروتگذاری نظیر وزارت خزانهداری آمریکا، و همچنین مقالات پژوهشی معتبر در امنیت سایبری.
❤1
یکی از مورد علاقه ترین حملاتی که واقعا خودم جذبش شدم وانا کرای بود که خود جادی هم یه پادکست خفن راجبش داره
سورس کد voidnetwork.ir میزارم گیت هاب ممنون میشم توی ارتقای این پروژه همکاری کنید
Mr. Nothing
نمونههای برجسته APT مرتبط با ایران
APT33 (Elfin Team): گروهی ایرانی (احتمالاً وابسته به سپاه IRGC) فعال از ۲۰۱۳. اهداف آن جاسوسی صنعتی در حوزههای هوافضا، انرژی و دفاع است تا فناوری و مالکیت فکری را برای منافع ملی ایران استخراج کند. روش نفوذ: حملات فیشینگ هدفمند با استفاده از اسناد مخرب (مثلاً پیوستهای .hta یا لینکهای فیشینگ در ایمیل) و سوءاستفاده از آسیبپذیریهای شناختهشده (مانند CVE-2017-11882). این گروه برای پایداری در شبکه از ابزارهایی مانند PowerShell و Mimikatz بهره میبرد و معمولاً پس از نفوذ، با تکنیکهای lateral movement و ایجاد دسترسی مدیریتی (Domain Admin) در شبکه قربانی حرکت میکند. نمونه حمله: در سال ۲۰۱۶، کمپینهای فیشینگ هدفمند علیه شرکتهای نفتی و هوافضا در منطقه انجام شد که بدافزارهایی مانند POWBAT (macro-enabled) و backdoorهای سفارشی (مثلاً POWRUNER/BONDUPDATER) را توزیع میکرد. اثرات: سرقت گسترده اطلاعات فنی/مهندسی و اختلال احتمالی در توسعه فناوریهای کلیدی. اخیراً ابزارهای خرابکارانهای مانند StoneDrill (یک ویپر مدرن مبتنی بر دیسککریپتور) در این مجموعه شناسایی شده که نشان از قابلیت تخریبی این گروه دارد.
کشور/گروه منتسب: سپاه پاسداران انقلاب اسلامی (IRGC) – ستاد اطلاعات نیروی هوافضای سپاه
اهداف: جاسوسی و سرقت مالکیت فکری در صنایع هوافضا، دفاع، نفت و گاز
روشهای نفوذ: spear-phishing ایمیلی، سوءاستفاده از باگهای نرمافزاری (صفر-روز و شناختهشده)، ابزارهای پاورشل و Mimikatz برای جانبیروانی (lateral movement)
نمونه حملات: کمپین فیشینگ گسترده بانکها و شرکتهای خاورمیانه (بدافزارهای POWBAT، پوورانر و BondUpdater)
اثرات: سرقت اطلاعات فنی/مهندسی حساس، تهدید پنهان به خرابکاری (ویپرهای مخرب)
کشور/گروه منتسب: سپاه پاسداران انقلاب اسلامی (IRGC) – ستاد اطلاعات نیروی هوافضای سپاه
اهداف: جاسوسی و سرقت مالکیت فکری در صنایع هوافضا، دفاع، نفت و گاز
روشهای نفوذ: spear-phishing ایمیلی، سوءاستفاده از باگهای نرمافزاری (صفر-روز و شناختهشده)، ابزارهای پاورشل و Mimikatz برای جانبیروانی (lateral movement)
نمونه حملات: کمپین فیشینگ گسترده بانکها و شرکتهای خاورمیانه (بدافزارهای POWBAT، پوورانر و BondUpdater)
اثرات: سرقت اطلاعات فنی/مهندسی حساس، تهدید پنهان به خرابکاری (ویپرهای مخرب)
❤1
Mr. Nothing
نمونههای برجسته APT مرتبط با ایران
APT34 (OilRig/Helix Kitten): گروهی ایرانی وابسته به وزارت اطلاعات یا نهادهای دولتی، شناساییشده از ۲۰۱۴. ماموریت اصلیش جاسوسی سایبری و شناسایی زیرساختهای منطقهای علیه منافع ایران است. روش نفوذ: ترکیبی از سازوکار فیشینگ هدفمند (معمولاً ایمیل با اسناد دارای ماکرو مخرب) و بهرهبرداری از آسیبپذیریهای نرمافزاری (مانند CVE-2017-11882، CVE-2017-0199). ابزارهای شناختهشده APT34 شامل اسکریپتهای PowerShell سفارشی (POWRUNER)، بدافزارهای دانلودر مبتنی بر DGA (BONDUPDATER) و ویروسهای جابجایی رخنه (POWBAT) است. نمونه حملات: هک چندین سازمان دولتی و مالی در خاورمیانه از سال ۲۰۱۶ به بعد؛ برای مثال حمله فیشینگ به بانکهای منطقه که بدافزار POWBAT را پخش کرد. اثرات: دسترسی طولانیمدت به شبکه قربانیان برای جمعآوری اطلاعات محرمانه (اسناد دولتی، طرحهای زیربنایی)، ایجاد پایه برای اقدامات بعدی (مانند کشف نفوذهای فرعی در انرژی و مخابرات). ایران بهعنوان منبع اصلی این گروه شناسایی شده است (بنا بر نشانههایی مانند ارجاعهای زیرساختی به آدرسهای ایران).
کشور/گروه منتسب: جمهوری اسلامی ایران (بخش اطلاعات وزارت اطلاعات یا IRGC)
اهداف: جاسوسی سایبری و شناسایی اطلاعات در صنایع مالی، انرژی، مخابرات و دولتی منطقه
روشهای نفوذ: حملات spear-phishing با پیوستهای مخرب، استفاده از اکسپلویتهای Office (مثلاً CVE-2017-11882)، استقرار backdoorهای PowerShell (POWRUNER) و ابزارهایی مانند BONDUPDATER/DGA برای پایداری
نمونه حملات: کمپین فیشینگ بانکها و سازمانهای منطقهای (بدافزار POWBAT)، حمله همزمان به سازمانهای خاورمیانه با فایلهای .rtf حاوی اکسپلویتهای Office
اثرات: نفوذ عمیق در شبکهها و جمعآوری اطلاعات مالی/دولتی، ایجاد امکان ادامه جاسوسی و مانور در زیرساختهای حساس
کشور/گروه منتسب: جمهوری اسلامی ایران (بخش اطلاعات وزارت اطلاعات یا IRGC)
اهداف: جاسوسی سایبری و شناسایی اطلاعات در صنایع مالی، انرژی، مخابرات و دولتی منطقه
روشهای نفوذ: حملات spear-phishing با پیوستهای مخرب، استفاده از اکسپلویتهای Office (مثلاً CVE-2017-11882)، استقرار backdoorهای PowerShell (POWRUNER) و ابزارهایی مانند BONDUPDATER/DGA برای پایداری
نمونه حملات: کمپین فیشینگ بانکها و سازمانهای منطقهای (بدافزار POWBAT)، حمله همزمان به سازمانهای خاورمیانه با فایلهای .rtf حاوی اکسپلویتهای Office
اثرات: نفوذ عمیق در شبکهها و جمعآوری اطلاعات مالی/دولتی، ایجاد امکان ادامه جاسوسی و مانور در زیرساختهای حساس
❤1
Mr. Nothing
نمونههای برجسته APT مرتبط با ایران
APT35 (Charming Kitten / Phosphorus / Mint Sandstorm): گروه شاخص ایرانی (وابسته به سازمان اطلاعات سپاه IRGC-IO) فعال از حدود ۲۰۱۳. اصلیترین اهدافش «جمعآوری اطلاعات» از مخالفان رژیم، دیپلماتها، روزنامهنگاران و نیروهای امنیتی است. روش نفوذ: فیشینگ پیچیده و مهندسی اجتماعی. اپراتورها با ایجاد هویتهای جعلی (مانند خبرنگار یا پژوهشگر) ارتباط طولانیمدت برقرار کرده و اطلاعات هویتی و دسترسی قربانیان را میدزدند. ابزارهای این گروه شامل کیلاگرها و بدافزارهای سرقت اطلاعات و نسخههای بدافزار رمزگذار (ویپرسالاری نبوده و معمولاً بدون درخواست باج) است. Storm-0270 (DEV-0270/Nemesis Kitten) که گاهی همراه APT35 ذکر میشود، زیرمجموعهای است که حملات رمزارز-مانند (living off the land) علیه سازمانهای کوچک را انجام میدهد. اثرات: افشای گسترده ایمیلها و دادههای محرمانه فعالان و محققان (از جمله تسلیم اجباری IP و نشستهای ویدئویی)، تأثیر بر جریانهای سیاسی و کنترل سرمایههای فکری. مایکروسافت متوجه فعالیت شدید این گروه شد و در سال ۲۰۲۳ صدها دامنه فیشینگ را توقیف کرد.
کشور/گروه منتسب: جمهوری اسلامی ایران (سازمان اطلاعات سپاه پاسداران)
اهداف: جاسوسی اطلاعاتی و سیاسی – هدف قرار دادن مخالفان سیاسی، محققان حقوق بشر، دیپلماتها و بنگاههای دفاعی و زیربنایی
روشهای نفوذ: مهندسی اجتماعی (ساخت هویتهای فیشینگ در شبکههای اجتماعی)، سرقت اعتبارنامه (credential harvesting)، ایمیلهای فیشینگ پیچیده، استفاده از بدافزارهای سرقت اطلاعات و کیلاگر
نمونه حملات: کمپینهای هک حسابهای ایمیل فعالان و دانشگاهیان، ارسال بدافزارهای قالبگیریشده در اسناد Word/Excel؛ عملیات سپر-۰۲۷۰ با سوءاستفاده از ابزارهای قانونی ویندوز (BitLocker) برای قفلکردن فایلها
اثرات: نفوذ به محتوای شخصی و سازمانی معارضان، اختلال در جریان اطلاعات رسانهای و آکادمیک، و افزایش احتیاط در جمعآوری دادهها؛ همچنین بخشی از پرونده حملات رمزارز مرموز علیه مؤسسات کوچک آمریکا
کشور/گروه منتسب: جمهوری اسلامی ایران (سازمان اطلاعات سپاه پاسداران)
اهداف: جاسوسی اطلاعاتی و سیاسی – هدف قرار دادن مخالفان سیاسی، محققان حقوق بشر، دیپلماتها و بنگاههای دفاعی و زیربنایی
روشهای نفوذ: مهندسی اجتماعی (ساخت هویتهای فیشینگ در شبکههای اجتماعی)، سرقت اعتبارنامه (credential harvesting)، ایمیلهای فیشینگ پیچیده، استفاده از بدافزارهای سرقت اطلاعات و کیلاگر
نمونه حملات: کمپینهای هک حسابهای ایمیل فعالان و دانشگاهیان، ارسال بدافزارهای قالبگیریشده در اسناد Word/Excel؛ عملیات سپر-۰۲۷۰ با سوءاستفاده از ابزارهای قانونی ویندوز (BitLocker) برای قفلکردن فایلها
اثرات: نفوذ به محتوای شخصی و سازمانی معارضان، اختلال در جریان اطلاعات رسانهای و آکادمیک، و افزایش احتیاط در جمعآوری دادهها؛ همچنین بخشی از پرونده حملات رمزارز مرموز علیه مؤسسات کوچک آمریکا
❤1
Mr. Nothing
نمونههای برجسته APT مرتبط با ایران
APT39 (Chafer/Remix Kitten): گروه جاسوسی سایبری ایرانی (وابسته به وزارت اطلاعات – MOIS) که از حدود ۲۰۱۴ فعال است. اهداف آن عمدتاً «اطلاعات شخصی» اقوام و مسافران (سوابق بلیت هواپیما، کارت اعتباری، جزئیات مخابراتی) است تا توانمندسازی ردیابی فیزیکی افراد مورد نظر (معترضان، روزنامهنگاران) فراهم شود. روش نفوذ: حملات Spear-phishing و بدافزارهای موبایل. مهاجمان با نفوذ به سازمانهای دارای پایگاه دادههای مسافرت و ارتباطات (هواپیمایی، شرکتهای گردشگری و مخابرات) از طریق ایمیلهای هدفمند و تروجانهای اندرویدی، اطلاعات شخصی را استخراج میکنند. برخلاف APTهای دیگر، تمرکز APT39 کمتر بر اهداف نظامی/اقتصادی است و بیشتر روی سیستمهای «ردیابی افراد» تمرکز دارد. اثرات: ایجاد زیرساخت جاسوسی گسترده برای نظارت بر رفتوآمد فعالان و مهاجران ایرانی؛ نفوذ در سیستمهای هتلها و خطوط هوایی که منجر به دسترسی به مسیرهای مسافرتی و سوابق ارتباطی میشود.
کشور/گروه منتسب: جمهوری اسلامی ایران (وزارت اطلاعات – MOIS)
اهداف: جمعآوری اطلاعات شخصی (مسافرتی، هویتی، مکالمات) افراد موردنظر برای مانیتورینگ و ردیابی آنها
روشهای نفوذ: spear-phishing ایمیلی با ضمیمههای مخرب، استقرار بدافزارهای مخصوص موبایل (اندرویدی) و ابزارهای سرقت اطلاعات؛ بهره از آسیبپذیریهای عمومی برای نفوذ به سیستمهای مسافرت/مخابرات
نمونه حملات: نفوذ به شرکتهای هواپیمایی، آژانسهای مسافرت و اپراتورهای مخابراتی در خاورمیانه و اروپا (حملههایی که منجر به دزدیدن جزئیات پروازها و CDR تلفن شد)
اثرات: توانایی دنبالکردن فیزیکی و اطلاعاتی افراد (بهویژه مخالفان و اعضای دیاسپورا) از طریق دادههای بدستآمده؛ بیاعتمادی قربانیان به امنیت دادهها و افزایش اقدامات حفاظتی در بخش حملونقل و مخابرات.
کشور/گروه منتسب: جمهوری اسلامی ایران (وزارت اطلاعات – MOIS)
اهداف: جمعآوری اطلاعات شخصی (مسافرتی، هویتی، مکالمات) افراد موردنظر برای مانیتورینگ و ردیابی آنها
روشهای نفوذ: spear-phishing ایمیلی با ضمیمههای مخرب، استقرار بدافزارهای مخصوص موبایل (اندرویدی) و ابزارهای سرقت اطلاعات؛ بهره از آسیبپذیریهای عمومی برای نفوذ به سیستمهای مسافرت/مخابرات
نمونه حملات: نفوذ به شرکتهای هواپیمایی، آژانسهای مسافرت و اپراتورهای مخابراتی در خاورمیانه و اروپا (حملههایی که منجر به دزدیدن جزئیات پروازها و CDR تلفن شد)
اثرات: توانایی دنبالکردن فیزیکی و اطلاعاتی افراد (بهویژه مخالفان و اعضای دیاسپورا) از طریق دادههای بدستآمده؛ بیاعتمادی قربانیان به امنیت دادهها و افزایش اقدامات حفاظتی در بخش حملونقل و مخابرات.
❤1
Mr. Nothing
نمونههای برجسته APT مرتبط با ایران
APT42 (Crooked Charms / TA453): گروه جاسوسی ایرانی وابسته به سپاه (IRGC-IO) که از سال ۲۰۱۵ شناسایی شده است. مأموریت آن جمعآوری اطلاعات استراتژیک و نظارت بر افراد و سازمانهای مهم برای حکومت ایران؛ اهداف شامل نهادهای مخالف در کشورهای غربی، پژوهشگران علمی و فعالان حقوق بشر بود. روش نفوذ: فیشینگ بسیار هدفمند؛ به ویژه ایمیلهای مهندسی اجتماعی که قربانی را قانع به افشای رمز عبور میکند، و بدافزارهای موبایلی جاسوسی. عمده عملیات را credential harvesting تشکیل میدهد (سرقت MFA، کراک حسابهای ایمیل). چندین ابزار سفارشی و روتکیتهای اندروید برای جاسوسی بر روی دستگاههای شخصی استفاده میشود. اثرات: نفوذ به ایمیلهای شخصی مقامات غربی و اعضای جامعه ایرانی خارج از کشور؛ امکان نظارت بر ارتباطات داخلی آنها و جمعآوری اطلاعات محرمانه. این گروه انعطافپذیری بالایی دارد (مثلاً به سرعت به موضوع پاندمی کرونا روی آورد تا اطلاعات دارویی را سرقت کند).
کشور/گروه منتسب: جمهوری اسلامی ایران (سپاه IRGC – سازمان اطلاعات)
اهداف: جاسوسی و نظارت اطلاعاتی – هدفگیری فعالان، پژوهشگران، مقامات سابق و اعضای جامعه ایرانی خارج از کشور
روشهای نفوذ: spear-phishing بسیار هوشمندانه (ساخت روابط طولانیمدت با قربانی)، مهاجرت به حسابهای کاربری از طریق حملات credential harvesting و استفاده از بدافزارهای اندروید برای کنترل تلفن همراه
نمونه حملات: صدها عملیات تاییدشده از سال ۲۰۱۵ تا ۲۰۲۲؛ نفوذ به حسابهای شخصی ایمیل و نصب تروجان موبایل برای ردیابی؛ تغییر تمرکز عملیات با تغییر اولویتهای ایران (مثلاً هدف قرار دادن شرکتهای دارویی در اوایل کرونا)
اثرات: درز دادههای شخصی و شرکتی مربوط به اهداف معاند، از جمله محل فیزیکی و محتوای پیامهای آنها؛ امکان جاسوسی مضاعف بر روی شبکههای دولتی از طریق حسابهای آلوده.
کشور/گروه منتسب: جمهوری اسلامی ایران (سپاه IRGC – سازمان اطلاعات)
اهداف: جاسوسی و نظارت اطلاعاتی – هدفگیری فعالان، پژوهشگران، مقامات سابق و اعضای جامعه ایرانی خارج از کشور
روشهای نفوذ: spear-phishing بسیار هوشمندانه (ساخت روابط طولانیمدت با قربانی)، مهاجرت به حسابهای کاربری از طریق حملات credential harvesting و استفاده از بدافزارهای اندروید برای کنترل تلفن همراه
نمونه حملات: صدها عملیات تاییدشده از سال ۲۰۱۵ تا ۲۰۲۲؛ نفوذ به حسابهای شخصی ایمیل و نصب تروجان موبایل برای ردیابی؛ تغییر تمرکز عملیات با تغییر اولویتهای ایران (مثلاً هدف قرار دادن شرکتهای دارویی در اوایل کرونا)
اثرات: درز دادههای شخصی و شرکتی مربوط به اهداف معاند، از جمله محل فیزیکی و محتوای پیامهای آنها؛ امکان جاسوسی مضاعف بر روی شبکههای دولتی از طریق حسابهای آلوده.
❤1
Mr. Nothing
نمونههای برجسته APT مرتبط با ایران
Rampant Kitten: گروهی ایرانی (احتمالاً وابسته به IRGC) با فعالیت از حدود ۲۰۱۴. مأموریت اصلی آن جاسوسی و افشای اطلاعات مخالفان حکومتی و اقلیتهای تحتپیگرد است. روش نفوذ: استفاده از بدافزارهای سرقت اطلاعات (Information Stealer) که دادههای برنامههای مدیریت گذرواژه (مانند KeePass) و پیامهای تلگرام را میدزدند، همراه با صفحات فیشینگ پیشرفته. حتی برای دورزدن احراز هویت دو عاملی، بدافزارهای اندرویدی برای استخراج کدهای MFA بهکار میرود. نمونه حملات: کمپینهایی که با جعل صفحات ورود جعلی و بدافزار اندروید یکشبهای، رمزهای عبور تلفن همراه و پیامها را سرقت کردند؛ کارکرد اندروید trojan برای گرفتن کد دو مرحلهای. اثرات: درز اسناد شخصی و پیامهای خصوصی فعالان، ایجاد فشار امنیتی و روانی بر گروههای مخالف، اختلال در فعالیت شبکهای و افزایش خودسانسوری در میان شهروندان معترض.
کشور/گروه منتسب: جمهوری اسلامی ایران (احتمالاً سپاه پاسداران)
اهداف: جاسوسی اطلاعاتی و افشای اطلاعات مخالفان داخلی، بهویژه اقلیتهای قومی و دینی، برای سرکوب سیاسی
روشهای نفوذ: بدافزارهای استیلر پیشرفته برای سرقت اطلاعات ورود (از جمله از KeePass)، حملات فیشینگ با صفحاتی شبیهسازیشده، هک دو مرحلهای (بهرهبرداری از رمز دوم)
نمونه حملات: بهکارگیری نرمافزار اندرویدی مخرب برای دزدیدن کدهای SMS 2FA و اطلاعات لوکال، ارسال هرزنامههای هدفمند با بدافزار Dharma علیه بخشی از کاربران
اثرات: به دستآوردن اطلاعات حساس شخصیتها، ایجاد ترس و دسیسهسازی خبری علیه اپوزیسیون (دکمه منتشر کردن اسناد بهعنوان ابزار فشاری)، لطمه به ارتباطات خصوصی جامعه مدنی.
کشور/گروه منتسب: جمهوری اسلامی ایران (احتمالاً سپاه پاسداران)
اهداف: جاسوسی اطلاعاتی و افشای اطلاعات مخالفان داخلی، بهویژه اقلیتهای قومی و دینی، برای سرکوب سیاسی
روشهای نفوذ: بدافزارهای استیلر پیشرفته برای سرقت اطلاعات ورود (از جمله از KeePass)، حملات فیشینگ با صفحاتی شبیهسازیشده، هک دو مرحلهای (بهرهبرداری از رمز دوم)
نمونه حملات: بهکارگیری نرمافزار اندرویدی مخرب برای دزدیدن کدهای SMS 2FA و اطلاعات لوکال، ارسال هرزنامههای هدفمند با بدافزار Dharma علیه بخشی از کاربران
اثرات: به دستآوردن اطلاعات حساس شخصیتها، ایجاد ترس و دسیسهسازی خبری علیه اپوزیسیون (دکمه منتشر کردن اسناد بهعنوان ابزار فشاری)، لطمه به ارتباطات خصوصی جامعه مدنی.
❤1
Pioneer Kitten (Parisite/Fox Kitten): گروه ایرانی که در اکسپلویتکردن آسیبپذیریهای زیرساخت لبه شبکه تخصص دارد. عمدتاً در سالهای اخیر ظاهر شده و هدفش دسترسی اولیه به شبکههای سازمانی با استفاده از حفرههای امنیتی در VPNها، گیتویهای Citrix، سرورهای RDP و سرویسهای از راه دور بوده است. روش نفوذ: بهرهجویی از آسیبپذیریهای شناختهشده (مانند CVE-2018-13379 در Fortinet و CVE-2019-11510 در Citrix) و استقرار وبشل یا backdoor. پس از نفوذ، ابزارهای متنباز (مانند SSH تَنل و Mimikatz) برای گسترش نفوذ و ارتقای سطح دسترسی استفاده میشود. این گروه همچنین پس از نفوذ، دسترسیهای خود را میفروشد یا با گروههای دیگر به اشتراک میگذارد و نقشی مهم در زنجیره حملات پیچیدهتر ایفا میکند. اثرات: ایجاد درب پشتی گسترده به زیرساختهای حملونقل، بهداشت و دفاع در منطقه، بهگونهای که میتواند مورد استفاده گروههای دیگر نیز قرار گیرد.
کشور/گروه منتسب: جمهوری اسلامی ایران (جاسوسافزار وابسته به IRGC)
اهداف: نفوذ به زیرساختهای تکنولوژیک حیاتی (سرورهای VPN/Citrix/Remote Desktop) و فراهمکردن دسترسی دائم به شبکههای هدف
روشهای نفوذ: سوءاستفاده از آسیبپذیریهای شناختهشده روی تجهیزات لبه (مثل VPN)، استقرار وبشل، استفاده از ابزار متنباز (SSH تَنل، Mimikatz) برای حفظ دسترسی
نمونه حملات: کمپینهای حمله به شبکههای دولتی و بهداشتی که از exploit گیتویهای Forti/Citrix استفاده کردند؛ گزارش شده دسترسی حاصلشده در شبکههای شرکتی مختلف در اسراییل، امریکا و خاورمیانه.
اثرات: تأسیس دسترسیهای ریشهای (Persistence) در شبکه قربانی، امکان گسترش حملات جاسوسی یا خرابکارانه توسط گروههای وابسته، فروش دسترسی به سایر واحدهای اطلاعاتی.
کشور/گروه منتسب: جمهوری اسلامی ایران (جاسوسافزار وابسته به IRGC)
اهداف: نفوذ به زیرساختهای تکنولوژیک حیاتی (سرورهای VPN/Citrix/Remote Desktop) و فراهمکردن دسترسی دائم به شبکههای هدف
روشهای نفوذ: سوءاستفاده از آسیبپذیریهای شناختهشده روی تجهیزات لبه (مثل VPN)، استقرار وبشل، استفاده از ابزار متنباز (SSH تَنل، Mimikatz) برای حفظ دسترسی
نمونه حملات: کمپینهای حمله به شبکههای دولتی و بهداشتی که از exploit گیتویهای Forti/Citrix استفاده کردند؛ گزارش شده دسترسی حاصلشده در شبکههای شرکتی مختلف در اسراییل، امریکا و خاورمیانه.
اثرات: تأسیس دسترسیهای ریشهای (Persistence) در شبکه قربانی، امکان گسترش حملات جاسوسی یا خرابکارانه توسط گروههای وابسته، فروش دسترسی به سایر واحدهای اطلاعاتی.
❤1