تهدیدات سایبری ایران پیشرفته شده است

  • ۱۲ روز پیش
  • ۰

سمیه مهدوی پیام

هرچند تهدیدات سایبری ایران، در بین دیگر مهاجمان معروف به «CRINK»، شامل چین، روسیه و کره‌شمالی، اغلب در آخرین جایگاه قرار می‌گیرد اما خطرات ناشی از تهدیدات این کشور، به سرعت در حال افزایش است و از خرابکاری ساده سایت‌ها به سمت حملات علیه زیرساخت‌های ملی حیاتی (CNI) و اخیرا مداخله‌ مهم در انتخابات آمریکا، تکامل یافته است.

به گزارش ITPro، در ماه اوت، مقامات اطلاعاتی ایالات متحده تایید کردند ایران پشت حمله‌ به کارزار انتخاباتی دونالد ترامپ بوده است. اف‌بی‌آی، دفتر مدیر اطلاعات ملی و آژانس امنیت سایبری و زیرساخت (CISA)، در بیانیه‌‌ مشترک اعلام کردند که ایرانی‌ها از مهندسی اجتماعی برای نفوذ به افرادی با «دسترسی مستقیم به کارزارهای انتخاباتی هر دو حزب سیاسی» استفاده کرده‌اند.

بنابراین جای تعجب نیست که در ماه سپتامبر، نیویورک تایمز، ایران را به عنوان «تهدید اصلی اطلاعات نادرست» در ایالات متحده معرفی و این کشور را به دلیل «موج هک‌ها و وب‌سایت‌های جعلی» که هدف آنها بدنام کردن دموکراسی آمریکا و «احتمالا تغییر نتیجه انتخابات» است، سرزنش کرد. با توجه به این موارد، آیا مشخص نیست تهدیدات ایران و همراهانش چقدر بزرگ است و چگونه بر کسب‌وکارها تاثیر می‌گذارد؟

  • مروری کوتاه بر تهدیدات سایبری ایران

با توجه به رویدادهایی مانند حمله به کارزار انتخاباتی ترامپ، این، اولین بار نیست که ایران به حملات سایبری بزرگ متهم می‌شود. یکی از اولین فعالیت‌های سایبری تهاجمی ایران، در زمان نتیجه انتخابات ریاست‌جمهوری این کشور در ژوئن ۲۰۰۹ بود که با اتهام تقلب، مواجه و به اعتراضات منجر شد.

(توضیح عصر ارتباط: انتساب حملات سایبری به ایران مساله جدیدی نیست و سالهاست که به کرات از سوی رسانه‌ها و شرکت‌های آمریکایی و غربی دنبال می‌شود. این در حالیست که ایران وقوع این حملات را تکذیب کرده و مشخصا درباره ادعای حمله به کمپین‌های ترامپ و هریس خواستار ارایه مستندات در این زمینه شد که اطلاعات بیشتری در این خصوص منتشر نشده است.)

قبل از آن در سال ۲۰۱۰، ایران، خودش قربانی تهاجمی مشهور به حمایت دولت‌ها از آن حمله شد. به نظر می‌رسد این هجوم سایبری توسط ایالات متحده و اسرائیل انجام شده باشد و کرم استاکس‌نت، سیستم‌های مبتنی بر SCADA که زیرساخت‌های ملی حیاتی را تحت پوشش داشت، هدف حمله خود قرار داد. این هجوم سایبری که سانتریفیوژهای یک کارخانه هسته‌ای ایران را تحت‌تاثیر قرار داد، برنامه هسته‌ای این کشور را برای سال‌ها به تاخیر انداخت.

همچنین در سال ۲۰۱۲، سرویس‌های اطلاعاتی آمریکا، ایران را با بدافزاری به نام کرم «شامون» که زیرساخت‌های ملی حیاتی (CNI) را هدف قرار می‌داد، مرتبط دانستند. از سوی دیگر، حمله به آرامکو، شرکت ملی نفت عربستان سعودی، نقطه عطف مهم در تلاش‌های جنگ سایبری در منطقه بود. فیلیپ اینگرام، سرهنگ سابق اطلاعات نظامی بریتانیا، شامون را به عنوان «یک پاک‌کننده مخرب که خسارات قابل‌توجهی وارد کرد» توصیف می‌کند.

  • تهدید سایبری ایران: اهمیت رو به رشد

از آن زمان، ایران به عنوان «یک بازیگر مهم سایبری» ظاهر شده است. در این زمینه، اینگرام به ITPro می‌گوید که ایران «هنوز در سطح بالای روسیه و چین نیست» اما «یک بازیگر قوی و سطح دوم خوب» محسوب می‌شود. نهادهای نظامی ایران در خط مقدم تلاش‌های جنگ سایبری ایران قرار دارند و از تاکتیک‌های پیشرفته‌ مانند باج‌افزارها، بدافزارها و بکدور (درب‌های پشتی) برای هدف قرار دادن زیرساخت‌های حیاتی و داده‌های حساس استفاده می‌کنند. اینگرام می‌افزاید: «تمرکز اصلی ایران بر خاورمیانه، از جمله اسرائیل و عربستان سعودی، و نیز منافع آمریکا و بریتانیاست.»

تورنتون-ترامپ، ایران را به عنوان «چاقوی ارتش سوئیس در قابلیت‌های سایبری» توصیف و خاطرنشان می‌کند که این کشور احتمالا به دلیل آموزش و حمایت از سوی روسیه و چین. سریع‌تر از آنها پیشرفت کرده است.

در فوریه ۲۰۲۴، مایکروسافت مدعی شد، هکرهای وابسته به ایران را شناسایی کرد که از هوش مصنوعی مولد برای کمک به مهندسی اجتماعی، رفع اشکال نرم‌افزار و نحوه اجتناب از شناسایی در شبکه‌های نفوذکرده در آن استفاده می‌کردند. مایکروسافت نمونه‌هایی از فعالیت‌های سایبری ایران که با کمک هوش مصنوعی انجام شده، ارائه و بر لزوم افشای تلاش‌های اولیه قبل از بهبود استراتژی‌های حمله تاکید کرد.

تورنتون-ترامپ هشدار می‌دهد: «ایرانی‌ها به طور مداوم در حال توسعه و بهبود توانایی‌های سایبری هستند و اکنون، به نظر من، در سطحی برابر با روسیه و چین قرار دارند.»

  • گروه‌های تهدید برجسته ایرانی

جوانا ماکاكانجا، تحلیل‌گر تحریریه CTI در شرکت  Cyjaxنیز مدعی است تقریبا تمام گروه‌های تهدید برجسته ایرانی از سوی دولت حمایت می‌شوند. او به عنوان نمونه‌ به گروه Imperial Kitten اشاره می‌کند که در سال ۲۰۱۷ شکل گرفت. برخی از اولین فعالیت‌های گزارش‌شده توسط این گروه نشان می‌دهد کهنه‌ سربازان آمریکایی که به دنبال شغل بودند از طریق وب‌سایت‌های مخرب هدف قرار داده می‌شدند. وی می‌گوید: «انگیزه اصلی این گروه، جمع‌آوری اطلاعات به منظور جاسوسی سایبری است.»

علاوه بر این، گروه APT33 نیز هرچند حداقل از سال ۲۰۱۳ فعال بوده اما در سال ۲۰۱۷ به دلیل حملات گسترده به بخش‌های هوافضا و انرژی آمریکا و عربستان سعودی مشهور شد. انگیزه حملات این گروه، جمع‌آوری اطلاعات است. به ادعای ماکاكانجا، «این گروه، اطلاعات مالکیت معنوی و اطلاعات شناسایی شخصی را سرقت می‌کند تا اهداف دولت ایران را پیش ببرد.»

همچنین موجودیت گروه APT42، گروه تهدیدی که گفته می‌شود مورد حمایت دولت ایران است، به سال ۲۰۱۵ برمی‌گردد. کِن دانهم، مدیر تهدید سایبری در واحد تحقیقاتی تهدیدات Qualys می‌گوید: «تخصص گروهAPT42 ، فیشینگ هدفمند با حملات اجتماعی پیچیده است که به منظور نفوذ به اهداف خاص برای نظارت، طراحی شده است.» به گفته دانهم، این گروه، عملیات‌های «گسترده‌‌ای» انجام می‌دهد. این عملیات، استفاده از هویت‌های جعلی در پلتفرم‌های اجتماعی برای تعامل هدفمند و جمع‌آوری داده‌ها را شامل می‌شود.

الکساندار میلنکوسکی، محقق ارشد تهدیدات در  SentinelLabsشرکت فعال در حوزه تحقیقات درباره تهدیدات سایبری معتقد است گروه‌های تهدید مشکوک ایرانی از تاکتیک‌های متنوع برای دسترسی اولیه، مانند فیشینگ، مهندسی اجتماعی و بهره‌برداری از آسیب‌پذیری‌ها استفاده می‌کنند. به عنوان مثال، گروهAPT42  درگیر «مکاتبات گسترده» با سازمان‌ها یا افرادِ هدف است تا «اعتماد ایجاد کرده و پیش از شروع فعالیت‌های مخرب، ارتباط برقرار کند.» میلنکوسکی می‌گوید: «این گروه‌ها، از روش‌های مختلف ارتباطی، از جمله ایمیل و پلتفرم‌های پیام‌رسان فوری مانند واتس‌اپ، استفاده می‌کنند.»

  • آینده تهدیدات سایبری ایران

به گفته آدام دارا، معاون رئیس اطلاعات شرکت ZeroFox، تهدید ناشی از گروه‌های پشتیبانی‌شده توسط ایران، واقعی است و کسب‌وکارها در بخش‌های مختلف باید این تهدید را در کنار تهدیدات سایر کشورها مدنظر قرار دهند. هر سازمانی که اطلاعات حساس دارد، به‌ویژه اگر با فرایند سیاسی مرتبط باشد، هدف مناسبی برای آنها محسوب می‌شود.

دارا توصیه می‌کند کسب‌وکارها اطلاعات تهدیدات سایبری خود را تقویت کرده و از مدیریت وصله (patch) مناسب برای آسیب‌پذیری‌ها و نیز استراتژی‌های پشتیبان‌گیری (backup) اطمینان یابند. ضمنا منابع اضافی مانند مشاوره‌ CISA درباره تهدیدات دولتی به طور منظم به‌روز می‌شوند و می‌توانند برنامه‌های داخلی را تقویت کنند. دارا اضافه می‌کند: «از آنجا که این گروه‌ها اغلب به دنبال هدف قرار دادن اطلاعات حساس هستند، کسب‌وکارها باید اطمینان یابند داده‌هایشان همیشه به ‌طور منظم از طریق سرورهای امن، خارج از سایت یا ابری، پشتیبان‌گیری می‌شود.»

به گفته ماکاكانجا، هدف بسیاری از گروه‌های تهدید ایرانی، جمع‌آوری اعتبارنامه‌های سرقت‌شده در دارک‌وب و نفوذ به اکانت‌های ایمیل برای جمع‌آوری داده‌ها و انجام فعالیت‌های مخرب بیشتر است. او معتقد است جلوگیری از تلاش‌های دسترسی اولیه، «کلید محافظت سازمان‌ها از فعالیت‌های مخرب بیشتر، مانند استقرار بدافزار، از جمله درب‌های پشتی و سارقان اطلاعات است.»

طبق ادعای ماکاكانجا، فیشینگ و فیشینگ نیزه‌ای (هدفمند)، اصلی‌ترین مسیرهایی هستند که این گروه‌ها برای دستیابی به اعتبارنامه‌ها و حساب‌های ایمیل استفاده می‌کنند. او توصیه می‌کند کاربران با آگاهی از تاکتیک‌های رایج فیشینگ، این تهدیدات را کاهش دهند.

ماکاکانجا به عنوان بخشی از این اقدامات، پیشنهاد می‌کند منبع ایمیل‌هایی که حاوی لینک یا پیوست هستند، تایید کنید و شماره‌ تلفن‌ها و آدرس‌های ایمیل رسمی را در وب‌سایت‌های معتبر بررسی نمایید: «پیاده‌سازی احراز هویت چندعاملی (MFA) و استفاده از گذرواژه‌های قوی و منحصربه‌فرد نیز می‌تواند احتمال به خطر افتادن حساب را کاهش دهد.»

  • facebook
  • googleplus
  • twitter
  • linkedin
  • linkedin
sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto sekolahtoto situs toto bo togel terpercaya