آنچه در جنگ و جبهه سایبری گذشت

حمله گروه سایبری «نصیر» به شرکت‌های انرژی در خلیج فارس

۲۹ فروردین, ۱۴۰۵
۲۲:۳۳

آزاده کیاپور

(توضیح: این گزارش قبل از اعلام آتش‌بس در فروردین‌ماه سال جاری تنظیم شده است.)

گروه امنیت سایبری «نصیر» (Nasir Security) که ظاهراً با ایران مرتبط است، شرکت‌های انرژی خاورمیانه را در بحبوحه تهدیدات سایبری و نظامی جاری منطقه‌ای، هدف قرار می‌دهد.

به گزارش securityaffairs، شرکت «رِسِکیوریتی» (ایالات متحده)، در حال رصد گروه سایبری نسبتاً جدیدی به نام «نصیر سِکیوریتی» است که ظاهراً با ایران مرتبط بوده و سازمان‌های انرژی در خاورمیانه را هدف قرار می‌دهد.

حوزه انرژی به‌دلیل فعالیت‌های تخریبی ایران در منطقه، مانند مسدودسازی تنگه هرمز و حملات پهپادی/ موشکی به زیرساخت‌های انرژی کشورهای همسایه در شورای همکاری خلیج فارس، که متحدان آمریکا محسوب می‌شوند، یکی از بخش‌هایی است که بیشترین تأثیرات را پذیرفته است.

طبق گزارش‌های تیم اطلاعات تهدیدات «رِسِکیوریتی»، گروه سایبری نصیر، در حال حمله به فروشندگان زنجیره تأمین درگیر در مهندسی، ایمنی و ساخت‌وساز است. داده‌های سرقت‌شده در نتیجه این حوادث معتبر هستند، اما از شخص ثالث (شرکت هدف) سرچشمه می‌گیرند که ممکن است منجر به مفروضات نادرست در مورد منشأ نفوذ شود.

تمرکز حملات بر بخش انرژی است؛ حوزه‌ای که از ابتدای جنگ در ایران، خسارات مالی و فناورانه قابل‌توجهی را تجربه کرده است. اکنون به‌دنبال حملات اخیر علیه تأمین‌کنندگان LNG و لجستیک، از فضای سایبری برای تقویت آن استفاده می‌شود.

این گروه سایبری، شرکت‌هایی مانند «دبی پترولیوم» (Dubai Petroleum) در امارات متحده عربی، «سی‌سی انرژی دولوپمنت» (CC Energy Development) در عمان، سازمانی مستقر در عراق در بخش نفت و گاز، «شرکت نفت ال‌صافی»( Al-Safi Oil Company) / (PURE IN)، که پمپ بنزین‌هایی را در پادشاهی عربستان سعودی و مناطق دیگر اداره می‌کند، هدف قرار داده است.

در تمام این موارد، ارزیابی «رِسِکیوریتی» بیانگر سرقت داده‌ها از فروشندگان آنها، مانند شرکت‌های مهندسی، ساختمانی و تأمین‌کنندگان تجهیزات ایمنی بوده است. بااین‌حال، همچنان خطرات مرتبط با این فعالیت وجود دارد، زیرا اسناد موجود، معتبر هستند و ممکن است حاوی اطلاعات مهمی برای مخالفان باشند. داده‌های سرقت‌شده، شامل طرح‌ها، قراردادها، گزارش‌های ارزیابی ریسک و سایر اسناد هستند.

اسناد به‌دست‌آمده توسط بازیگران تهدید، می‌تواند زمینه و بینش اضافی برای برنامه‌ریزی حملات بیشتر و سرویس‌هایی به‌عنوان مرحله پیش‌قرارگیری برای ضربه‌های هدفمند علیه میادین نفتی و زیرساخت‌های خط لوله را در اختیار آنها قرار دهد.

این امر، شامل شناسایی اجزای کلیدی زیرساخت است که در صورت آسیب، تأثیر قابل‌توجهی بر تأسیسات خواهد داشت و تعمیر آنها دشوار خواهد بود. هر دو عامل، بازیابی از حمله را چالش‌برانگیز و احتمالاً زمان‌بر خواهد کرد؛ به‌ویژه از آنجا که برخی تجهیزات دارای زمان تحویل طولانی هستند.

به‌عنوان تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTPs)، بازیگران از روش کلاهبرداری ایمیل تجاری (BEC) از طریق فیشینگ هدفمند (T1516)، جعل هویت (T1656) و بهره‌برداری از برنامه‌های در معرض عموم (T0819) استفاده می‌کنند و داده‌ها را از خدمات ذخیره‌سازی ابری ناامن (T1530) استخراج می‌نمایند.

فعالیت شناسایی‌شده، ترکیبی موفق از حملات زنجیره تأمین و یک کمپین اطلاعات نادرست (تبلیغات) توسط ایران و عوامل نیابتی این کشور را در طول جنگ نشان می‌دهد.

با توجه به توقف قابل‌توجه فعالیت گروه سایبری یادشده (از اکتبر ۲۰۲۵)، همراه با ماهیت نسبتاً کم‌سابقه و عدم وجود پروفایل در رسانه‌های اجتماعی، نسبت دادن این فعالیت به یک بازیگر، حزب یا کشور خاص، به‌ویژه در طول درگیری‌های ژئوپلیتیکی فعال، باید با احتیاط شدید انجام شود.

«رِسِکیوریتی»، انتظار افزایش «پرچم‌های دروغین»، عملیات روانی (psy ops) و کمپین‌های نفوذ که رویدادهای جاری در ایران را تقویت می‌کنند، دارد.

انتظار می‌رود زنجیره تأمین فناوری اطلاعات و عملیاتی (IT و OT)، اولویت بالایی برای ایران داشته باشد. این زنجیره به این کشور امکان می‌دهد به‌جای نتایج کیفی، نتایج کمی برای نشان دادن اقدام متقابل در طول جنگ تولید کند و از فضای سایبری به‌عنوان یک حوزه حیاتی جنگ و عملیات روانی (psy ops) بهره‌برداری نماید.