ایران که مدتها به عنوان یک تهدید سایبری ثابت و پایدار برای ایالات متحده تلقی میشود، در ماههای پس از آغاز جنگ دو کشور در فوریه، بازی خود را افزایش داده است.
به گفته تحلیلگران و محققان امنیتی، گروههای تهدید سایبری تحت حمایت ایران، که از بازیگران تحت حمایت دولت گرفته تا هکرهای طرفدار ایران و هکرهای با انگیزه مالی را شامل میشود، به نظر میرسد برخی از انگیزهها و قابلیتهای خود را در زمینه سایبری توسعه دادهاند.
آنی فیکسلر، مدیر مرکز نوآوریهای سایبری و فناوری (CCTI) در بنیاد دفاع از دموکراسیها، به Cybersecurity Dive گفت: «آنچه میبینیم، حملاتی است که هدفشان تأثیر مخربتر است».
آنچه ما می بینیم حملاتی است که هدف آنها تأثیر مخرب تری است.
آنی فیکسلر
مدیر مرکز نوآوری سایبری و فناوری (CCTI) در بنیاد دفاع از دموکراسی ها
به طور خاص، بازیگران مرتبط با ایران استفاده از آن را افزایش داده اند بدافزار پاک کننده داده به گفته محققان Palo Alto Networks، در حملات اخیر علیه اسرائیل و توانایی بیشتری برای فرار از شناسایی نشان داد.
در یک توسعه هشدار دهنده دیگر، Darktrace هفته گذشته تجزیه و تحلیل یک نوع بدافزار به نام ZionSiphon را منتشر کرد. به طور بالقوه سطوح کلر و کنترل های فشار را دستکاری می کند در تاسیسات آبی اسرائیل این بدافزار با پیامهای طرفدار ایران و فلسطین برای تأثیرات روانی بیشتر تعبیه شده بود.
حملات نظامی اخیر ایران ممکن است ترکیب شده باشد هبهره برداری از نقص در دوربین های فیلمبرداری و حملات نظامی جنبشی، با توجه به بررسی نقطه ای. فیکسلر CCTI خاطرنشان کرد: این فعالیت ممکن است نشان دهنده سطح بالاتری از هماهنگی باشد و می تواند به طور بالقوه علیه زیرساخت های حیاتی، نظارت و سایر فعالیت های تهدید هدفمند مورد استفاده قرار گیرد.
در همین حال، کمپین بمباران توسط ایالات متحده و اسرائیل، ضعفهایی را در قابلیتهای نظامی سنتی ایران، مانند توانایی محدود آن در کنترل و دفاع از حریم هوایی خود و به چالش کشیدن مستقیم کمپینهای بمباران متحدان، آشکار کرد. اما ایرانی ها از حملات سایبری به عنوان راهی برای ارسال پیام به کشورهای همسایه خلیج فارس، اسرائیل، آمریکا و مخالفان سیاسی خود برای ارعاب، جاسوسی و اقدامات مخرب استفاده کرده اند.
هکرهای Iran-nexus زیرساخت های حیاتی را هدف قرار می دهند
-
28 فوریه
آمریکا و اسرائیل عملیات بمباران هماهنگی را علیه ایران آغاز کردند.
-
11 مارس
شرکت Medtech Stryker مورد حمله برف پاک کن قرار گرفت.
-
19 مارس
DOJ از توقیف دامنه های مرتبط با Handala خبر می دهد.
-
7 آوریل
FBI و CISA نسبت به هدف قرار دادن هکرهای Iran-nexus در تامین کنندگان آب و انرژی هشدار دادند.
هشدارهای تهدید سایبری
در ماه مارس، گروه های به اشتراک گذاری تهدیدات سایبری در بخش های مختلف زیرساخت های حیاتی مشاوره مشترک صادر کرد هشدار درباره افزایش تهدید حملات سایبری از سوی بازیگران همسو با ایران.
اسکات الجزایر، مدیر اجرایی فناوری اطلاعات-ISAC، به Cybersecurity Dive گفت: «از زمانی که این گزارش را منتشر کردیم، واقعاً گزارشهایی از جامعه زیرساختهای حیاتی درباره فعالیتهای همسو با ایران دیدهایم.
الجزایر خاطرنشان کرد، حمله سایبری پاک کردن اطلاعات به سازنده تجهیزات پزشکی Stryker در ماه مارس، برجستهترین نمونه از حملات مرتبط با ایران بود، اما گزارشهایی از حملات سایبری وجود دارد که سایتهای مهم را نیز هدف قرار میدهند. او گفت که بازیگران Iran-nexus به عنوان مثال بر روی کنترل کننده های منطقی قابل برنامه ریزی مورد استفاده در محیط های OT تمرکز می کنند.
نیک اندرسن، سرپرست مدیر CISA، در جلسه استماع روز پنجشنبه در برابر تخصیصات مجلس گفت کمیته فرعی امنیت داخلی بازیگران مرتبط با ایران فعالیت خود را علیه سایتهای زیرساختی حیاتی با پیکربندی ضعیف در ایالات متحده افزایش دادهاند، اما تاکنون نتوانستهاند نفوذ قابل توجهی داشته باشند.
CISA و آژانس های دیگر برای چندین سال در این مورد هشدار داده اند گروه های هکریست که از کنترل های امنیتی ضعیف سوء استفاده می کنند در سایت های زیرساختی حیاتی
اندرسون خاطرنشان کرد که ایالات متحده «مقدار فوقالعادهای» از فناوری اطلاعات و OT برای پشتیبانی از زیرساختهای حیاتی استفاده میکند که در معرض اینترنت عمومی، ناامن و «لزوماً از شیوههای امنیتی مدرن استفاده نمیکنند» مانند تغییر رمزهای عبور پیشفرض.
اندرسن در این جلسه شهادت داد: «وقتی به آنها (ایران) بهعنوان یک بازیگر خاص تهدید دولت-ملت نگاه میکنیم، بسیار فرصتطلبانه متمرکز شدهاند که دستگاههای ناامن قابل دسترسی به اینترنت را میبینیم. “این فرصتی را برای آنها فراهم می کند تا تلاش کنند تا با آن دستگاه ها ارتباط برقرار کنند.”
وقتی به آنها (ایران) بهعنوان یک بازیگر خاص تهدید دولت-ملت نگاه میکنیم، آنها بسیار فرصتطلبانه متمرکز شدهاند که دستگاههای ناامن را میبینیم که دسترسی به اینترنت دارند.
نیک اندرسن
سرپرست CISA
CISA و FBI، در عین حال، رهبری یک مشاوره مشترک در مورد فعالیت تهدید ایران-پیوند در 7 آوریل، هشدار داد که هکرهای مخرب دستگاههای Rockwell Automation/Allen-Bradley را در تاسیسات آب، تأسیسات انرژی و سایر سایتهای صنعتی هدف قرار میدهند.
این مشاوره که توسط وزارت انرژی ایالات متحده، آژانس حفاظت از محیط زیست و سایر شرکای فدرال تهیه شده است، هشدار داد که مهاجمان سعی در دستکاری رابط های ماشین انسانی و نمایشگرهای کنترل نظارتی و جمع آوری داده ها داشتند.
در حالی که مقامات جزئیاتی در مورد تجزیه الگوی خاص حملات ارائه نکردهاند، محققان توانستهاند برخی از فعالیتها را در گروههای تهدید خاص ردیابی کنند.
واحد 42 شبکههای پالو آلتو در اواخر ماه مارس مجموعهای از فعالیتهای تهدید را به همان دستگاههای اتوماسیون راکول که در مشاوره FBI ذکر شده بود، مرتبط کرد. طبق یک پست وبلاگ به روز شده جمعه منتشر شد
به گفته محققان واحد 42، یک گروه تهدید که با نام CL-STA-1128 (همچنین با نام Cyber Av3ngers یا Storm-0784 ردیابی می شود) از نرم افزار Rockwell Automation’s Manufacturing unit Discuss با نصب آن بر روی زیرساخت سرور خصوصی مجازی سوء استفاده کرده است.
قابلیت های نامتقارن سایبری
ایران در سالهای اخیر توانایی استفاده از شبکهای از عوامل دولتی و هکریست را برای ایجاد ترس، اختلاف و اختلال در عملیات از طریق کمپینهای سایبری نشان داده است.
مقامات ایالات متحده، از جمله CISA، دارند گروهی از بازیگران تهدید مداوم پیشرفته را ردیابی کرد حداقل از سال 2018 با نام MuddyWater که به عنوان کرم بذر یا بچه گربه ساکن نیز شناخته می شود. این گروه که زیر نظر وزارت اطلاعات و امنیت ایران (MOIS) فعالیت می کند، دولت های رقیب را هدف قرار داده است. صنایع دفاعی، مخابرات و تامین کنندگان انرژی از طریق نیزه فیشینگ، بهره برداری از آسیب پذیری های شناخته شده و سوء استفاده از ابزارهای منبع باز برای انجام جاسوسی سایبری، سرقت داده های حساس و استقرار باج افزار.
در سال 2022، وزارت خزانه داری آمریکا MOIS را تحریم کرد در ارتباط با فعالیت های تهدید آمیز علیه ایالات متحده و سایر متحدانش که به سال 2007 باز می گردد. وزارت خزانه داری به یک حمله سایبری در ژوئیه 2022 علیه دولت آلبانی اشاره کرد که در آن یک گروه مرتبط با ایران به نام HomeLand Justice قبل از انتشار باج افزار و بدافزار پاک کننده دیسک، به مدت 14 ماه به یک شبکه کامپیوتری هدفمند دسترسی پیدا کرد.
ایران همچنین مدتهاست که از سایبر برای هدف قرار دادن زیرساختهای حیاتی علیه اسرائیل، رقیب اصلی ژئوپلیتیک خود، استفاده کرده است. در طول جنگ غزه که در سال 2023 شروع شد، این مهاجمان تاسیسات آب و دیگر زیرساخت های حیاتی در ایالات متحده را نیز هدف قرار دادند.
تاسیسات تصفیه آب آشامیدنی و فاضلاب در ایالات متحده نیز قربانی حملات سایبری مرتبط با ایران شدهاند، بهویژه در کمپینی که از ضعفهای موجود در Unitronics PLC استفاده میکند. ایالات متحده حدود 150000 تاسیسات عمومی آب و 16000 سایت تصفیه فاضلاب دارد که اکثر آنها فاقد نیروی انسانی، بودجه یا آموزش برای خنثی کردن چنین حملاتی هستند.
بخش آب به طور سنتی یک هدف نسبتا آسان بوده است. یک کاوشگر فدرال در سال 2024 پیدا شد صدها سایت آبی ایالات متحده یا در معرض اینترنت بودند یا دارای ضعفهای پیکربندی دیگری بودند. این گزارش همچنین نشان داد که آژانس حفاظت از محیط زیست فاقد برنامه گزارش دهی حادثه یا روش های مستند برای هماهنگی با CISA است.
رهبران صنعت امنیت میگویند که تهدید سایبری کنونی برای آب و سایر تاسیسات نشاندهنده افزایش آشکار تواناییهای گروههای تهدید مرتبط با ایران است.
جنیفر لین واکر، مدیر زیرساختهای دفاع سایبری در مرکز تجزیه و تحلیل و اشتراکگذاری اطلاعات آب، گفت که فعالیت قبلی مرتبط با CyberAv3ngers بیشتر یک “تهدید مزاحم” بود که فاقد پیچیدگی بود. اما واکر به Cybersecurity Dive گفت: اما فعالیت تهدید فعلی نشان دهنده یک “تشدید برای ایجاد اختلال در اقدامات مخرب” است.
علیرغم فعالیت های تهدید اخیر، EPA گفت که آب آشامیدنی همچنان ایمن است. یک سخنگوی گفت: «توانایی سیستم های آب برای رساندن آب آشامیدنی سالم به جوامع تحت تأثیر قرار نگرفته است».
فدرالرزروها اقداماتی را علیه بازیگران تهدیدکننده ایران انجام دادهاند: در پی حملات به سیستمهای آب و سایر بخشهای حیاتی، وزارت خزانهداری در سال 2024 اعضای سپاه پاسداران انقلاب اسلامی را تحریم کرد.با استناد به فعالیت های مخرب علیه بخش های مختلف حیاتی در ایالات متحده، از جمله این حملات، حمله باج افزاری در سال 2021 بود. بیمارستان کودکان بوستون که توسط FBI مختل شد.
هکرها پافشاری می کنند
حمله سایبری علیه استرایکر قابلیتی را نشان داد که فراتر از آن چیزی است که قبلاً در مورد بازیگران مرتبط با ایران شناخته شده بود: استقرار یک پاک کننده مخرب که از محیط مایکروسافت Intune این شرکت سوء استفاده کرد و داده های هزاران دستگاه تلفن همراه را حذف کرد.
فیکسلر CCTI و دیگر تحلیلگران می گویند که مهاجمان احتمالاً مدت ها قبل از حمله، اعتبارنامه ها را به دست آورده اند و جای پای خود را در Stryker ایجاد کرده اند. با این حال، این حمله همچنان تحت بررسی است، بنابراین گزارش رسمی هنوز منتشر نشده است.
به گفته محققان در Flashpoint، Handala، گروه تهدید سایبری مرتبط با حمله Stryker، اکنون ادعا میکند که به محیطهای Microsoft Entra، VMware vSphere و IBM FlashSystem در چندین سازمان هدف دسترسی دائمی پیدا کرده است.
ایان گری، معاون اطلاعات فلش پوینت، به Cybersecurity Dive گفت: اسکرین شات هایی که آن ها در کانال خود به اشتراک گذاشتند نشان می دهد که این ها بخشی از چندین کمپین حمله هستند، اگرچه تا زمانی که قربانیان تایید نشده اند، تایید آن دشوار است.
به گفته Flashpoint، این اسکرین شات ها توانایی مهاجمان را برای ایجاد مجوز دسترسی موقت در مایکروسافت Entra نشان می دهد که به هکرها اجازه می دهد تا احراز هویت چند عاملی را دور بزنند.
مقامات مایکروسافت از اظهار نظر خودداری کردند. مقامات IBM و Broadcom بلافاصله برای اظهار نظر در دسترس نبودند.
در ماه مارس، CISA از تیم های امنیتی در سراسر کشور خواست برای تقویت امنیت نقطه پایانی خود پس از حمله استرایکر
دفاع در برابر تهدیدات سایبری ایران
چندین گام وجود دارد که تیمهای امنیتی باید برای کاهش حملات احتمالی از سوی بازیگران تهدید مرتبط با ایران انجام دهند. به گفته محققان، برای یکی، دستگاه های متصل به اینترنت باید از دسترسی باز حذف شوند و احراز هویت چند عاملی باید فعال شود.
تیمهای امنیتی همچنین باید نسخههای پشتیبان قوی از PLC ایجاد کنند که شامل منطق و تنظیمات تجهیزات و سیستمهای صنعتی است.
اگر کنترلکنندهها دارای یک سوئیچ حالت فیزیکی باشند، باید باشد در موقعیت دویدن قرار می گیرد برای جلوگیری از تغییر از راه دور، طبق توصیه CISA و FBI.
برای محافظت در برابر حملات برف پاک کن، تیم های امنیتی باید امتیازات ایستاده را حذف کنند و همچنین حساب های مدیر Entra ID را سخت کنند. با توجه به شبکه های پالو آلتو محققان
