کد خبر: ۶۳۶۹۶
تاریخ انتشار: ۱۰ تير ۱۴۰۴ - ۱۴:۱۶

پرنده سایبری با بانک‌های ایران چه کرد؟

حملات سایبری در جنگ ایران و اسرائیل سهم مهمی از خسارت‌های وارد شده به کشور را از آن خود کرد. پشت بسیاری از این حملات توسط نامی آشنا و مرموز صورت گرفت؛ «گنجشک درنده». گروهی هکری که سابقه حمله به سامانه‌های سوخت و صنایع فولاد کشور را دارد. محمد جرجندی کارشناس امنیت سایبری و هکر سابق جزییات عملیات سایبری علیه ایران را توضیح داده است
پرنده سایبری با بانک‌های ایران چه کرد؟

مخاطب۲۴- جنگ ایران و اسرائیل که حالا به مرحله آتش‌بس رسیده، فقط نظامی نبود و فقط در آسمان و زمین صورت نگرفت. حملات سایبری سهم مهمی در این درگیری داشت و شاهد این مدعا نیز قطع و محدودیت گسترده اینترنت که به گفته مسئولان به دلیل مقابله با این حملات بود.

حمله گروه هکری «گنجشک درنده» به نهاد‌های مالی از جمله بانک سپه و نوبیتکس، از جمله این حملات سایبری بوده که به طور کلی، الگوی عمل آن، وارد آوردن ضربات اقتصادی-فنی همراه با پیام‌های روانی-تبلیغاتی بوده است؛ مهاجمان تلاش کرده‌اند همزمان با ایجاد اختلال، پیام خود را به‌صورت عمومی و آشکار منتقل کنند (چه با درج شماره ۶۴۴۱۱ روی نمایشگرها، چه با پخش تصاویر در تلویزیون یا استفاده از شعار‌های هشدارآمیز).

محمد جرجندی، کارشناس جرایم سایبری ساکن در آمریکاست. به گفته خودش، کارش را با هکری شروع کرده و به حوزه امنیت سایبری و پروتکل‌های ایمن برای بانکداری الکترونیک گرایش پیدا کرده است. او در رزومه خود قید کرده که در مدت زمان حضور در ایران در بانک‌ها و موسسات مالی فعالیت کرده است. جرجندی گزارش مفصلی با عنوان «نبرد در سایه‌ها: تحلیل جامع حملات سایبری علیه جمهوری اسلامی» در وبسایت «وب آموز» - وبسایت شخصی جرجندی– منتشر کرده و در آن تاریخچه پیچیده حملات سایبری علیه ایران را شرح داده است.

بر اساس این مقاله حملاتی که در ابتدا صرفا بر فعالیت هسته‌ای ایران متمرکز بود، حالا زیرساخت‌های غیر نظامی و عملا زندگی روزمره مردم را هدف گرفته و احتمالا در پی ایجاد و افزایش یک ترس آشکار در جامعه است.

سه فاز اصلی جنگ سایبری علیه ایران کدام است؟

جرجندی در بخش «سیر تاریخی جنگ سایبری علیه ایران» به سه فاز اشاره می‌کند

فاز اول بین سال‌های ۲۰۰۶ تا ۲۰۱۲ و حمله به زیرساخت‌های هسته‌ای؛ مثال بارز آن عملیات موسوم به «بازی‌های المپیک» به رهبری آمریکا و اسرائیل است. هدف این عملیات، نفوذ و تخریب مخفیانه در تأسیسات غنی‌سازی اورانیوم ایران (به‌ویژه سایت نطنز) بود تا برنامه هسته‌ای را کند یا متوقف کند. در این حمله از بدافزار Stuxnet استفاده شد و به‌موازات اقدامات تخریبی، بازیگران سایبری در این دوره بدافزار‌های جاسوسی پیشرفتهای، چون فلیم (Flame) و دوکو (Duqu) را نیز به کار گرفتند.

فاز دوم بین سال‌های ۲۰۱۳ تا ۲۰۲۰ و گسترش نفوذ عمیق و جاسوسی علیه ایران است. در این دوره گروه موسوم به Equation Group – که به‌گفته پژوهشگران امنیتی متعلق به واحد عملیات نفوذ NSA آمریکا است – با بهره‌گیری از بدافزار‌ها و اکسپلویت‌های بسیار پیشرفته، به اعماق شبکه‌های هدف در کشور‌های مختلف از جمله ایران نفوذ کرد.

در همین دوره از بدافزار‌هایی با قابلیت نفوذ به هارددیسک‌ها به صورت غیرقابل پاکسازی استفاده شد و اهداف متنوعی از جمله نهاد‌های نظامی، ارتباطی (مخابراتی)، دولتی، شرکت‌های انرژی و مالی را تحت تأثیر قرار دادند. جزییات یکی از این حملات با عنوان نیترو زئوس (Nitro Zeus) در سال ۲۰۱۶ منتشر شد. این طرح – که در صورت شکست مذاکرات هسته‌ای آماده اجرا بود – پیش‌بینی انجام حملات سایبری گسترده به زیرساخت‌های حیاتی ایران (از جمله شبکه برق، شبکه‌های ارتباطی و سامانه‌های پدافند هوایی) را افشا می‌کرد.

فاز سوم از سال ۲۰۲۱ تاکنون است و مشخصه آن حملات تخریبی آشکار و وارد آوردن صدمات فیزیکی و روانی مستقیم است. در این دوره حملات گروه موسوم به «گنجشک درنده» آغاز شده است. نخستین نمونه بزرگ در این فاز، حمله سایبری تیرماه ۱۴۰۰ به شبکه ریلی ایران بود که باعث اخلال در خدمات قطار‌ها در سراسر کشور شد. مهر ۱۴۰۰ (اکتبر ۲۰۲۱)، حمله بزرگ دیگری رخ داد که این‌بار سامانه کارت‌های سوخت‌رسانی پمپ‌بنزین‌های ایران را هدف قرار داد. در این دوره علاوه بر شبکه ریلی و سامانه سوخت، صنایع فولاد، بانک‌ها و صرافی‌های رمزارز نیز مورد حملات سایبری قرار گرفت.

گروه گنجشک درنده؛ بازیگر کلیدی و مخرب وابسته به اسرائیل

جرجندی در ادامه این مقاله درباره گروه گنجشک درنده توضیح داده و نوشت: «گنجشک درنده نام گروه سایبری مرموزی است که از سال ۲۰۲۱ با انجام حملات جنجالی علیه زیرساخت‌های ایران ظهور کرد. هویت واقعی اعضای این گروه روشن نیست؛ آنها هیچ‌گاه به‌صراحت وابستگی خود را اعلام نکرده‌اند. با این حال، تحلیل زمانی و فنی حملات‌شان (از جمله همزمانی برخی حملات با عملیات‌های نظامی اسرائیل) و همچنین شواهد غیررسمی در رسانه‌های اسرائیلی، نشان می‌دهد که این گروه احتمالاً مرتبط با واحد‌های سایبری ارتش اسرائیل – به‌ویژه یگان ۸۲۰۰ – است؛ برای نمونه، پس از حمله به کارخانه فولاد خوزستان در ۲۰۲۲، خبرنگاران نظامی اسرائیل به‌طور ضمنی فاش کردند که یگان ۸۲۰۰ در پشت آن حمله بوده است. رسانه‌های اسرائیلی معمولاً از گروه هکری گنجشک درنده به‌عنوان گروه «متصل به اسرائیل» نام می‌برند، هرچند تل‌آویو رسماً وابستگی این گروه را نپذیرفته است.

جرجندی می‌گوید سایر گروه‌های هکری با عناوین Indra، عدالت علی و MeteorExpress همگی نام‌های مستعار همین گروه هکری «گنجشک درنده» هستند که با هدف دشوار کردن ردیابی فعالیت‌های این گروه به کار برده شده‌اند.

نمونه حملات کلیدی گنجشک درنده در ایران

جرجندی می‌گویند در کنار اینها، موارد دیگری نظیر هک خبرگزاری فارس (منتسب به عدالت علی)، انتشار اطلاعات وزارت راه و شهرسازی، هک سامانه‌های دوربین مدار بسته و… نیز به گنجشک درنده نسبت داده شده است.

اهداف کلیدی

اهداف کلید گنجشک‌های درنده طی این سال‌ها تخریب زیرساخت‌های اقتصادی، ضربه روانی به اعتماد عمومی و نمایش قدرت بازدارنده سایبری بوده است.

تحلیل فنی حملات و ابزار‌های بدافزاری گنجشک درنده

حملات سایبری انجام‌شده علیه ایران – به‌ویژه در فاز‌های اخیر – متکی بر بدافزار‌های پیچیده و ابزار‌های سفارشی بوده‌اند که برای اهداف خاص طراحی شده‌اند. جرجندی مهم‌ترین این بدافزار‌ها و قابلیت‌هایشان را شرح داده است.

Meteor (وایپر) – بدافزار تخریبی که در حمله به شبکه ریلی (۱۴۰۰) به‌کار رفت. Meteor یک Wiper است که با حذف کامل فایل‌های سیستم و Snapshot‌های پشتیبان، عملاً رایانه‌های هدف را غیرقابل‌بوت می‌کند. پس از پایان عملیات این بدافزار، صفحه نمایش سیستم‌های آلوده پیامی را نشان می‌داد که کاربران را به تماس با شماره دفتر رهبری ارجاع می‌داد – حرکتی تمسخرآمیز از سوی مهاجمان. Meteor به‌لحاظ فنی ترکیبی از کد‌های متن‌باز، ابزار‌های قدیمی و ماژول‌های اختصاصی است و دارای خطا‌های اشکال‌زدایی و نشانه‌هایی است که برخی پژوهشگران را به این گمان رساند که این ابزار به‌سرعت و توسط تیم‌های مختلف مونتاژ شده است.

Stardust و Comet – این دو، اسامی نسخه‌های دیگر بدافزار وایپر مورد استفاده توسط گروه (احتمالاً همان Meteor با ویرایش‌های متفاوت) هستند. طبق تحلیل شرکت چک‌پوینت، مهاجمان در فاصله سال‌های ۲۰۱۹–۲۰۲۱ حداقل سه نسخه از Wiper خود را توسعه داده‌اند: Meteor، Stardust و Comet. تفاوت‌هایی میان آنها وجود دارد؛ در حمله به سامانه سوخت ۱۴۰۰، شواهد حاکی است که از نسخه‌های تکامل‌یافته همین بدافزار برای پاک‌سازی لاگ‌های ویندوز، غیرفعال‌سازی برخی سرویس‌ها و اختلال در بوت سیستم‌ها استفاده شده است.

Chaplin – نام مستعاری است که برای ابزار اختصاصی مهاجمان در حمله به صنایع فولاد (خوزستان و …) به‌کار برده شد. Chaplin در واقع یک کیت مخرب برای نفوذ به سامانه‌های کنترل صنعتی است که اجازه می‌دهد مهاجم مستقیماً تجهیزاتی نظیر کوره‌های ذوب، ولو‌ها و روبات‌های کارخانه را کنترل یا تخریب کند.

گزارش رویترز تأیید کرده که حمله سال ۲۰۲۲ به کارخانه فولاد که آتش‌سوزی به‌همراه داشت، حاصل چنین نفوذ عمیقی بوده که «خسارت دنیای واقعی» بر جا گذاشته است. این سطح از توانایی (ایجاد انفجار صنعتی) نشان می‌دهد ابزار‌هایی مانند Chaplin احتمالاً با پشتیبانی منابع دولتی توسعه یافته‌اند و برای سال‌ها آزموده شده‌اند. خود گروه گنجشک درنده نیز در بیانیه آن حمله، ویدئویی از لحظه انفجار منتشر کرد تا پیام جدی بودن توانشان را مخابره کند.

علاوه بر موارد فوق، گزارش‌ها به ابزار‌های دیگری نظیر MeteorExpress (مجموعه ابزار کامل حمله قطار شامل اسکریپت‌ها و بدافزارها)، بدافزار‌های پاک‌کننده ردپا (مثل حذف‌کننده لاگ رویداد و تغییر پیلود بوت در حمله پمپ‌بنزین) و استفاده از آدرس‌های ویژه بلاکچین (Vanity) در حمله Nobitex اشاره دارند.

تکنیک‌های عملیات پیشرفته

عملیات‌های سایبری صورت‌گرفته علیه ایران، خصوصاً در سال‌های اخیر، حائز پیچیدگی‌های فنی و تاکتیکی قابل توجهی بوده‌اند. جرجندی مهمترین ویژگی‌های این عملیات‌ها را برشمرده و می‌گوید، هکر‌ها در حملات سایبری اخیر.

قادر به تشخیص و دورزدن پدافند امنیتی از جمله فرار از آنتی‌ویروس‌ها بوده‌اند.

قادر به نفوذ عمیق و حرکت درونی در شبکه بوده‌اند.

زمان‌بندی و هماهنگی با رویداد‌های ژئوپلیتیک داشتند؛ برای نمونه، حمله پمپ‌بنزین‌ها در سال ۱۴۰۰ درست مصادف با سالگرد اعتراضات آبان ۹۸ (افزایش قیمت بنزین) رخ داد. یا موج حملات خرداد ۱۴۰۴ دقیقاً پس از آن صورت گرفت که گزارش شد اسرائیل تأسیسات هسته‌ای فردو و نطنز را هدف حمله نظامی قرار داده و ایران تهدید به انتقام کرده بود.

به دنبال جنگ روانی و اعلان عمومی بودند.

آیا قطع اینترنت راه حل مقابله با حملات سایبری است؟

جرجندی در گزارش خود می‌گوید روشن کردن «اینترنت ملی» به دلایل امنیتی و قطع اینترنت بین المللی «تا حدی قابل درک است».

او توضیح داده که بسیاری از بدافزار‌ها برای ارسال فرامین یا نشت داده به ارتباط بیرونی نیاز دارند. با این حال او تاکید کرده خاموشی اینترنت یک سلاح دولبه است.

او گفته حملات گنجشک درنده به دلیل قطع اینترنت، پس از Nobitex ادامه نداشت؛ با این حال اگرچه با این کار موقتاً جلوی تشدید حملات سایبری گرفته شد، اما از سوی دیگر خودزنی دیجیتال نیز صورت گرفت؛ شبکه بانکی داخلی، دستگاه‌های خودپرداز و انجام تراکنش‌های مالی روزمره مختل و بسیاری کسب‌وکار‌های آنلاین دچار زیان شدند. همچنین در میانه حملات موشکی اسرائیل، مردم عادی توان دریافت اخبار و برقراری تماس با خارج برای کمک و اطلاع از وضعیت عزیزانشان را نداشتند.

این تجربه تلخ نشان داد که «زیرساخت نرم» اینترنت خود یک جبهه جنگ است و حاکمیت‌ها ممکن است برای بقا، حتی دست به قطع آن بزنند. در نهایت با میانجی‌گری بین‌المللی و اعلام آتش‌بس موقت، اینترنت پس از حدود دو هفته به حالت عادی بازگشت، اما خاطره آن در اذهان مردم به‌عنوان دوره‌ای از تاریکی دیجیتال باقی ماند.

برچسب ها: حملات سایبری
آخرین اخبار
پربازدید ها
تصاویر
صفحه خبر بالای تصاویر
اخبار داغ
درمان هورمونی یائسگی، افزایش اثربخشی دارو‌های لاغری درمان هورمونی یائسگی، افزایش اثربخشی دارو‌های لاغری
به‌نظر می‌رسد که درمان هورمونی یائسگی، اثربخشی داروی تیرزپاتید (Zepbound) را افزایش می‌دهد. زنان با ترکیب این دو درمان، وزن بیشتری کم کردند و تعداد بیشتری از آنها توانستند حداقل ۲۰٪ از وزن بدن خود را کاهش دهند. این یافته‌ها، نتایج پیشین درباره‌ی داروی سماگلوتید (Wegovy) را نیز تأیید می‌کنند.
طارمی به خواست خود از اینتر می رود طارمی به خواست خود از اینتر می رود
مهاجم ایرانی اینتر با جدایی‌اش از این تیم در این تابستان جاری موافقت کرده است.
طرفدار دیپلماسی و مخالف جنگیم طرفدار دیپلماسی و مخالف جنگیم
رئیس جمهور نوشت: معتقدیم که پنجره دیپلماسی باز است و این مسیر صلح‌آمیز را با جدیت و بسیج همه ظرفیت‌های سیاسی دنبال می‌کنیم. ما طرفدار دیپلماسی و تعامل سازنده و مخالف جنگیم و برای دور کردن سایه جنگ از کشور، ضمن دفاع از حقوق طبیعی ملت ایران، از همه سرمایه‌های سیاسی و دیپلماسی بهره خواهیم گرفت.
پاریس بالاخره باخت! پاریس بالاخره باخت!
بالاخره فصل طولانی فوتبال به اتمام رسید و جام جهانی باشگاه‌ها، قهرمان خودش را شناخت و پی اس جی برابر چلسی زانو زد.
بازیگر پیشکسوت تئاتر و تلویزیون درگذشت بازیگر پیشکسوت تئاتر و تلویزیون درگذشت
یعقوب صباحی، بازیگر پیشکسوت تئاتر و تلویزیون، ظهر امروز درگذشت.
«سوپرمن» صدرنشین شد «سوپرمن» صدرنشین شد
فیلم ماجراجویانه و ابرقهرمانی «سوپرمن» با فروش جهانی ۲۱۷ میلیون دلار، صدرنشین گیشه سینمای آمریکا و جهان شد، اما چینی‌ها چندان روی خوشی به ابرقهرمان آمریکایی نشان ندادند.
دیدار رئیس جمهور و شهردار تهران با جمعی از خانواده‌های آسیب دیده از جنگ دیدار رئیس جمهور و شهردار تهران با جمعی از خانواده‌های آسیب دیده از جنگ
دکتر مسعود پزشکیان رئیس جمهور به همراه دکتر علیرضا زاکانی شهردار تهران ظهر دوشنبه با حضور در یکی از هتل‌های شهر تهران با جمعی از خانواده‌های آسیب دیده از جنگ ۱۲ روزه دیدار و گفت‌و‌گو کرد.
برگزیده
درمان هورمونی یائسگی، افزایش اثربخشی دارو‌های لاغری درمان هورمونی یائسگی، افزایش اثربخشی دارو‌های لاغری
به‌نظر می‌رسد که درمان هورمونی یائسگی، اثربخشی داروی تیرزپاتید (Zepbound) را افزایش می‌دهد. زنان با ترکیب این دو درمان، وزن بیشتری کم کردند و تعداد بیشتری از آنها توانستند حداقل ۲۰٪ از وزن بدن خود را کاهش دهند. این یافته‌ها، نتایج پیشین درباره‌ی داروی سماگلوتید (Wegovy) را نیز تأیید می‌کنند.
مهلت ثبت‌نام رشته‌های کاردانی دانشگاه ملی مهارت تمدید شد مهلت ثبت‌نام رشته‌های کاردانی دانشگاه ملی مهارت تمدید شد
مهلت ثبت‌نام و انتخاب رشته برنامه پذیرش کاردانی ویژه دانشگاه ملی مهارت و مؤسسات آموزش عالی غیردولتی ـ غیرانتفاعی سال ۱۴۰۴ تمدید شد.
وحید جلیلی: غربی‌ها کثافت هستند وحید جلیلی: غربی‌ها کثافت هستند
وحید جلیلی، قائم مقام رئیس صداسیما: تصویری که از امریکا امروز ملت ایران دارد یک غرب منحط، وحشی خونخوار است که به هیچ عهد و پیمانی وفادار نمی‌ماند، این برای از راننده اسنپ تا بقال تا پزشک تا معلم تا همه اقشار مردم مشخص است.
صفحه خبر بالای تصاویر