عملیات Endgame چیست و چه نتیجهای داشت؟

عملیات Endgame یک عملیات بزرگ بینالمللی پلیس بود که زیرساخت بدافزارهای سارق اطلاعات مانند Rhadamanthys و VenomRAT را هدف قرار داد. این عملیات منجر به توقیف بیش از ۱۰۰۰ سرور و دستگیری مظنونان اصلی شد.

باجافزار آکیرا (Akira) چگونه به سازمانها نفوذ میکند؟

بر اساس گزارش CISA، آکیرا عمدتاً از طریق سرویسهای VPN که احراز هویت چندمرحلهای (MFA) ندارند و با بهرهبرداری از آسیبپذیریهای نرمافزاری نفوذ میکند.

مدل اعتماد صفر (Zero Trust) چیست؟

اعتماد صفر یک مدل امنیتی است که بر اصل «هرگز اعتماد نکن، همیشه راستیآزمایی کن» استوار است. در این مدل، هیچ کاربر یا دستگاهی به طور پیشفرض قابل اعتماد نیست و دسترسیها بر اساس حداقل امتیاز لازم و نظارت مستمر ارائه میشود.

هوش مصنوعی چگونه در امنیت سایبری استفاده میشود؟

هوش مصنوعی یک شمشیر دولبه است. مهاجمان از آن برای ساخت حملات فیشینگ واقعیتر (مانند حمله به Sora 2) استفاده میکنند. مدافعان از آن برای شناسایی باجافزار با دقت بالا (۹۷.۸٪) و ایجاد شاخصهای حمله مبتنی بر رفتار (AI-powered IoAs) استفاده میکنند.

اخبار امنیت سایبری ۲۴ آبان: عملیات Endgame، تحلیل آکیرا و مدل اعتماد صفر

🕒 زمان مطالعه: حدود ۲۴ دقیقه

به میدان نبرد دیجیتال امروز خوش آمدید. جایی که کلاه‌های سفید و سیاه در یک رقص بی‌پایان از کد و استراتژی با یکدیگر درگیرند. گزارش امروز ما شما را به قلب این نبرد می‌برد و طیف گسترده‌ای از رویدادهای امنیتی را پوشش می‌دهد: از پیروزی‌های بزرگ نیروهای انتظامی در برابر امپراتوری‌های بدافزاری و تاکتیک‌های جدید و هوشمندانه باج‌افزارها، تا شمشیر دولبه هوش مصنوعی که هم سلاح است و هم سپر. در این میان، به تغییرات استراتژیک مهمی مانند معماری «اعتماد صفر» (Zero Trust) نیز خواهیم پرداخت که قواعد بازی را از نو تعریف می‌کند. پس برای یک تحلیل عمیق و پر از جزئیات آماده شوید.

آنچه در این مطلب می‌خوانید

۱. عملیات Endgame: ضربه سنگین پلیس به امپراتوری اینفوستیلرها – بدافزار Rhadamanthys – بدافزار VenomRAT

در دنیای جرایم سایبری، عملیات‌های بین‌المللی پلیس مانند یک زلزله عمل می‌کنند که زیرساخت‌های مجرمان را فرو می‌ریزند. این عملیات‌ها فقط برای دستگیری چند هکر طراحی نشده‌اند، بلکه هدفشان فلج کردن اکوسیستم گسترده‌ای است که به مجرمان اجازه فعالیت می‌دهد. «عملیات Endgame» یکی از برجسته‌ترین نمونه‌های این استراتژی است که با هماهنگی یوروپل و یورو‌جاست، پیروزی قابل‌توجهی را در برابر عملیات‌های بزرگ بدافزاری رقم زده است.

در آخرین فاز این عملیات که بین ۱۰ تا ۱۳ نوامبر ۲۰۲۵ (۲۰ تا ۲۳ آبان ۱۴۰۴) انجام شد، تمرکز اصلی بر روی سه تهدید بزرگ بود:

Rhadamanthys (رَ-دا-مَن-تیس Ra-da-MAN-tis): یک بدافزار سارق اطلاعات (Infostealer) قدرتمند.
VenomRAT (وِنوم-رَت Venom-Rat): یک تروجان دسترسی از راه دور (Remote Access Trojan).
Elysium (اِ-لی-زی-یُم E-LI-zi-yum): یک بات‌نت مخرب.

بر اساس گزارش یوروپل، نتایج این عملیات بسیار چشمگیر بود: ۱۰۲۵ سرور در سراسر جهان توقیف شد، صدها هزار کامپیوتر آلوده از کنترل مجرمان خارج شدند و میلیون‌ها اعتبارنامه (Credential) دزدیده شده کشف و ضبط گردید. این عملیات همچنین منجر به دستگیری مظنون اصلی پشت پرده VenomRAT در تاریخ ۳ نوامبر ۲۰۲۵ (۱۲ آبان ۱۴۰۴) در یونان شد.

اما نکته جالب این عملیات، جنبه روانی آن بود. همان‌طور که وب‌سایت The Register گزارش داده، مقامات یک ویدیوی انیمیشنی منتشر کردند که به شکلی طعنه‌آمیز نشان می‌داد مدیر بدافزار Rhadamanthys بهترین داده‌های سرقت‌شده را برای خود برمی‌دارد و اطلاعات کم‌ارزش‌تر را به مشتریانش می‌دهد. این تاکتیکی هوشمندانه است که نشان می‌دهد پلیس سایبری نه تنها در کد، بلکه در روانشناسی جنگ نیز مهارت پیدا کرده است.

اگرچه عملیات‌هایی مانند Endgame می‌توانند ضربات سنگینی به مجرمان وارد کنند، اما این نبرد هرگز تمام نمی‌شود و گروه‌هایی مانند باج‌افزارها به سرعت تاکتیک‌های خود را برای ادامه فعالیت تکامل می‌دهند.

بذار خلاصه بگم 👇
یک عملیات بزرگ بین‌المللی به نام Endgame زیرساخت چند بدافزار بزرگ مثل Rhadamanthys رو از کار انداخت. این عملیات با دستگیری و توقیف سرورها، ضربه مهمی به دنیای جرایم سایبری زد.

۲. آکیرا وارد می‌شود: تحلیل عمیق یک باج‌افزار ۴۲ میلیون دلاری – باج‌افزار Akira – تکنیک Kerberoasting

برای مدافعان شبکه، تحلیل گروه‌های باج‌افزاری برتر مانند کالبدشکافی یک دشمن قدرتمند است. درک تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTPs) گروه‌هایی مانند «آکیرا» (Akira)، همان‌طور که در آخرین گزارش CISA تشریح شده، برای تقویت دفاع سایبری ضروری است. این تحلیل‌ها به ما نشان می‌دهند که دشمن از کجا حمله می‌کند، از چه ابزارهایی استفاده می‌کند و چگونه می‌توانیم در برابر آن ایستادگی کنیم.

بر اساس گزارش CISA که در ۱۳ نوامبر ۲۰۲۵ (۲۲ آبان ۱۴۰۴) منتشر شد، گروه باج‌افزار آکیرا که احتمالاً با گروه از کار افتاده Conti در ارتباط است، تا اواخر سپتامبر ۲۰۲۵ موفق به اخاذی حدود ۴۲ میلیون دلار شده است. هدف اصلی این گروه کسب‌وکارهای کوچک و متوسط در بخش‌هایی مانند تولید، آموزش و بهداشت و درمان بوده است.

بردارهای حمله آکیرا به طور مداوم در حال تکامل هستند. این گروه کار خود را با یک نسخه ویندوزی مبتنی بر C++ آغاز کرد، سپس به یک نسخه لینوکسی برای هدف قرار دادن ماشین‌های مجازی VMware ESXi روی آورد و در نهایت یک رمزگذار مبتنی بر زبان برنامه‌نویسی Rust به نام «Megazord» توسعه داد. اخیراً نیز توانایی خود را برای رمزگذاری ماشین‌های مجازی Nutanix AHV گسترش داده‌اند.

روش اصلی نفوذ اولیه این گروه، بهره‌برداری از شبکه‌های خصوصی مجازی (VPN) است که احراز هویت چندمرحله‌ای (MFA) روی آن‌ها فعال نیست. آن‌ها به طور خاص از آسیب‌پذیری‌هایی مانند CVE-2020-3259، CVE-2023-20269 و CVE-2024-40766 (مربوط به SonicWall) سوءاستفاده می‌کنند، در میان آسیب‌پذیری‌های متعدد دیگری که مورد استفاده قرار می‌دهند. علاوه بر این، از روش‌های دیگری مانند فیشینگ هدفمند (spearphishing)، استفاده از اعتبارنامه‌های دزدیده‌شده و حملات brute-force نیز بهره می‌برند.

گروه آکیرا از مجموعه ابزارهای متنوعی برای مراحل مختلف حمله استفاده می‌کند که در گزارش CISA به آن‌ها اشاره شده است:

دسترسی به اعتبارنامه‌ها: Mimikatz, LaZagne, SharpDomainSpray
شناسایی شبکه: Advanced IP Scanner, NetScan
فرار از شناسایی: PowerTool, AnyDesk, LogMeIn
استخراج داده‌ها: FileZilla, WinSCP, RClone

یکی از تکنیک‌های هوشمندانه این گروه برای ارتقای سطح دسترسی (Privilege Escalation)، این است که به طور موقت ماشین مجازی یک Domain Controller را خاموش می‌کنند، فایل‌های VMDK آن را کپی کرده و با اتصال آن به یک ماشین مجازی جدید، فایل NTDS.dit (پایگاه داده Active Directory) را استخراج می‌کنند. این کار به آن‌ها اجازه می‌دهد تا به حساب مدیر دامنه دسترسی پیدا کنند. در کنار این روش، آنها از تکنیک Kerberoasting نیز برای استخراج هش‌های پسورد حساب‌های کاربری سرویس‌ها از حافظه سیستم استفاده می‌کنند که یکی دیگر از روش‌های مؤثر برای دستیابی به اعتبارنامه‌های ارزشمند است.

آسیب‌پذیری‌هایی که گروه‌هایی مانند آکیرا از آن‌ها سوءاستفاده می‌کنند، بخشی از جریان بی‌پایان نقص‌های امنیتی هستند که تیم‌های امنیتی باید به طور مداوم برای رفع آن‌ها تلاش کنند.

بذار خلاصه بگم 👇
باج‌افزار آکیرا با هدف قرار دادن کسب‌وکارهای کوچک و متوسط، ۴۲ میلیون دلار به جیب زده. این گروه از ضعف‌های VPN بدون احراز هویت چندمرحله‌ای و آسیب‌پذیری‌های نرم‌افزاری برای نفوذ اولیه استفاده می‌کنه.

۳. سه‌شنبه وصله‌ها و یک آسیب‌پذیری جدید در تجهیزات سیسکو – Patch Tuesday

برای مدیران امنیتی، «سه‌شنبه وصله‌ها» (Patch Tuesday) یک مراسم ماهانه است؛ مسابقه‌ای بی‌پایان با زمان که در آن تیم‌های امنیتی با عجله در حال ساختن دیوارند، در حالی که هکرها از قبل به دنبال آجرهای سست می‌گردند. این روز، موعد انتشار به‌روزرسانی‌های امنیتی توسط مایکروسافت و دیگر شرکت‌های بزرگ است و یک مسابقه دائمی بین مدافعان برای نصب وصله‌ها و مهاجمان برای بهره‌برداری از ضعف‌ها را رقم می‌زند.

در سه‌شنبه وصله‌های نوامبر ۲۰۲۵، مایکروسافت ۶۳ نقص امنیتی را برطرف کرد. در میان این آسیب‌پذیری‌ها، یک آسیب‌پذیری روز-صفر (Zero-day) که به طور فعال در حال سوءاستفاده بود و چهار آسیب‌پذیری حیاتی (Critical) وجود داشت.

آسیب‌پذیری روز-صفر با شناسه CVE-2025-62215، یک نقص ارتقای سطح دسترسی (Elevation of Privilege) در هسته ویندوز (Windows Kernel) بود. این آسیب‌پذیری به مهاجمی که از قبل به سیستم دسترسی دارد اجازه می‌دهد با برنده شدن در یک «شرایط رقابتی» (Race Condition)، به بالاترین سطح دسترسی یعنی SYSTEM دست پیدا کند.

همزمان، سیسکو نیز یک آسیب‌پذیری پرخطر جدید با شناسه CVE-2025-20341 را در دستگاه مجازی Cisco Catalyst Center فاش کرد. این نقص امنیتی به یک مهاجم احراز هویت شده از راه دور که تنها دسترسی سطح پایین «Observer» را دارد، اجازه می‌دهد با ارسال یک درخواست HTTP دستکاری‌شده، سطح دسترسی خود را به «Administrator» ارتقا دهد و کنترل کامل دستگاه را به دست بگیرد.

برای مقابله با این آسیب‌پذیری سیسکو، اقدامات زیر توصیه می‌شود:

نصب فوری وصله امنیتی ارائه‌شده توسط سیسکو.
اعمال احراز هویت چندمرحله‌ای (MFA) برای تمام حساب‌های مدیریتی.
محدود کردن دسترسی به رابط مدیریتی فقط از طریق شبکه‌های مورد اعتماد.

در حالی که مدافعان و مهاجمان در این مسابقه بی‌پایان برای نصب وصله‌ها و بهره‌برداری از آسیب‌پذیری‌ها با یکدیگر رقابت می‌کنند، یک میدان نبرد جدید با ظهور هوش مصنوعی در حال شکل‌گیری است.

بذار خلاصه بگم 👇
مایکروسافت در آخرین آپدیت ماهانه خود ۶۳ آسیب‌پذیری را رفع کرد که یکی از آن‌ها به طور فعال در حال سوءاستفاده بود. همزمان، یک آسیب‌پذیری خطرناک در تجهیزات سیسکو کشف شده که به هکر اجازه می‌دهد به سطح ادمین دسترسی پیدا کند.

۴. هوش مصنوعی به عنوان سلاح: مهندسی اجتماعی و نشت اطلاعات – آسیب‌پذیری Sora 2

هوش مصنوعی مولد (Generative AI) یک فناوری با کاربرد دوگانه است: هم یک ابزار قدرتمند برای نوآوری و هم یک سلاح formidable برای مجرمان سایبری. توانایی این فناوری در تولید محتوای متقاعدکننده، آن را به یک ابزار ایده‌آل برای تقویت حملات مهندسی اجتماعی تبدیل کرده است؛ جایی که فریب انسان، کلید اصلی نفوذ است.

یک مقاله آکادمیک با عنوان «فریب دیجیتال» (Digital deception) توضیح می‌دهد که هوش مصنوعی مولد در سه حوزه اصلی، حملات فیشینگ و مهندسی اجتماعی را تقویت می‌کند:

ایجاد محتوای واقع‌گرایانه: هوش مصنوعی می‌تواند ایمیل‌ها، پیامک‌ها و حتی محتوای رسانه‌ای تولید کند که از نظر زبان و لحن، بسیار شبیه به انسان است و تشخیص آن برای قربانیان دشوار می‌شود.
هدف‌گیری و شخصی‌سازی پیشرفته: این فناوری به مهاجمان اجازه می‌دهد تا حملات خود را در مقیاس وسیع برای افراد خاص شخصی‌سازی کنند و احتمال موفقیت حمله را به شدت افزایش دهند.
زیرساخت حمله خودکار: با استفاده از هوش مصنوعی، مجرمان می‌توانند کمپین‌های حمله گسترده را با کمترین تلاش انسانی راه‌اندازی و مدیریت کنند.

یک مثال واقعی و اخیر از این تهدید، آسیب‌پذیری مدل ویدیوساز Sora 2 از شرکت OpenAI است که در ۱۲ نوامبر ۲۰۲۵ (۲۱ آبان ۱۴۰۴) فاش شد. محققان امنیتی دریافتند که می‌توانند دستورات سیستمی پنهان (System Prompt) این مدل را استخراج کنند. این دستورات، قوانین اصلی و محدودیت‌های ایمنی مدل را تعریف می‌کنند. جالب اینجاست که این استخراج نه از طریق متن، بلکه با وادار کردن مدل به تولید رونوشت صوتی از این دستورات انجام شد.

اهمیت این نشت اطلاعات چیست؟ اگرچه دستورات فاش‌شده خودشان اطلاعات بسیار حساسی نبودند، اما این اتفاق یک ضعف حیاتی در سیستم‌های هوش مصنوعی چندوجهی (Multimodal) را نشان داد. این تحقیق ثابت کرد که دستورات سیستمی مدل‌های هوش مصنوعی باید مانند قوانین محرمانه یک فایروال در نظر گرفته شوند، نه صرفاً فراداده‌های بی‌ضرر. این کشف، توسعه‌دهندگان را وادار می‌کند تا نه تنها ورودی‌های متنی، بلکه تمام ورودی‌های ممکن (صوتی، تصویری و ویدیویی) را در برابر استخراج دستورات امن کنند و سطح حمله سیستم‌های هوش مصنوعی را به شکل بنیادین گسترش دهند.

در حالی که هوش مصنوعی تهدیدات جدیدی را به وجود می‌آورد، در عین حال در حال تبدیل شدن به یک ابزار ضروری برای دفاع سایبری نیز هست.

بذار خلاصه بگم 👇
هوش مصنوعی مولد به یک شمشیر دولبه تبدیل شده؛ هکرها از آن برای ساختن حملات فیشینگ بسیار واقعی و خودکار استفاده می‌کنند. اخیراً هم یک ضعف در مدل ویدیوساز Sora 2 نشان داد که چطور می‌توان دستورات محرمانه این مدل‌ها را استخراج کرد.

۵. هوش مصنوعی به عنوان سپر: تشخیص هوشمند و خودکار تهدیدات

در مقابل حملات پیچیده و مدرن، روش‌های دفاعی سنتی که بر اساس امضاها (Signatures) کار می‌کنند، دیگر کارایی لازم را ندارند. این روش‌ها تنها می‌توانند تهدیداتی را شناسایی کنند که قبلاً دیده‌اند. اینجاست که هوش مصنوعی (AI) و یادگیری ماشین (ML) وارد میدان می‌شوند و با تحلیل رفتارها به جای امضاها، استراتژی دفاعی را متحول می‌کنند.

یک مقاله منتشر شده در Procedia Computer Science نقش هوش مصنوعی در شناسایی باج‌افزارها را بررسی می‌کند. سیستم‌های مبتنی بر هوش مصنوعی با تحلیل گزارش‌های سیستمی (logs)، ترافیک شبکه و فراداده‌های فایل‌ها، به دنبال ناهنجاری‌هایی می‌گردند که نشان‌دهنده فعالیت مخرب است. این تحقیق نشان داد که مدل یادگیری ماشین Random Forest توانسته با دقت ۹۷.۸٪ و صحت (Precision) ۹۶.۵٪ فعالیت‌های باج‌افزاری را شناسایی کند. این سطح از دقت برای روش‌های سنتی تقریباً غیرممکن است.

شرکت CrowdStrike نیز مفهوم جدیدی به نام شاخص‌های حمله مبتنی بر هوش مصنوعی (AI-powered Indicators of Attack) را معرفی کرده است. این فناوری به جای تمرکز بر فایل‌های بدافزار، به دنبال شناسایی رفتارهای مخرب است. این رویکرد به سیستم‌ها اجازه می‌دهد تا حملات بدون فایل (Fileless) و تکنیک‌های جدیدی را که هیچ امضای شناخته‌شده‌ای ندارند، متوقف کنند. تا به امروز، این شاخص‌ها بیش از ۲۰ الگوی حمله کاملاً جدید را شناسایی کرده‌اند.

علاوه بر این، مفهوم «مرکز عملیات امنیت عامل‌محور» (agentic SOC) در حال ظهور است. ابزارهایی مانند Charlotte AI با ترکیب قدرت استدلال هوش مصنوعی و بینش انسانی، به تیم‌های امنیتی کمک می‌کنند تا هشدارها را با سرعت ماشین تحلیل کنند. این امر به تحلیلگران انسانی اجازه می‌دهد تا از کارهای تکراری رها شده و بر روی وظایف حیاتی‌تر تمرکز کنند.

اما در حالی که هوش مصنوعی در حال یادگیری دفاع است، مهاجمان به سراغ پایه‌های زیرساخت دیجیتال، یعنی سرورهای لینوکسی، می‌روند و بدافزارهای پنهان‌کاری مانند Auto-Color را برای دور زدن این سپرهای هوشمند طراحی می‌کنند.

بذار خلاصه بگم 👇
در مقابل حملات هوشمند، دفاع هم هوشمندتر شده. هوش مصنوعی با تحلیل رفتار سیستم‌ها، با دقت بالای ۹۷٪ باج‌افزارها را شناسایی می‌کند و به تیم‌های امنیتی کمک می‌کند تا تهدیدات را سریع‌تر تحلیل و مهار کنند.

۶. Auto-Color: یک بدافزار جدید و پنهان‌کار برای لینوکس

در دنیای امنیت سایبری، نظارت بر خانواده‌های جدید بدافزارها، به‌ویژه آن‌هایی که سیستم‌عامل‌های غیرویندوزی مانند لینوکس را هدف قرار می‌دهند، از اهمیت استراتژیک بالایی برخوردار است. لینوکس به دلیل استفاده گسترده در محیط‌های سروری، یک هدف ارزشمند برای مهاجمان به شمار می‌رود.

بدافزار Auto-Color یک در پشتی (Backdoor) جدید است که برای اولین بار بین نوامبر و دسامبر ۲۰۲۴ مشاهده شد. این بدافزار که یک تروجان دسترسی از راه دور (RAT) محسوب می‌شود، سیستم‌های لینوکسی را هدف قرار می‌دهد. نام آن از فایلی گرفته شده که پس از نصب، خود را به آن تغییر نام می‌دهد: /var/log/cross/auto-color.

مکانیسم اصلی این بدافزار برای ماندگاری (Persistence) در سیستم، دستکاری فایل /etc/ld.preload است. Auto-Color با افزودن یک کتابخانه اشتراکی مخرب به نام libcext.so.2 به این فایل، سیستم‌عامل را فریب می‌دهد. به زبان ساده، این کار مانند این است که به سیستم‌عامل بگویید: «قبل از اجرای هر برنامه‌ای، ابتدا این کتابخانه مخرب را بارگذاری کن.» این تکنیک به بدافزار اجازه می‌دهد تا توابع اصلی سیستم را «قلاب» (Hook) کرده و رفتار آن‌ها را کنترل کند.

یکی از ویژگی‌های کلیدی Auto-Color، رفتار پنهان‌کارانه آن است. اگر بدافزار با دسترسی کاربر عادی (non-root) اجرا شود، از مراحل نصب تهاجمی‌تر خودداری می‌کند تا احتمال شناسایی شدن را کاهش دهد. اما نکته مهم‌تری که در گزارش Darktrace به آن اشاره شده، این است که اگر بدافزار نتواند به سرور فرماندهی و کنترل (C2) خود متصل شود، بیشتر فعالیت‌های مخرب خود را متوقف می‌کند. این ویژگی باعث می‌شود که در محیط‌های تحلیل ایزوله (Sandbox)، بدافزار بی‌خطر به نظر برسد و تحلیلگران را گمراه کند.

آخرین بردار حمله شناسایی‌شده توسط Darktrace در آوریل ۲۰۲۵، بهره‌برداری از آسیب‌پذیری CVE-2025-31324 در SAP NetWeaver برای تزریق بدافزار Auto-Color به سیستم قربانی بود.

بدافزاری مانند Auto-Color که زیرساخت‌های حیاتی مبتنی بر لینوکس را هدف قرار می‌دهد، تنها یک روی سکه است. روی دیگر، حمله مستقیم به خودِ تولیدکنندگان این زیرساخت‌ها، مانند F5 و سیسکو، برای سرقت اسرار طراحی آن‌هاست.

بذار خلاصه بگم 👇
یک بدافزار جدید لینوکسی به نام Auto-Color کشف شده که با دستکاری فایل‌های سیستمی، خودش را در سیستم قربانی ماندگار می‌کند. این بدافزار بسیار پنهان‌کار است و اگر نتواند به سرور فرماندهی خود وصل شود، فعالیت مخربش را متوقف می‌کند تا شناسایی نشود.

۷. لبه پرتگاه: سرقت کد منبع و حملات روز-صفر به زیرساخت‌های حیاتی – سرقت سورس کد F5

دستگاه‌های لبه شبکه (Edge Devices) و زیرساخت‌های حیاتی مانند گیت‌وی‌ها و سیستم‌های مدیریت هویت، به دلیل نقش کلیدی‌شان در امنیت شبکه، اهداف بسیار ارزشمندی برای مهاجمان پیشرفته دولتی (Nation-State Actors) هستند. حمله به این سیستم‌ها می‌تواند به مهاجمان کلید ورود به کل یک سازمان را بدهد.

در ۱۵ اکتبر ۲۰۲۵، شرکت F5 فاش کرد که یک گروه هکری دولتی به شبکه‌های داخلی این شرکت نفوذ کرده و بخش‌هایی از کد منبع (Source Code) محصول کلیدی خود، یعنی BIG-IP، را به همراه اطلاعاتی درباره آسیب‌پذیری‌های افشا نشده به سرقت برده است. دسترسی به کد منبع و اطلاعات آسیب‌پذیری‌ها به مهاجمان یک مزیت استراتژیک می‌دهد و به آن‌ها اجازه می‌دهد تا اکسپلویت‌های روز-صفر (Zero-day) جدیدی را با سرعت بیشتری توسعه دهند.

در رویدادی مشابه، تیم اطلاعات تهدید آمازون (Amazon Threat Intelligence) یک گروه تهدید پیشرفته (APT) را شناسایی کرد که در حال بهره‌برداری از آسیب‌پذیری‌های روز-صفر در سیستم‌های سیسکو و سیتریکس بود. این گروه از تکنیکی به نام بهره‌برداری از «شکاف وصله» (patch-gap) استفاده می‌کرد؛ یعنی قبل از اینکه یک وصله امنیتی جامع برای یک آسیب‌پذیری منتشر شود، آن را به سلاح تبدیل کرده و از آن سوءاستفاده می‌کرد.

در حمله به Cisco ISE، مهاجمان یک وب‌شل سفارشی (Custom Web Shell) را پیاده‌سازی کردند که نشان‌دهنده دانش عمیق آن‌ها از سیستم هدف بود. این وب‌شل ویژگی‌های پیشرفته‌ای داشت که آن را بسیار خطرناک می‌کرد:

برای اینکه قانونی به نظر برسد، نام IdentityAuditAction را داشت.
به طور کامل در حافظه (in-memory) اجرا می‌شد، به این معنی که هیچ ردپایی روی دیسک برای تحلیلگران فارنزیک باقی نمی‌گذاشت.
از تکنیک Java reflection برای تزریق خود به سیستم استفاده می‌کرد.
برای دسترسی به آن، نیاز به ارسال هدرهای HTTP خاصی بود که آن را از دید اسکنرهای عمومی شبکه پنهان می‌کرد؛ مانند یک رمز عبور مخفی که فقط مهاجم آن را می‌داند.

با گسترش فناوری و ادغام آن با زندگی فیزیکی ما، چالش‌های امنیتی جدیدی مانند امنیت داده‌های بیومتریک در حال ظهور هستند.

بذار خلاصه بگم 👇
هکرهای دولتی به شرکت‌های زیرساختی بزرگ مثل F5 و سیسکو حمله کرده‌اند. آن‌ها نه تنها اطلاعات آسیب‌پذیری‌های افشا نشده را دزدیده‌اند، بلکه بدافزارهای سفارشی و پیشرفته‌ای برای نفوذ به این سیستم‌های حیاتی طراحی کرده‌اند.

۸. مرز بیومتریک: نوآوری‌ها، ریسک‌ها و آینده رمزنگاری – امنیت بیومتریک

احراز هویت بیومتریک، از باز کردن قفل گوشی با اثر انگشت گرفته تا تشخیص چهره برای ورود به سیستم‌ها، به سرعت در حال تبدیل شدن به بخشی جدایی‌ناپذیر از زندگی روزمره ما است. بر اساس پیش‌بینی‌ها، بازار جهانی بیومتریک تا سال ۲۰۲۵ به درآمد سالانه ۱۵.۱ میلیارد دلار خواهد رسید. راحتی استفاده از این فناوری غیرقابل انکار است، اما این راحتی با ریسک‌های امنیتی و حریم خصوصی قابل‌توجهی همراه است که باید به دقت مدیریت شوند.

در سال ۲۰۲۵، اصلی‌ترین ریسک‌های مرتبط با بیومتریک عبارتند از:

نشت داده‌های بیومتریک: این داده‌ها برخلاف رمز عبور، قابل تغییر نیستند. نشت آن‌ها می‌تواند منجر به مشکلات جبران‌ناپذیر شود. تصور کنید چه اتفاقی می‌افتد اگر یک دولت متخاصم به پایگاه داده بیومتریک شهروندان یک کشور دیگر دست پیدا کند؛ این دیگر یک نشت داده نیست، بلکه یک بحران امنیت ملی است.
هزینه‌های بالا: پیاده‌سازی فناوری‌های بیومتریک پیشرفته و امن همچنان پرهزینه است و این موضوع مانعی برای پذیرش گسترده آن محسوب می‌شود.

با این حال، نوآوری‌های هیجان‌انگیزی در حال تغییر این حوزه هستند. یکی از مهم‌ترین آن‌ها، استفاده از محاسبات کوانتومی برای تقویت رمزنگاری داده‌های بیومتریک است. شرکت‌هایی مانند IBM و Microsoft در حال توسعه الگوریتم‌هایی هستند که می‌توانند داده‌های بیومتریک را در برابر حملات کامپیوترهای کوانتومی آینده مقاوم سازند.

مفهوم دیگری که در حال گسترش است، “تشخیص زنده بودن” (Liveness Detection) است. این فناوری با تشخیص چهره ترکیب می‌شود تا اطمینان حاصل شود که چهره ارائه‌شده واقعی است و یک عکس، ویدیو یا دیپ‌فیک (Deepfake) نیست. این تکنیک برای جلوگیری از حملات جعل هویت (Spoofing) بسیار حیاتی است.

یکی از کاربردهای کلیدی این فناوری در حوزه بهداشت و درمان است. استفاده از بیومتریک برای شناسایی امن بیماران و مدیریت سوابق الکترونیکی سلامت (EHRs) می‌تواند ضمن افزایش امنیت، با مقرراتی مانند HIPAA نیز سازگار باشد.

حفاظت از داده‌ها، چه بیومتریک و چه غیر آن، اغلب نیازمند یک تغییر بنیادین در معماری امنیتی سازمان‌ها است؛ تغییری که ما را به سمت مدل اعتماد صفر هدایت می‌کند.

بذار خلاصه بگم 👇
فناوری‌های بیومتریک (مثل اثر انگشت و تشخیص چهره) در حال پیشرفت هستند، اما ریسک نشت این داده‌های حساس هم بالاست. نوآوری‌هایی مثل رمزنگاری کوانتومی و تشخیص زنده بودن چهره (Liveness) برای افزایش امنیت این سیستم‌ها در حال توسعه هستند.

۹. پارادایم اعتماد صفر (Zero Trust): هرگز اعتماد نکن، همیشه راستی‌آزمایی کن

رویکرد قدیمی «قلعه و خندق» در دنیای امروز مانند قرار دادن یک نگهبان جلوی در اصلی یک آسمان‌خراش با صدها پنجره باز است. اعتماد صفر، نگهبان را در هر طبقه، جلوی هر در و حتی داخل آسانسور قرار می‌دهد. این مدل امنیتی یک تغییر پارادایم استراتژیک است که در دنیای امروز با کارمندان دورکار و سرویس‌های ابری، به یک ضرورت تبدیل شده است.

اصل بنیادین این مدل ساده اما قدرتمند است: «هرگز اعتماد نکن، همیشه راستی‌آزمایی کن» (never trust, always verify). این رویکرد فرض می‌کند که هیچ کاربر یا دستگاهی، صرف‌نظر از اینکه داخل یا خارج از محیط شبکه قرار دارد، به طور پیش‌فرض قابل اعتماد نیست و برای هر درخواست دسترسی باید هویت خود را اثبات کند.

علاوه بر این اصل کلیدی، اعتماد صفر بر چند ستون دیگر استوار است:

حداقل دسترسی لازم (Least Privilege Access): به هر کاربر یا سیستم فقط دسترسی‌های مورد نیاز برای انجام وظایفش داده می‌شود و نه بیشتر. این کار آسیب‌پذیری ناشی از یک حساب کاربری به خطر افتاده را به شدت محدود می‌کند.
فرض نشت اطلاعات (Assume Breach): معماری امنیتی با این فرض طراحی می‌شود که نفوذ به شبکه اتفاق خواهد افتاد. بنابراین، تمرکز بر روی به حداقل رساندن تأثیر حمله و جلوگیری از حرکت جانبی مهاجم در شبکه است.
تقسیم‌بندی خرد (Microsegmentation): منابع حساس شبکه به بخش‌های کوچک و ایزوله تقسیم می‌شوند. دسترسی به هر بخش به شدت کنترل می‌شود تا در صورت نفوذ به یک قسمت، مهاجم نتواند به سادگی به سایر بخش‌ها دسترسی پیدا کند.
نظارت مستمر (Continuous Monitoring): تمام ترافیک شبکه به طور مداوم بازرسی و ثبت می‌شود تا هرگونه فعالیت غیرعادی یا مشکوک به سرعت شناسایی شود.

اجزای کلیدی یک معماری اعتماد صفر شامل مدیریت قوی هویت و دسترسی (IAM)، احراز هویت چندمرحله‌ای (MFA)، بررسی انطباق و سلامت دستگاه‌ها (Device Compliance) و یک موتور سیاست‌گذاری مرکزی است.

پیاده‌سازی اعتماد صفر در مقیاس بزرگ بدون هوش مصنوعی و اتوماسیون تقریباً غیرممکن است. قابلیت مشاهده‌پذیری و تشخیص تهدید آنی که هوش مصنوعی فراهم می‌کند، تنها راه برای نظارت مستمر بر کاربران و دستگاه‌ها با سرعت و دقت لازم است.

پیمایش در این چشم‌انداز پیچیده تهدیدات، نیازمند هوشیاری مداوم و سازگاری با رویکردهای جدیدی مانند اعتماد صفر است.

بذار خلاصه بگم 👇
اعتماد صفر یک مدل امنیتی مدرن است که می‌گوید به هیچ‌کس و هیچ‌چیز، حتی داخل شبکه، نباید به طور پیش‌فرض اعتماد کرد. این رویکرد با راستی‌آزمایی مداوم و دادن حداقل دسترسی لازم، امنیت را در دنیای امروزی (با دورکاری و فضای ابری) تضمین می‌کند.

جمع‌بندی

گزارش امروز تصویری واضح از چشم‌انداز پویای امنیت سایبری ارائه داد. از یک سو، شاهد نبرد بی‌وقفه بین مجرمان سایبری و نیروهای انتظامی هستیم که با عملیات‌های پیچیده سعی در برهم زدن اکوسیستم جرم دارند. از سوی دیگر، ابزارهای مهاجمان، به ویژه با کمک هوش مصنوعی، به سرعت در حال تکامل هستند و حملات مهندسی اجتماعی را هوشمندتر و شخصی‌تر کرده‌اند. در مقابل، مدافعان نیز بی‌کار ننشسته‌اند و با به کارگیری استراتژی‌های پیشرفته و فعالانه مانند دفاع مبتنی بر هوش مصنوعی و معماری اعتماد صفر، سپرهای دفاعی خود را تقویت می‌کنند.

این چرخه بی‌پایان حمله و دفاع به ما یادآوری می‌کند که در این میدان نبرد، تنها استراتژی قطعی، سازگاری بی‌وقفه است؛ زیرا در دنیای امنیت، تنها چیزی که ثابت می‌ماند، خودِ تغییر است.

“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec