امروز چشمانداز تهدیدات سایبری با سرعت در حال دگرگونی است. از یک سو، آسیبپذیریهای حیاتی روز-صفر (Zero-Day) در پلتفرمهای پرکاربردی مانند تجهیزات شبکه Fortinet و مرورگر Google Chrome به صورت فعال در حال بهرهبرداری هستند که نیازمند واکنش فوری سازمانهاست. از سوی دیگر، شاهد یک تغییر استراتژیک در عملکرد بازیگران دولتی هستیم که با رویکرد «جنگ سایبری-جنبشی» (cyber-enabled kinetic warfare)، مرز بین دنیای دیجیتال و درگیریهای فیزیکی را کمرنگتر از همیشه کردهاند. این تحولات در حالی رخ میدهد که مسابقه تسلیحاتی در حوزه هوش مصنوعی، هم برای توسعه حملات خودکار و هم برای ایجاد پلتفرمهای دفاعی خودمختار، به شدت در حال شتاب گرفتن است.
۱. از جاسوسی تا حمله فیزیکی: ایران چگونه از هک برای اهداف نظامی بهره میبرد
جنگهای مدرن در حال از بین بردن مرزهای بین دنیای دیجیتال و فیزیکی هستند. بر اساس یک گزارش جدید از تیم اطلاعات تهدید آمازون، یک روند استراتژیک نگرانکننده به نام «هدفگیری جنبشی با قابلیت سایبری» (cyber-enabled kinetic targeting) در حال ظهور است. این مفهوم به عملیاتهای سایبریای اطلاق میشود که هدف نهایی نیستند، بلکه به طور خاص برای جمعآوری اطلاعات و توانمندسازی حملات نظامی فیزیکی طراحی شدهاند.
این گزارش دو نمونه مشخص از این استراتژی را که به گروههای وابسته به ایران نسبت داده شده، مستند کرده است:
مطالعه موردی ۱: حمله به کشتیها توسط Imperial Kitten
- وابستگی: گروه Imperial Kitten
(ایم-پِریال-کی-تِن)به سپاه پاسداران انقلاب اسلامی ایران (IRGC) نسبت داده شده است. - عملیات سایبری: طبق گزارش آمازون، این گروه ابتدا با نفوذ به سیستمهای شناسایی خودکار (AIS) و دوربینهای مداربسته (CCTV) کشتیها، به شناسایی گسترده در حوزه دریانوردی پرداخت. در مرحله بعد، فعالیتهای خود را بر روی جستجوی هدفمند اطلاعات مکانی یک کشتی خاص متمرکز کرد.
- نتیجه فیزیکی: تنها چند روز پس از این فعالیت سایبری هدفمند، فرماندهی مرکزی ایالات متحده (CENTCOM) از حمله موشکی نیروهای حوثی به همان کشتی خبر داد. این ارتباط مستقیم نشان میدهد که چگونه اطلاعات جمعآوری شده در فضای سایبری، به یک حمله فیزیکی کمک کرده است.
مطالعه موردی ۲: عملیات در اورشلیم توسط MuddyWater
- وابستگی: گروه MuddyWater
(مادی-واتر)به وزارت اطلاعات و امنیت ایران (MOIS) نسبت داده شده است. - عملیات سایبری: این گروه با نفوذ به سرورها، به پخش زنده دوربینهای مداربسته در اورشلیم دسترسی پیدا کرد.
- نتیجه فیزیکی: در همان روزی که ایران حملات موشکی خود را آغاز کرد، مقامات اسرائیلی هشدار دادند که این دوربینهای هک شده برای «جمعآوری اطلاعات لحظهای و تنظیم هدفگیری موشکها» مورد استفاده قرار میگیرند. این مورد، ارتباط مستقیم بین شناسایی سایبری و یک رویداد نظامی واقعی را برجسته میکند.
این تحولات نشاندهنده یک تغییر بنیادین است که در آن هر سازمانی که دارای زیرساختهای متصل به اینترنت مانند دوربینهای مداربسته یا سیستمهای GPS است، میتواند ناخواسته به یک دارایی تاکتیکی در یک درگیری فیزیکی تبدیل شود؛ حتی اگر خود آن سازمان هدف اصلی نباشد. این بدان معناست که زیرساختهای غیرنظامی مانند سیستمهای کنترل ترافیک یا شبکههای توزیع برق، دیگر صرفاً اهداف جانبی نیستند، بلکه به مهرههای فعال در شطرنج جنگهای مدرن تبدیل شدهاند و مسئولیت حفاظت از آنها فراتر از امنیت داده صرف است. این رویکرد جدید، تهدیدات سایبری را از حوزه جاسوسی خارج کرده و به ابزاری برای توانمندسازی مستقیم عملیات نظامی تبدیل کرده است.
“بذار خلاصه بگم 👇”
گروههای هکری منتسب به ایران، از هک کردن سیستمهای کشتیرانی و دوربینهای مداربسته شهری برای جمعآوری اطلاعات و کمک به حملات موشکی فیزیکی استفاده کردهاند. دنیای سایبری و جنگ واقعی دیگه از هم جدا نیستند.
منابع این بخش:
۲. چگونه ابزارهای Red Team، پیشرفتهترین سیستمهای دفاعی (EDR) را کور میکنند
در دنیای امنیت سایبری، تیمهای قرمز (Red Teams) نقش مهاجمان را شبیهسازی میکنند و تیمهای آبی (Blue Teams) وظیفه دفاع را بر عهده دارند. سازمانها سرمایهگذاریهای هنگفتی روی ابزارهای دفاعی پیشرفتهای مانند «تشخیص و واکنش نقطه پایانی» (EDR) انجام میدهند. با این حال، مهاجمان اکنون از ابزارهای تخصصی و در دسترس عموم استفاده میکنند که به طور خاص برای دور زدن و خنثی کردن همین سیستمهای دفاعی طراحی شدهاند.
یکی از برجستهترین نمونههای این تهدید، ابزاری به نام EDRSilencer (ای-دی-آر-سایلنسر) است. بر اساس گزارش شرکت Trend Micro، این ابزار عامل EDR را غیرفعال نمیکند، بلکه با استفاده از «پلتفرم فیلترینگ ویندوز» (WFP)، جلوی ارسال هشدارها و دادههای تلهمتری از دستگاه آلوده به کنسول مدیریت مرکزی تیم امنیتی را میگیرد. این کار مانند این است که یک سارق، خط تلفن سیستم دزدگیر خانه را قطع کند. آژیر خطر ممکن است همچنان داخل خانه به صدا درآید، اما شرکت امنیتی هرگز تماس درخواست کمک را دریافت نخواهد کرد و از وقوع سرقت مطلع نخواهد شد.
EDRSilencer یک ابزار منبعباز (open-source) است، به این معنی که به طور گسترده در دسترس طیف وسیعی از مهاجمان قرار دارد و استفاده از آن محدود به گروههای خاصی نیست. این ابزار قادر است سیستمهای EDR معروفی مانند Microsoft Defender، SentinelOne و CrowdStrike Falcon را هدف قرار دهد. قدرت این ابزار در سوءاستفاده از یک جزء داخلی و قانونی ویندوز (WFP) نهفته است که یک تکنیک کلاسیک «زندگی در سرزمین» (Living off the Land) محسوب میشود. از آنجایی که این ابزار از قابلیتهای خود سیستمعامل استفاده میکند، تشخیص فعالیت مخرب آن از رفتار عادی سیستم برای مدافعان بسیار دشوارتر میشود.
این پدیده نشان میدهد که صرفاً خرید یک ابزار امنیتی پیشرفته کافی نیست. اعتبارسنجی مداوم کنترلهای امنیتی از طریق روشهایی مانند «تیمسازی بنفش» (Purple Teaming) و شبیهسازی حملات، برای اطمینان از عملکرد صحیح آنها در برابر تکنیکهای گریز مدرن، امری حیاتی است.
“بذار خلاصه بگم 👇”
هکرها ابزاری به اسم EDRSilencer ساختن که جلوی ارسال هشدار از آنتیویروسهای پیشرفته به تیم امنیتی رو میگیره. یعنی سیستم دفاعی شما مشکل رو میبینه، ولی نمیتونه به کسی خبر بده.
منابع این بخش:
۳. هفتمین زیرودی کروم در سال ۲۰۲۵: گوگل با یک پچ اضطراری به مقابله با آسیبپذیری V8 میرود
بر اساس گزارشهای SOCRadar و Cyber Security Hub، گوگل یک بهروزرسانی اضطراری برای مرورگر کروم منتشر کرده تا آسیبپذیری CVE-2025-13223 را برطرف کند. این آسیبپذیری با شدت بالا از نوع “سردرگمی نوع” (Type Confusion) در موتور جاوا اسکریپت V8 است و هفتمین آسیبپذیری زیرودی کروم است که امسال به طور فعال مورد بهرهبرداری قرار گرفته. کشف این آسیبپذیری توسط گروه تحلیل تهدیدات گوگل (TAG) نشان میدهد که احتمالاً بازیگران دولتی یا فروشندگان جاسوسافزارهای پیشرفته پشت این حملات هستند. نسخههای اصلاحشده 142.0.7444.175 برای ویندوز و لینوکس و 142.0.7444.176 برای macOS هستند.
برای درک نقص “Type Confusion” تصور کنید به یک کارگر کارخانه دستورالعملهای مونتاژ یک صندلی را میدهید و او طبق نقشه، یک صندلی محکم و کاربردی میسازد. حالا یک مهاجم وارد میشود؛ او دستورالعملهای ساخت یک بمب را برمیدارد، اما برچسب روی آن را به “دستورالعمل مونتاژ صندلی” تغییر داده و به کارگر میدهد. کارگر که کاملاً به برچسب اعتماد دارد، با دقت شروع به کار میکند اما به جای صندلی، ناخواسته یک بمب میسازد و نتیجه فاجعهبار است.
موتور V8 به دلیل نقش محوریاش در اجرای کدهای وب، یک هدف بسیار جذاب و پرتکرار برای مهاجمان است. یک بهرهبرداری موفق از این نوع آسیبپذیری میتواند به اجرای کد دلخواه (Arbitrary Code Execution) منجر شود. این به مهاجم اجازه میدهد تا از محیط امن مرورگر (Sandbox) فرار کرده و تنها با بازدید کاربر از یک وبسایت مخرب، به طور بالقوه کل سیستمعامل را در اختیار بگیرد.
با بیش از ۳ میلیارد کاربر، کروم همچنان پرکاربردترین مرورگر جهان است—واقعیتی که از چشم گروههای تهدید دولتی و مهاجمان با انگیزههای مالی دور نمانده است.
توصیه می شود برای محافظت از خود، کاربران باید فوراً مرورگر کروم خود را با مراجعه به بخش «تنظیمات» (Settings)، سپس «درباره کروم» (About Chrome) و راهاندازی مجدد برنامه، بهروزرسانی کنند.
“بذار خلاصه بگم 👇”
یک باگ خطرناک در کروم وجود داره که هکرها دارن ازش استفاده میکنن. فقط با باز کردن یک سایت آلوده، ممکنه کل کامپیوتر شما هک بشه.
منابع این بخش:
۴. خبر عالی برای مدافعان: ابزار Sysmon به صورت بومی به ویندوز ۱۱ و سرور ۲۰۲۵ اضافه میشود
بر اساس گزارش Cyber Press، مایکروسافت اعلام کرده است که از سال آینده، قابلیتهای ابزار محبوب Sysmon را به صورت بومی (natively) در ویندوز ۱۱ و ویندوز سرور ۲۰۲۵ ادغام خواهد کرد. برای تیمهای آبی (Blue Teams)، این یک پیروزی بزرگ است. مایکروسافت بالاخره یکی از محبوبترین ابزارهای شکار تهدید جامعه امنیت را مستقیماً در سیستمعامل خود قرار میدهد و تیمهای امنیتی را از سردرد استقرار دستی آن بر روی هزاران دستگاه نجات میدهد. این اقدام، بار عملیاتی عظیم مربوط به استقرار، بهروزرسانی و مدیریت دستی Sysmon در سراسر یک سازمان را از بین میبرد و مانع اصلی برای دستیابی به دید عمیق سیستمی جهت شناسایی تهدیدات و تحلیلهای فارنزیک را به شدت کاهش میدهد.
تا پیش از این، یک تیم امنیتی مجبور بود از اسکریپتهای پیچیده یا ابزارهای استقرار نرمافزار برای اعمال بهروزرسانیهای Sysmon بر روی هزاران دستگاه استفاده کند که اغلب منجر به نسخههای ناهماهنگ میشد. اکنون، این فرآیند به سادگی فعال کردن یک ویژگی ویندوز (Windows Feature) و دریافت خودکار بهروزرسانیها از طریق Windows Update، درست مانند هر بخش دیگری از سیستمعامل، خواهد بود.
تیمهای امنیتی باید از هم اکنون برای گنجاندن این قابلیت در استراتژی مانیتورینگ و پاسخ به حوادث خود برنامهریزی کنند.
“بذار خلاصه بگم 👇”
مایکروسافت داره یکی از بهترین ابزارهای رایگان برای شکار تهدید رو مستقیماً داخل ویندوز قرار میده. دیگه نیازی به نصب دستی نیست!
منابع این بخش:
۵. پنتاگون قوانین امنیت سایبری را برای ماهوارههای تجاری سختتر میکند
بر اساس گزارش مجله Air & Space Forces، کمیته سیستمهای امنیت ملی پنتاگون (CNSS) قوانین جدید و سختگیرانهتری را برای اپراتورهای ماهوارههای تجاری که در مأموریتهای امنیت ملی مشارکت دارند، صادر کرده است. بگذارید شفاف بگوییم این به چه معناست: پنتاگون بالاخره به تأمینکنندگان ماهوارهای خود میگوید که امنیت سایبری دیگر نمیتواند یک موضوع ثانویه باشد. برای سالها، ایمنسازی داراییهای فضایی تجاری یک “مزیت” محسوب میشد؛ اکنون، به بخشی غیرقابلمذاکره از مأموریت تبدیل شده است. این ماهوارهها خدمات ضروری مانند GPS و ارتباطات جهانی را فراهم میکنند که برای زیرساختهای نظامی و غیرنظامی حیاتی هستند. برای پر کردن “شکاف شناسایی” روی ماهوارهها، وزارت امنیت داخلی (DHS) و شرکت Aerospace در حال توسعه یک سیستم تشخیص نفوذ متنباز به نام SpaceCOP هستند تا به صنعت در برآورده کردن این استانداردهای جدید کمک کنند.
سه الزام کلیدی جدید در این قوانین عبارتند از:
- نصب سیستمهای تشخیص و پیشگیری از نفوذ آنی (real-time IDS/IPS) بر روی ماهواره
- استفاده از ریشه اعتماد سختافزاری (Hardware root-of-trust) برای راهاندازی مجدد امن
- اعمال مدیریت پچهای امنیتی برای نرمافزارهای روی ماهواره و بخش زمینی
شرکتهای فعال در صنعت فضا که با دولت آمریکا کار میکنند، باید فوراً قابلیتهای خود را برای تطبیق با این الزامات جدید ارزیابی کنند.
“بذار خلاصه بگم 👇”
اگر میخواهید برای پنتاگون ماهواره به فضا بفرستید، دیگر نمیتوانید امنیت سایبری را نادیده بگیرید؛ قوانین جدید بسیار سختگیرانهتر شدهاند.
منابع این بخش:
۶. مسابقه تسلیحاتی هوش مصنوعی: از حملات خودکار تا پلتفرمهای دفاعی خودمختار
هوش مصنوعی در دنیای امنیت سایبری یک شمشیر دولبه است. این فناوری به یک مسابقه تسلیحاتی دامن زده است که در آن، هم مهاجمان و هم مدافعان برای به دست آوردن برتری، از هوش مصنوعی بهره میبرند. این رقابت به طور چشمگیری سرعت و مقیاس درگیریهای سایبری را افزایش داده است.
مهاجمان از هوش مصنوعی مولد و مدلهای زبانی بزرگ (LLMs) برای تسریع و پیچیدهتر کردن حملات خود استفاده میکنند. نمونههای مشخصی از این کاربردها عبارتند از:
- ایجاد ایمیلهای فیشینگ فوقالعاده شخصیسازی شده که تشخیص آنها برای انسان دشوار است.
- تولید صدا و تصویر دیپفیک (Deepfake) متقاعدکننده برای حملات مهندسی اجتماعی.
- خودکارسازی فرآیند شناسایی (Reconnaissance) برای یافتن سریعتر آسیبپذیریها در شبکهها.
این روند به قدری نگرانکننده است که کارشناسان پیشبینی میکنند شاهد تحولی بزرگ در این زمینه خواهیم بود.
“کارشناسان امنیت سایبری پیشبینی میکنند که تا سال ۲۰۲۶، به دلیل پیشرفتهای سریع در هوش مصنوعی (AI)، شاهد افزایش شدید در پیچیدگی و حجم حملات خواهیم بود.”
در پاسخ به این تهدیدات، مدافعان به سمت «هوش مصنوعی عامل» (Agentic AI) روی آوردهاند. این سیستمها دیگر فقط ابزارهایی برای کمک به تحلیلگران انسانی نیستند، بلکه عاملهای هوش مصنوعی مستقلی هستند که میتوانند به تنهایی «شکار کنند، استدلال کنند و اقدام نمایند».
- Doppel
**(دا-پِل)**: این شرکت به تازگی ۷۰ میلیون دلار سرمایه جذب کرده و با OpenAI همکاری میکند تا عاملهای هوش مصنوعی خودمختاری را توسعه دهد که قادرند حجم کاری تحلیلگران را تا ۸۰٪ کاهش داده و تهدیدات مهندسی اجتماعی را به صورت آنی خنثی کنند. - Cyble: این شرکت پلتفرم BlazeAI را ارائه میدهد که یک هوش مصنوعی عامل است و میتواند «تهدیدات را ماهها قبل پیشبینی کرده و امنیت را به صورت آنی خودکارسازی کند.»
نبرد اصلی اکنون بین حملات با سرعت ماشین و دفاع با سرعت ماشین است. عملیاتهای امنیتی سنتی که توسط انسان هدایت میشوند، برای مقابله با کمپینهای تهاجمی مبتنی بر هوش مصنوعی بسیار کند هستند. در این چشمانداز جدید، دفاع خودمختار دیگر یک انتخاب لوکس نیست، بلکه یک ضرورت برای بقا محسوب میشود.
“بذار خلاصه بگم 👇”
هکرها با هوش مصنوعی حملات فیشینگ و بدافزار رو خودکار و هوشمندتر کردن. در مقابل، شرکتهای امنیتی هم هوش مصنوعی خودمختاری ساختن که بدون دخالت انسان، تهدیدها رو پیدا میکنه و از بین میبره. یه جنگ رباتها شروع شده.
منابع این بخش:
جمعبندی
چشمانداز امنیت سایبری به وضوح نشان میدهد که سرعت حمله و دفاع به لطف اتوماسیون و هوش مصنوعی در حال شتاب گرفتن است. مرز بین تهدیدات دیجیتال و فیزیکی به سرعت در حال محو شدن است و هر زیرساخت متصل به اینترنتی میتواند به یک هدف تاکتیکی تبدیل شود. در چنین محیطی، دفاع پیشگیرانه، نصب سریع وصلههای امنیتی و اعتبارسنجی مداوم ابزارهای امنیتی دیگر گزینههایی اختیاری نیستند، بلکه برای بقای سازمانها در برابر تهدیدات امروزی ضروری محسوب میشوند.
“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec