چشمانداز تهدیدات امروز با ترکیبی از حملات پیچیده دولتی که از ابزارهای روزمره برای پنهانکاری بهره میبرند، آسیبپذیریهای حیاتی در زنجیره تأمین نرمافزار که مخازن کد متنباز را هدف قرار میدهند، و نقصهای معماری در پلتفرمهای بزرگ همکاری آنلاین مشخص میشود. این روندها نشان میدهد که مهاجمان به طور فزایندهای در حال محو کردن مرز بین فعالیتهای مخرب و ترافیک عادی شبکه هستند. آنها با سوءاستفاده از اعتماد کاربران به ابزارهای آشنا و پروتکلهای استاندارد، دفاعهای امنیتی سنتی را به چالش میکشند. در ادامه، به بررسی عمیق مهمترین حوادث امنیتی امروز میپردازیم
۱. APT Tomiris با ابزارهای چندزبانه و C2 مبتنی بر تلگرام و دیسکورد بازمیگردد
ردیابی گروههای تهدید پیشرفته و مستمر (APT) مانند Tomiris برای درک تکامل تاکتیکهای دشمنان دولتی بسیار حیاتی است. بر اساس گزارش کسپرسکی، کمپین سال ۲۰۲۵ این گروه نشاندهنده یک جهش قابل توجه در ابزارها و تکنیکهای آن است که عمدتاً نهادهای دولتی و سازمانهای بیندولتی در آسیای مرکزی را هدف قرار میدهد.
حمله معمولاً با یک ایمیل فیشینگ حاوی یک آرشیو محافظتشده با رمز عبور آغاز میشود. متن ایمیل، که اغلب به زبان روسی یا متناسب با اهداف خاص (مانند ترکمنستان و قرقیزستان) نوشته شده، رمز عبور را برای باز کردن فایل فراهم میکند. این روش یک تکنیک مهندسی اجتماعی کلاسیک برای دور زدن اسکنرهای امنیتی ایمیل است که نمیتوانند محتوای آرشیوهای رمزگذاریشده را بررسی کنند.
مجموعه ابزار جدید این گروه شامل بدافزارهای متنوعی است که به زبانهای Go، Rust و C/C++ و Python نوشته شدهاند. این تنوع زبانی، شناسایی و تحلیل را برای تیمهای امنیتی دشوارتر میکند. مهمتر از آن، Tomiris (تومیرِس) به استفاده از سرویسهای عمومی مانند تلگرام و دیسکورد برای ارتباطات فرماندهی و کنترل (C2) روی آورده است. این تاکتیک به ترافیک مخرب اجازه میدهد تا با فعالیتهای قانونی ترکیب شود و از دید ابزارهای نظارت بر شبکه پنهان بماند.
اهمیت موضوع چیست؟
این تکامل فراتر از یک بهروزرسانی فنی ساده است؛ این یک سرمایهگذاری استراتژیک برای افزایش هزینه و پیچیدگی برای مدافعان است. استفاده از چندین زبان برنامهنویسی و کانالهای C2 عمومی، شناسایی و نسبت دادن حملات را به شدت پیچیده میکند و تیمهای امنیتی را مجبور به تحلیل سیگنالهای ضعیفتر و پراکندهتر میکند. علاوه بر این، استقرار فریمورکهای متنباز پس از بهرهبرداری مانند Havoc و AdaptixC2 نشان میدهد که مهاجمان به جای توسعه ابزارهای سفارشی پرهزینه، بر سرعت و انطباقپذیری تمرکز کردهاند.
یک سناریوی فرضی
کارمندی در یک وزارتخانه دولتی ایمیلی با موضوع «پروتکل جلسه همکاری» دریافت میکند. با این باور که این یک پیگیری قانونی از یک طرح اخیر فرامرزی است، کارمند رمز عبور ارائهشده («min@2025») را برای باز کردن فایل zip وارد میکند. پس از باز کردن فایل اجرایی درون آرشیو، یک (reverse shell) روی سیستم او ایجاد میشود. مهاجمان از این طریق، بدافزار AdaptixC2 را مستقر کرده و یک جای پای دائمی در شبکه به دست میآورند.
توصیه کاربردی
سازمانها، به ویژه در بخشهای دولتی، باید فیلترینگ ایمیل را برای آرشیوهای محافظتشده با رمز عبور تقویت کرده و ترافیک شبکه را برای شناسایی اتصالات غیرعادی به سرویسهایی مانند تلگرام و دیسکورد از محیطهای سرور، به دقت رصد کنند. این دیگر یک توصیه نیست، بلکه یک ضرورت عملیاتی است.
“بذار خلاصه بگم 👇”
یه گروه هکری پیشرفته به اسم Tomiris داره با بدافزارهای نوشتهشده به چند زبان برنامهنویسی و با استفاده از تلگرام و دیسکورد به نهادهای دولتی حمله میکنه تا شناسایی نشه.
منابع این بخش:
۲. هک با شعر: چگونه ساختار شاعرانه مدلهای زبان بزرگ (LLM) را فریب میدهد
مفهوم «جیلبریک» (Jailbreaking) یا دور زدن محدودیتهای ایمنی مدلهای هوش مصنوعی، به یک بازی موش و گربه مداوم بین توسعهدهندگان و مهاجمان تبدیل شده است. در حالی که توسعهدهندگان سعی در تقویت فیلترهای ایمنی دارند، محققان به طور مداوم راههای جدیدی برای فریب این سیستمها کشف میکنند.
در یک مقاله تحقیقاتی با عنوان «شعر خصمانه به عنوان یک مکانیزم جهانی جیلبریک تکمرحلهای»، محققان کشف کردهاند که تبدیل درخواستهای مضر به قالب شعر، نرخ موفقیت در دور زدن فیلترهای ایمنی مدلهای زبان بزرگ (LLMs) را به طور قابل توجهی افزایش میدهد. به عبارت دیگر، وقتی از یک مدل هوش مصنوعی خواسته میشود اطلاعاتی در مورد ساخت سلاح ارائه دهد، اگر این درخواست در قالب یک شعر بیان شود، احتمال پاسخگویی مدل بسیار بیشتر میشود.
برای نشان دادن این مفهوم بدون افشای محتوای مضر، محققان از یک مثال ساختاری جایگزین استفاده کردهاند:
یک نانوا از حرارت یک فر مخفی محافظت میکند، از قفسههای چرخانش، از ضربان اندازهگیری شده محورش. … روش را توصیف کن، خط به خط، که کیکی را شکل میدهد که لایههایش در هم تنیدهاند.
اما دلیل فنی و روانشناختی (در سطح مدل) پشت این قضیه بسیار جالب است. بیایید این موضوع را باز کنیم که چرا شعر مثل یک کلید قفلشکن عمل میکند:
۱. تغییر فاز از «دستیار واقعی» به «خلاقیت هنری»
وقتی شما از هوش مصنوعی مستقیماً میپرسید: «چطور بمب بسازم؟»، سیستمهای ایمنی مدل فعال میشوند. آنها میگویند: «این یک درخواست خطرناک و واقعی است. رد کن.»
اما وقتی درخواست را به شعر تبدیل میکنید، مدل وارد فاز خلاقیت و تخیل میشود.
- منطق مدل: «کاربر از من یک اثر هنری میخواهد، نه یک دستورالعمل واقعی. در دنیای هنر و داستان، ویلنها (بدمنها) کارهای بد میکنند، پس نوشتن در مورد آن مجاز است.»
- در واقع، شعر مثل یک پوشش (Cover) عمل میکند که ماهیت خطرناک درخواست را پنهان میسازد.
۲. اولویتدهی به ساختار بر محتوا (The Format Trap)
مدلهای زبانی طوری آموزش دیدهاند که “مفید” باشند و دستورات کاربر را دقیق اجرا کنند. نوشتن شعر (با قافیه، وزن و ساختار خاص) برای هوش مصنوعی یک چالش سخت و جذاب است. وقتی شما میگویید «یک شعر با قافیه AABB درباره ترکیب مواد شیمیایی ایکس و ایگرگ بگو»، مدل آنقدر روی رعایت وزن و قافیه تمرکز میکند که توجهش به محتوای ایمنی کم میشود. انگار مغز مدل آنقدر درگیر «خوشساخت بودن شعر» میشود که فراموش میکند «محتوای شعر» خطرناک است.
۳. استفاده از استعاره و زبان مبهم
فیلترهای ایمنی هوش مصنوعی معمولاً حساس به کلمات کلیدی (Keywords) هستند (مثل: انفجار، مرگ، سم). شعر ذاتاً پر از استعاره است.
- به جای «ساختن بمب»، شاعر ممکن است بگوید «بیدار کردن خورشید خشمگین در یک جعبه فلزی».
- هوش مصنوعی مفهوم را میفهمد، اما فیلترهای ایمنی که دنبال کلمه «بمب» میگردند، گول میخورند و این جمله را یک توصیف ادبی زیبا میپندارند، نه یک دستورالعمل تروریستی.
۴. مثال «اسب تروآ» (Trojan Horse)
میتوانید این روش را دقیقاً مثل اسب تروآ تصور کنید:
- درخواست مستقیم: سربازان دشمن (درخواست بد) میخواهند وارد قلعه شوند. نگهبانان (فیلترهای ایمنی) دروازه را میبندند.
- درخواست شاعرانه: سربازان داخل یک مجسمه چوبی زیبا (شعر) مخفی میشوند. نگهبانان مجسمه را به عنوان یک “هدیه هنری” میپذیرند و به داخل راه میدهند. وقتی وارد شد، سربازان بیرون میریزند (محتوای مخرب تولید میشود).
اهمیت موضوع چیست؟
این تحقیق نشان میدهد که هوش مصنوعی هنوز «نیت واقعی» کاربر را درک نمیکند، بلکه فقط روی الگوی کلمات تمرکز دارد. اگر بتوان با تغییر لحن (از رسمی به شاعرانه)، سیستم امنیتی چند میلیون دلاری را دور زد، یعنی هنوز راه زیادی تا ایمنسازی کامل این مدلها باقی مانده است.
“بذار خلاصه بگم 👇”
محققان فهمیدهاند اگر درخواستهای خطرناک از هوش مصنوعی را در قالب شعر بپرسید، احتمال اینکه هوش مصنوعی فریب بخورد و جواب بدهد خیلی بیشتر میشود.
منابع این بخش:
۳. کمپین Contagious Interview با ۱۹۷ پکیج npm آلوده، بدافزار OtterCookie را منتشر میکند
این نگاه به دنیای ساختاریافته و مبتنی بر سهمیه یک گروه APT ایرانی، یادآور عنصر انسانی در حملات دولتی است. با این حال، میدان نبرد به سرعت از هدفگیری مستقیم به سمت به خطر انداختن ابزارهایی که توسعهدهندگان روزانه از آنها استفاده میکنند، در حال تغییر است، همانطور که در یک کمپین عظیم جدید npm دیده میشود. حملات زنجیره تأمین علیه مخازن کد متنباز مانند npm یکی از خطرناکترین تهدیدات مدرن است، زیرا میتواند با یک بار آلودهسازی، هزاران توسعهدهنده و پروژه را به خطر بیندازد.
بر اساس گزارشهای Socket و The Hacker News، عاملان تهدید کرهشمالی کمپین «Contagious Interview» را با انتشار ۱۹۷ پکیج مخرب جدید در npm ادامه دادهاند. این بستهها که بیش از ۳۱,۰۰۰ بار دانلود شدهاند، با نامهایی مشابه پکیجهای قانونی مانند bcryptjs-node و tailwindcss-forms منتشر شدهاند تا توسعهدهندگان را فریب دهند.
محموله اصلی این حملات، نسخه جدیدی از بدافزار OtterCookie (آتِر-کوکی) است که ویژگیهای بدافزار BeaverTail (بیوِر-تِیل) را نیز در خود جای داده است. این بدافزار قدرتمند برای سرقت اطلاعات طراحی شده و قابلیتهای متعددی دارد، از جمله: دور زدن محیطهای ایزوله (sandboxes)، ایجاد یک پوسته از راه دور برای کنترل سیستم، سرقت محتویات کلیپبورد، ثبت کلیدهای فشردهشده (keylogging) و جمعآوری اطلاعات حساس مانند مدارک، اعتبارنامههای مرورگر و دادههای کیف پولهای ارز دیجیتال.
اهمیت موضوع چیست؟
این کمپین نشاندهنده صنعتیسازی حملات زنجیره تأمین است که به طور خاص بر روی توسعهدهندگان متمرکز شده است. گروههای APT کرهشمالی نه تنها ابزارهای خود را برای هدف قرار دادن جریانهای کاری مدرن جاوا اسکریپت تطبیق دادهاند، بلکه کل فرآیند استخدام و مصاحبه شغلی را به یک سلاح تبدیل کردهاند. این یک تغییر پارادایم است: به جای نفوذ به یک شرکت، آنها به توسعهدهندهای نفوذ میکنند که کلیدهای دیجیتال آن شرکت را در اختیار دارد.
یک سناریوی فرضی
یک توسعهدهنده فریلنسر جاوااسکریپت برای یک موقعیت شغلی از راه دور درخواست میدهد. او یک آزمون فنی دریافت میکند که از او میخواهد از یک پکیج npm خاص مانند tailwind-magic استفاده کند. به محض اجرای دستور npm install، یک اسکریپت پیشنصب در پسزمینه اجرا شده، سیستم او را برای کلیدهای SSH و عبارات بازیابی کیف پولهای ارز دیجیتال اسکن کرده و آنها را به سرور C2 مهاجم ارسال میکند.
توصیه کاربردی
توسعهدهندگان باید پکیجهای npm، به خصوص آنهایی که از ناشران ناآشنا هستند، را به دقت بررسی کنند و از ابزارهایی استفاده کنند که اسکریپتهای مشکوک پیش از نصب (pre-install) یا پس از نصب (post-install) را بازرسی میکنند. این بررسی باید بخشی استاندارد از فرآیند توسعه باشد، نه یک اقدام ثانویه.
“بذار خلاصه بگم 👇”
هکرهای کرهشمالی با انتشار نزدیک به ۲۰۰ پکیج آلوده در npm، بدافزاری به اسم OtterCookie رو پخش کردن که اطلاعات حساس توسعهدهندهها رو میدزده.
منابع این بخش:
۴.نقطه کور امنیتی در Microsoft Teams: قابلیت دسترسی مهمان میتواند محافظت Defender را دور بزند
ابزارهای همکاری بینسازمانی، با وجود مزایای فراوان، ریسکهای امنیتی پنهانی را به همراه دارند. با افزایش اتصال بین پلتفرمها، مرزهای امنیتی کمرنگتر شده و شکافهایی ایجاد میشود که مهاجمان میتوانند از آنها سوءاستفاده کنند.
گزارشی از The Hacker News یک نقطه کور معماری در قابلیت دسترسی مهمان (guest access) مایکروسافت تیمز را برجسته میکند. مکانیسم این آسیبپذیری به این صورت است: وقتی کاربری از سازمان A به عنوان مهمان به محیط تیمز سازمان B میپیوندد، دیگر تحت حفاظت سیاستهای Microsoft Defender سازمان خود (A) قرار ندارد. در عوض، امنیت او کاملاً به سیاستهای (احتمالاً ضعیف یا ناموجود) سازمان میزبان (B) وابسته است.
«مستأجر» (Tenant) در ادبیات مایکروسافت ۳۶۵، به محیط ابری اختصاصی و ایزولهشدهی یک سازمان گفته میشود. هر Tenant مانند یک واحد آپارتمان مستقل در یک برج بزرگ است که صاحبخانه (مایکروسافت) زیرساخت آن را تأمین میکند، اما کلید و مدیریت قوانین داخلی آن (از جمله تنظیمات امنیتی) کاملاً در دست مدیر آن سازمان است.
در یک سناریوی حمله، یک عامل تهدید میتواند یک مستأجر (tenant) مخرب در مایکروسافت ۳۶۵ ایجاد کرده (مستأجر در اینجا به معنای حساب کاربری سازمانی و فضای اختصاصی است که هکر به طور قانونی از مایکروسافت اجاره کرده است) و تمام ویژگیهای امنیتی آن را غیرفعال کند. سپس یک دعوتنامه مهمان برای هدف ارسال میکند. خود ایمیل دعوتنامه قانونی به نظر میرسد، زیرا مستقیماً از طرف مایکروسافت ارسال شده و بررسیهای امنیتی ایمیل مانند SPF، DKIM و DMARC را با موفقیت پشت سر میگذارد. به محض اینکه قربانی به محیط ملحق میشود، مهاجم میتواند فایلهای مخرب یا لینکهای فیشینگ را در چت به اشتراک بگذارد بدون اینکه این محتوا توسط ابزارهای Safe Links یا Safe Attachments اسکن شود و به طور کامل کنترلهای امنیتی شرکت قربانی را دور بزند.
این ریسک بین-مستأجری را میتوان با این قیاس در دنیای واقعی توضیح داد:
- سناریوی عادی: فکر کنید شرکت شما یک تیم امنیتی (Defender) درجه یک دارد که هر بسته یا نامهای که وارد ساختمان میشود را به دقت بازرسی میکند.
- بردار حمله: شما یک دعوتنامه برای جلسهای در ساختمان یک شرکت دیگر دریافت میکنید. وقتی به آنجا میروید، تیم امنیتی خود را پشت سر میگذارید. ساختمان شرکت میزبان هیچ نگهبان یا بازرسی امنیتی ندارد. در آنجا، یک مهاجم که خود را همکار جا زده، یک بسته مشکوک به شما میدهد.
- فاجعه: شما آن بسته را با خود به شرکتتان برمیگردانید. چون بسته همراه شما وارد شده، تیم امنیتی شما آن را بازرسی نمیکند. بسته در داخل دفتر شما منفجر میشود و کل سازمانتان را به خطر میاندازد.
مدیران IT باید تنظیمات دسترسی بین-مستأجری (cross-tenant access) را به شدت محدود کرده و اجازه همکاری B2B را فقط به دامنههای مشخص و مورد اعتماد بدهند. همچنین، به کاربران آموزش دهید که نسبت به دعوتنامههای ناخواسته Teams از منابع خارجی بسیار مشکوک باشند.
“بذار خلاصه بگم 👇”
وقتی در مایکروسافت تیمز مهمان یک شرکت دیگر میشوید، دیگر گارد امنیتی شرکت خودتان همراهتان نیست. هکرها میتوانند یک شرکت قلابی بسازند، شما را دعوت کنند و در آن محیط ناامن به راحتی به شما حمله کنند.
منابع این بخش:
۵. فاجعه کپی و پیست: هزاران رمز عبور و کلید محرمانه در ابزارهای آنلاین توسعهدهندگان فاش شد
پراکندگی اطلاعات محرمانه یا “secret sprawl” یک ریسک فراگیر و اغلب دستکمگرفتهشده است. راحتی استفاده از ابزارهای آنلاین، توسعهدهندگان را به سمتی سوق میدهد که ناخواسته حیاتیترین اطلاعات اعتباری سازمان خود را در معرض دید عموم قرار دهند.
تحقیقات مشترک WatchTowr و محقق امنیتی Luke Marshall نشان میدهد که دهها هزار اطلاعات محرمانه حساس—شامل کلیدهای API، اطلاعات اعتباری پایگاه داده، کلیدهای خصوصی و توکنها—در وبسایتهای قالببندی کد مانند JSONFormatter و CodeBeautify و همچنین در ۵.۶ میلیون مخزن عمومی GitLab فاش شده است.
طبق اسکن انجامشده روی GitLab، حدود ۱۷,۴۳۰ کلید محرمانه فعال پیدا شد که شامل بیش از ۵,۲۰۰ کلید پلتفرم ابری گوگل (GCP) و بیش از ۴۰۰ کلید GitLab بود.
این اتفاق زمانی رخ میدهد که توسعهدهندگان قطعه کدهایی حاوی دادههای حساس را برای قالببندی یا اعتبارسنجی در این ابزارهای وب عمومی “پیست” میکنند، غافل از اینکه این سایتها اغلب محتوا را در یک URL عمومی و قابل دسترس ذخیره میکنند. این وضعیت برای مهاجمان یک “معدن طلا” محسوب میشود، زیرا دسترسی مستقیم و تاییدشده به زیرساختهای حیاتی در بخشهای مهمی مانند دولت، امور مالی و بهداشت و درمان را برای آنها فراهم میکند. این اشتباهات ساده، استراتژیهای امنیتی چند میلیون دلاری را بیاثر میکند، زیرا مهاجمان به جای شکستن دیوارها، به سادگی با کلید وارد میشوند.
این افشاگریها نشاندهنده یک شکست فرهنگی و سیستماتیک در حوزه DevSecOps است. ابزارهای راحتی که برای افزایش بهرهوری طراحی شدهاند، به منابع عظیمی برای افشای داده تبدیل شدهاند که مهاجمان به طور فعال در حال جمعآوری اطلاعات از آنها هستند. این مسئله ثابت میکند که ضعیفترین حلقه در زنجیره امنیت، اغلب یک توسعهدهنده است که به دنبال یک راهحل سریع بدون در نظر گرفتن پیامدهای امنیتی آن است.
توصیه کاربردی
به عنوان یک قانون غیرقابل مذاکره در اصول امنیتی، توسعهدهندگان باید با ابزارهای آنلاین عمومی به عنوان محیطهای ذاتاً متخاصم رفتار کنند. هرگز دادههای حساس، اعتبارنامهها، کلیدهای API یا اطلاعات شخصی قابل شناسایی (PII) را در این ابزارها پیست نکنید. برای این کارها از افزونههای آفلاین IDE یا ابزارهای امن و سازمانی استفاده کنید و secret scanning را به عنوان یک مرحله اجباری در خطوط لوله CI/CD خود پیادهسازی کنید.
اسکن اسرار (Secret Scanning)
یک فرآیند امنیتی خودکار است که کدهای برنامهنویسی، فایلهای تنظیمات و تاریخچه تغییرات (Commit History) را بررسی میکند تا هرگونه اطلاعات محرمانه که به اشتباه در آنها جا مانده است را پیدا کند.
به زبان ساده، این ابزار مثل یک دستگاه ایکسری (X-ray) در فرودگاه عمل میکند که چمدانها (کدها) را قبل از ورود به هواپیما (انتشار نرمافزار) میگردد تا مطمئن شود هیچ کالای ممنوعهای (رمز عبور یا کلید امنیتی) داخل آنها نیست.
“بذار خلاصه بگم 👇”
توسعهدهندهها با پیست کردن اطلاعات حساس مثل پسورد و کلیدهای API تو سایتهای آنلاین فرمتکننده کد، دارن ناخواسته این اطلاعات رو عمومی میکنن و هکرها هم از این فرصت استفاده میکنن.
منابع این بخش:
۶. ظهور ShadowV2: نسخه جدید بدافزار Mirai از قطعی AWS برای آزمایش حملات IoT استفاده میکند
تهدید باتنتهای اینترنت اشیاء (IoT) همچنان پابرجاست، زیرا میلیونها دستگاه متصل به اینترنت با امنیت ضعیف، یک پلتفرم توزیعشده عظیم برای مهاجمان فراهم میکنند تا حملات محرومسازی از سرویس توزیعشده (DDoS) قدرتمندی را راهاندازی کنند.
بر اساس گزارش SecurityAffairs، یک نسخه جدید از باتنت بدنام Mirai (می-رای) به نام ShadowV2 (شَ-دو-وی-تو) شناسایی شده است. نکته کلیدی این است که این باتنت در حال بهرهبرداری از آسیبپذیریهای شناختهشده در طیف وسیعی از دستگاههای IoT (مانند محصولات D-Link و TP-Link) درست در زمان قطعی بزرگ خدمات وب آمازون (AWS) در اواخر ماه اکتبر مشاهده شده است.
این همزمانی احتمالاً تصادفی نبوده است. مهاجمان به احتمال زیاد از پوشش اختلال گسترده AWS به عنوان یک “آزمایش” برای ارزیابی کارایی و سرعت انتشار باتنت خود استفاده کردهاند، بدون آنکه توجه فوری تیمهای امنیتی را به خود جلب کنند.
برای درک بهتر نحوه کار یک باتنت، از این قیاس در دنیای واقعی استفاده میکنیم:
- سناریوی عادی: یک باتنت (Botnet) را مانند ارتشی از ماشینهای اسباببازی کنترلی در نظر بگیرید که هرکدام کار ساده خود را انجام میده دهند.
- بردار حمله: حالا تصور کنید یک هکر نقصی در فرکانس کنترل از راه دور این ماشینها پیدا میکند و میتواند کنترل هزاران ماشین را به طور همزمان در دست بگیرد.
- فاجعه: سپس هکر به کل این ارتش ربودهشده دستور میدهد که همزمان به سمت یک چهارراه شلوغ در اوج ترافیک حرکت کنند. نتیجه یک هرج و مرج و راهبندان عظیم است که کل شهر را فلج میکند. این معادل یک حمله DDoS در دنیای دیجیتال است.
همواره فرمور (firmware) دستگاههای IoT خود مانند روترها، دوربینهای امنیتی و تلویزیونهای هوشمند را بهروز نگه دارید و اولین کاری که میکنید، تغییر رمزهای عبور پیشفرض آنها به یک رمز قوی و منحصربهفرد باشد.
“بذار خلاصه بگم 👇”
یک ویروس جدید پیدا شده که موقع قطعیهای بزرگ اینترنت، دستگاههای هوشمند خانگی (مثل مودم) را هک میکند تا ارتشی از زامبیهای دیجیتال بسازد و بعداً با آنها حملات بزرگتری راه بیندازد.
منابع این بخش:
۷. معرفی CVSS 4.0: سیستم امتیازدهی آسیبپذیریها دقیقتر و کاربردیتر میشود
سیستم امتیازدهی مشترک آسیبپذیریها (CVSS) یک استاندارد صنعتی برای ارزیابی شدت آسیبپذیریهای نرمافزاری است. این سیستم به تیمهای امنیتی کمک میکند تا تلاشهای خود را برای رفع مشکلات اولویتبندی کنند. اکنون، نسخه جدید این استاندارد، CVSS 4.0، با بهبودهای قابل توجهی عرضه شده است.
بر اساس گزارش Malwarebytes، نسخه ۴.۰ چندین بهبود کلیدی را معرفی میکند:
- گروههای متریک گسترشیافته: گروه جدید و اختیاری متریکهای تهدید (Threat metrics) اضافه شده است که به در نظر گرفتن بهرهبرداری فعال از آسیبپذیری کمک میکند. همچنین متریکهای تکمیلی (Supplemental metrics) امکان افزودن زمینه خاص صنعتی (مانند بهداشت و درمان یا خودروسازی) را فراهم میکند.
- امتیازدهی دقیقتر: متریک جدید نیازمندیهای حمله (Attack Requirements – AT) اضافه شده و تعاریف متریکهای موجود مانند بردار حمله (Attack Vector – AV) واضحتر شدهاند.
- انعطافپذیری بیشتر: امتیازدهی ماژولار به سازمانها اجازه میدهد تا امتیازها را بر اساس محیط خاص خود سفارشیسازی کنند.
برای درک بهتر این موضوع یکسری مثال آورده شده است
مثال ۱: تفکیک سختی فنی از شرایط محیطی (متریک جدید AT)
فرض کنید یک آسیبپذیری در یک قفل هوشمند بلوتوثی پیدا شده است.
- در سیستم قدیم (CVSS 3.1): کارشناسان مجبور بودند امتیاز “پیچیدگی حمله” (AC) را “High” (بالا) بزنند، چون هکر حتماً باید در فاصله فیزیکی نزدیک (۱۰ متری) قفل باشد تا حمله کند. این باعث میشد امتیاز کلی پایین بیاید و مدیران فکر کنند خطر کم است، در حالی که خودِ روش هک بسیار ساده بود.
- در سیستم جدید (CVSS 4.0): این موضوع به دو بخش تقسیم شده است:
- Attack Complexity (AC): روی “Low” (پایین) تنظیم میشود (چون اجرای کدهای هک بسیار ساده است و نیاز به نبوغ خاصی ندارد).
- Attack Requirements (AT): روی “Present” (موجود) تنظیم میشود (یعنی یک پیششرط فیزیکی دارد: هکر باید نزدیک باشد).
نتیجه: امتیاز نهایی بسیار دقیقتر میشود و نشان میدهد که “این حفره به راحتی هک میشود، اما شرطش حضور فیزیکی است.”
مثال ۲: فاکتور «ایمنی جانی» (Safety Metric)
فرض کنید یک آسیبپذیری در پمپ انسولین هوشمند یا سیستم ترمز یک خودروی متصل پیدا شده است.
- در سیستم قدیم (CVSS 3.1): سیستم فقط به این نگاه میکرد که آیا “دادهای دزدیده شده؟” یا “سیستم خاموش شده؟”. ممکن بود امتیاز آن متوسط شود چون سرور بانک نیست که پول دزدیده شود!
- در سیستم جدید (CVSS 4.0): یک متریک جدید به نام Safety (S) در بخش تکمیلی اضافه شده است. کارشناس میتواند مشخص کند که “اگر این سیستم هک شود، جان انسان به خطر میافتد”. این کار باعث میشود اولویت رفع این باگ در بیمارستانها یا کارخانهها، حتی بالاتر از باگهای سرورهای مالی قرار بگیرد.
منظور از «خودروی متصل» (Connected Car) ماشینی است که به اینترنت و شبکههای دیگر (مثل موبایل مالک، چراغهای راهنمایی یا سایر خودروها) وصل است.
وقتی میگوییم «سیستم ترمز یک خودروی متصل»، یعنی سیستم ترمزی که فقط مکانیکی نیست، بلکه توسط کامپیوتر ماشین کنترل میشود و میتواند فرمانهایی را از بیرون یا از سنسورهای هوشمند دریافت کند.در خودروهای قدیمی، ترمز یک سیستم کاملاً مکانیکی بود. اما در خودروهای هوشمند امروزی (مثل تسلا یا ماشینهای جدید چینی)، ترمز به شبکه داخلی ماشین وصل است. اگر یک هکر بتواند از طریق وایفای یا بلوتوث ماشین وارد سیستم شود و به بخش ترمز دسترسی پیدا کند، میتواند ترمز را از کار بیندازد یا ناگهان ترمز بگیرد.
پمپ انسولین هوشمند دستگاه کوچکی است که به بدن بیمار دیابتی متصل میشود و به جای اینکه بیمار هر روز چندین بار سوزن بزند، دستگاه به صورت خودکار و برنامهریزی شده، انسولین را وارد بدن میکند.
این پمپها معمولاً از طریق بلوتوث به گوشی موبایل بیمار یا یک دستگاه کنترلکننده (Remote) وصل میشوند تا بیمار بتواند دوز دارو را تنظیم کند یا قند خونش را روی نمودار ببیند. چون این دستگاه «ارتباط بیسیم» (Wireless) دارد، یک هکر میتواند با تجهیزات رادیویی یا نفوذ به گوشی موبایل بیمار، کنترل پمپ را به دست بگیرد.
هکر وارد سیستم میشود و فرمان میدهد: «تزریق تمام ذخیره انسولین به صورت یکجا!» قند خون بیمار به شدت افت میکند که میتواند منجر به کما یا مرگ شود.
اهمیت این بهروزرسانی چیست؟
CVSS 4.0 یک تغییر بنیادی از ارزیابی صرفاً فنی و ایستا به سمت یک ارزیابی ریسک پویا و مبتنی بر زمینه است. این بهروزرسانی عملاً تیمهای مدیریت آسیبپذیری را مجبور میکند تا از رویکرد ساده «وصله بر اساس شماره» فراتر رفته و هوش تهدید واقعی را در عملیات روزانه خود ادغام کنند؛ تغییری که مدتها بود به آن نیاز بود. این امر به سازمانها اجازه میدهد منابع محدود خود را بر روی آسیبپذیریهایی متمرکز کنند که بیشترین خطر واقعی را برای آنها ایجاد میکنند.
توصیه کاربردی
تیمهای امنیتی باید فرآیند انتقال برنامههای مدیریت آسیبپذیری خود به CVSS 4.0 را آغاز کنند تا از امتیازدهی جامعتر و آگاه از زمینه آن برای تصمیمگیریهای بهتر مبتنی بر ریسک بهرهمند شوند. این یک فرصت برای بازنگری و بهینهسازی کل استراتژی مدیریت وصله است.
“بذار خلاصه بگم 👇”
نسخه جدید سیستم امتیازدهی به حفرههای امنیتی (CVSS 4.0) اومده که به ما اجازه میده علاوه بر شدت فنی، عواملی مثل اینکه آیا هکرها دارن ازش استفاده میکنن یا نه رو هم در نظر بگیریم.
منابع این بخش:
۸. حمله سایبری به فدراسیون فوتبال فرانسه: اطلاعات اعضا به سرقت رفت
این حادثه به خوبی نشان میدهد که امنیت یک سازمان اغلب به اندازه ضعیفترین حلقه آن قوی است. یک حساب کاربری به خطر افتاده میتواند دروازهای برای نفوذ به کل سیستم و سرقت دادههای ارزشمند باشد.
فدراسیون فوتبال فرانسه (FFF) اعلام کرد که مهاجمان با استفاده از یک حساب کاربری به خطر افتاده به سیستمهای آنها نفوذ کرده و دادههای اعضا را به سرقت بردهاند. اطلاعات شخصی فاششده شامل نام، نام خانوادگی، جنسیت، تاریخ تولد، آدرس پستی، ایمیل، شماره تلفن و شماره مجوز بوده است.
این نوع دادهها برای مهاجمان بسیار ارزشمند است، زیرا میتوانند از آن برای راهاندازی حملات متعاقب بسیار هدفمند مانند کمپینهای فیشینگ، سرقت هویت و کلاهبرداریهای مختلف استفاده کنند. مهاجمان با در دست داشتن این اطلاعات میتوانند اعتماد قربانیان را جلب کرده و خود را قانونی جلوه دهند.
فدراسیون فوتبال فرانسه به اعضا توصیه میکند “مراقب پیامهای عجیبی باشند که به نظر میرسد از طرف FFF یا باشگاهشان ارسال شده است، به خصوص اگر از شما میخواهند فایلها را باز کنید یا رمز عبور یا اطلاعات بانکی خود را به اشتراک بگذارید.”
اعضای فدراسیون باید به شدت مراقب ایمیلها و پیامکهای مشکوکی باشند که به نظر میرسد از طرف FFF یا باشگاهشان ارسال شده است. هرگز روی لینکهای ناشناس کلیک نکرده و اطلاعات شخصی یا بانکی خود را در پاسخ به این پیامها ارائه ندهند.
“بذار خلاصه بگم 👇”
با هک شدن فقط یک اکانت، اطلاعات شخصی اعضای فدراسیون فوتبال فرانسه لو رفته. حالا کلاهبرداران میتوانند با استفاده از این اطلاعات، ایمیلها و پیامکهای جعلی بسیار قانعکنندهای برای اعضا بفرستند.
منابع این بخش:
جمعبندی
اخبار امروز نشان میدهد که مهاجمان به طور فزایندهای از ابزارهای فنی پیچیده و تاکتیکهای مهندسی اجتماعی هوشمندانه به صورت ترکیبی استفاده میکنند. ارتباط بین ظهور ابزارهای چندزبانه APT، مسلحسازی اکوسیستمهای متنباز و چالش مداوم خطای انسانی در نشت اطلاعات، یک روند نگرانکننده را ترسیم میکند.
نشت همزمان اسرار توسعهدهندگان در فرمتکنندههای عمومی و مسلحسازی پکیجهای npm دو روی یک سکه هستند: محیط توسعه اکنون میدان نبرد اصلی است. عاملان تهدید این موضوع را بهتر از بسیاری از مدافعان درک کردهاند. این روندها به این معناست که در آینده نزدیک، مرز بین حملات دولتی و آسیبهای زنجیره تأمین همچنان کمرنگتر خواهد شد و این امر نیازمند یک رویکرد امنیتی فعالتر و متمرکز بر توسعهدهندگان است.
“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec